サイトのセキュリティチェックとは?
サイトのセキュリティチェックとは、Webサイトが最低限の安全設定をできているかを確認することです。脆弱性診断のようにアプリ内部まで深く調べるものではなく、まずは公開情報から設定漏れや初歩的な弱点を見つける入口として使われます。
特に「SSLチェックをしたい」「セキュリティヘッダーを見たい」「DMARC設定があるか知りたい」という場面では、公開情報ベースの簡易チェックでも十分に役立ちます。
まず確認したい10項目
当サイトでは、次の10項目をまとめて確認できます。
- HTTPS対応:HTTPではなくHTTPSで安全に通信できるか
- SSL証明書:証明書が有効か、期限切れでないか
- HSTS:HTTPS接続をブラウザに強制できているか
- CSP:XSS対策として読み込み元を制御しているか
- X-Content-Type-Options:MIME sniffingを防げるか
- X-Frame-Options:クリックジャッキング対策があるか
- Referrer-Policy:参照元情報を出しすぎていないか
- Permissions-Policy:ブラウザ機能の権限を制御しているか
- SPF:送信ドメイン認証の基本設定があるか
- DMARC:なりすましメール対策の方針を公開しているか
なぜこのチェックが必要なのか
Webサイトは見た目が正常でも、ヘッダーやDNS設定が抜けていることが少なくありません。例えば次のような状態はよくあります。
- HTTPS化はしているがHSTSが未設定
- 問い合わせフォームはあるのにDMARCが未設定
- WordPressや外部タグを使っていてCSPが未整備
- 運用担当が変わった影響でSSL証明書更新漏れが起きる
こうした問題は、事故が起きてから気づくより、定期的に公開設定を見直した方がはるかに低コストです。
無料の簡易チェックで分かること、分からないこと
公開情報ベースの診断で分かるのは、主に設定の有無です。一方で、サーバー内部の脆弱性や認証バイパス、アプリの実装不備までは分かりません。
- 分かること:HTTPS、SSL証明書、主要セキュリティヘッダー、SPF、DMARC
- 分からないこと:SQLインジェクション、認可不備、管理画面の脆弱性、内部設定ミス
つまり、無料チェックは最初の棚卸しとして有効で、その後に必要なら専門的な脆弱性診断へ進むのが現実的です。
チェック結果で特に見るべきポイント
1. HTTPSとSSL証明書
まずは通信の暗号化ができているかを確認します。HTTPS未対応や証明書エラーは、ユーザー離脱だけでなくSEOにも悪影響があります。詳しくは HTTPSとは何かの解説 も参考になります。
2. セキュリティヘッダー
HSTS、CSP、X-Frame-Options などのヘッダーは、公開サイトの基本防御です。特にHSTSとCSPは差が出やすく、企業サイトでも未設定が珍しくありません。
3. メール認証(SPF / DMARC)
コーポレートサイトやサービスサイトでは、ドメインの信頼性を守るためにSPFやDMARCの確認が重要です。DMARC未設定だと、なりすましメール対策が弱い状態になりやすくなります。
どんな人に向いている?
- 自社サイトの公開設定をざっと確認したい担当者
- 営業前に見込み客サイトの安全設定を把握したい人
- 制作会社やフリーランスで納品前チェックをしたい人
- 「SSLチェック」「セキュリティヘッダーチェック」をすぐ試したい人
無料でサイトのセキュリティチェックをする方法
- トップページでチェックしたいURLを入力する
- HTTPS、SSL、ヘッダー、SPF、DMARCの結果を見る
- 不足があれば関連記事から設定方法を確認する
まずは トップページの無料診断 から試してみてください。