【テンプレ配布】Webサイトのセキュリティ診断レポート作成(無料診断ツール集とAIでする診断)
【テンプレ配布】Webサイトのセキュリティ診断レポート作成(無料診断ツール集とAIでする診断)
きっかけはクライアントへの営業メール
あるクライアントから相談が届きました。
「ドメインを契約している会社から、『サイトのセキュリティに問題があります』という営業メールが来たんですが、これって本当ですか?」
よくある話です。ドメイン会社やサーバー会社が、半ば脅し文句のように送ってくる営業メール。実際に問題があるケースもありますが、問題のないサイトに送られていることも少なくありません。
とはいえ、「大丈夫だと思います」と根拠なく返すわけにもいかない。そこで実際に無料ツールで診断してみました。
結果、問題は「あった」
診断してみると、サイト自体への侵入やマルウェア感染はなかったものの、いくつか対応すべき項目が見つかりました。
| カテゴリ | 結果 | 優先度 |
|---|---|---|
| SSL/TLS | ✅ A- 問題なし | 🟡 低 |
| マルウェア・改ざん | ✅ 問題なし | - |
| セキュリティヘッダー | 🔴 F 早急に対応必要 | 🔴 最高 |
| メール認証・DNS | 🔴 DMARC未設定 | 🔴 最高 |
| Google警告 | ✅ 問題なし | - |
| WordPress総合 | 🟠 6件の問題検出 | 🟠 高 |
営業メールの文面は大げさでしたが、セキュリティヘッダーの未設定・メール認証の欠如・WordPressプラグインの未更新は実際に対応すべき内容でした。そしてこれらはすべて、無料ツールで診断・対処できるものでした。
この記事は2つの方に向けて書いています。
- 同様にセキュリティ診断を相談されているWeb制作会社・フリーランスの方
- クライアントのような、営業メールを受け取って不安になっている企業の担当者の方
診断テンプレートキットを末尾で配布していますので、ぜひお使いください。
無料ツールで何がわかるのか
外部から無料で確認できる主要な6項目をご紹介します。いずれもURLを入れるだけで結果が出るので、専門知識は不要です。
| # | チェック内容 | 使用ツール |
|---|---|---|
| 1 | SSL/TLS証明書・暗号化設定 | SSL Labs |
| 2 | マルウェア感染・改ざん・ブラックリスト登録 | Sucuri SiteCheck |
| 3 | セキュリティヘッダー6項目の設定状況 | SecurityHeaders.com |
| 4 | メール認証(SPF・DKIM・DMARC)の設定 | MXToolbox |
| 5 | Googleによる危険サイト判定 | Google Safe Browsing |
| 6 | WordPressのバージョン・プラグイン・ユーザー名露出 | HackerTarget |
これで全リスクをカバーできるわけではありません。ログイン後の脆弱性や本格的な侵入テストは別途必要です。ただ、「外から見えるリスク」を把握するには十分な内容です。
テンプレートで何が作れるか
診断結果をもとに、以下の資料を自動生成できます。
パワポ(提案・説明用・12枚)
クライアントへの説明に特化したスライドです。表による情報整理と、ビフォーアフターのUIビジュアルを組み合わせた構成です。
<!-- 📌 画像挿入①:診断結果一覧スライドのスクリーンショット -->
<!-- 上記の「診断結果一覧」サンプル画像をここに貼ってください -->
診断結果を一覧表で整理し、「事後対応できるかどうか」を軸に優先度を示します。「最高・高・中・低」の4段階で、何から手をつけるべきかがひと目でわかります。
<!-- 📌 画像挿入②:ビフォーアフタースライドのスクリーンショット -->
<!-- 上記の「ビフォーアフター(セキュリティヘッダー)」サンプル画像をここに貼ってください -->
「ここをこう直す」を視覚的に示すのが、このキットの特徴です。WordPress管理画面・DNS管理画面・さくらのコントロールパネルを架空のワイヤーフレームで再現し、BEFOREとAFTERを左右に並べています。
- adminユーザー名の露出 → WP管理画面での変更手順をステップ付きで説明
- セキュリティヘッダーF判定 → Solid Securityプラグインで全項目ONにした管理画面
- SPF・DMARC未設定 → DNS管理画面でTXTレコードを2件追加する手順
- FTPで接続中 → さくらコントロールパネルでSFTP選択+IP制限
<!-- 📌 画像挿入③:対応ロードマップスライドのスクリーンショット -->
<!-- 上記の「対応ロードマップ」サンプル画像をここに貼ってください -->
「できるだけ早く・早めに・余裕があるとき・随時」という表現で整理しているため、対応タイミングをクライアント自身が判断できます。
ワード(詳細レポート)
各診断項目の目的・結果・対応を詳細に記載した裏付け資料です。最終ページに用語集(SSL/TLS・SPF・DMARC・WAF・XSSなど15用語)を収録しているため、「セキュリティヘッダーって何ですか?」という質問に資料を渡すだけで答えられます。
<!-- 📌 画像挿入④:ワード詳細レポートのスクリーンショット -->
<!-- 上記の「ワード詳細レポート(タイトル・診断詳細・用語集の3ページ抜粋)」サンプル画像をここに貼ってください -->
メール文
現状と優先対応が箇条書きで一目でわかる送付メールのテンプレートです。「詳細は添付資料をご覧ください」へ自然に誘導する構成です。
キットの使い方
体験の流れ
キットを受け取ったら、以下の手順で使います。
① テンプレートファイルをClaude にアップロード
キットに含まれるパワポ・ワードのテンプレートを、Claude のチャットにドラッグ&ドロップします。
② プロンプトを貼るだけで対話が始まる
キットに含まれる chat_prompt.md の内容をコピーして送信すると、Claude が順番に質問してきます。
③ 診断ツールの結果はスクショを貼るだけ
Claude:「SSL Labsの結果画面のスクショを貼ってください
👉 https://www.ssllabs.com/ssltest/」
↓ スクショを貼る
Claude:「A-ですね。TLS1.3未対応の警告があります。
では次へ進みます」
Claude:「次はSucuri SiteCheckです。スクショを貼ってください
👉 https://sitecheck.sucuri.net/」テキスト入力はサイトURLなど最小限で、診断結果は全部スクショを貼るだけです。
④ 全ツールのスクショを貼り終えたら
「では資料を生成します」→ パワポ・ワード・メール文が一括で完成します。
キットの中身
kit/
├── README.md ← 全体説明
├── 01_diagnosis_guide.md ← 診断手順(各ツールのURL付き)
├── 03_email_template.md ← メールテンプレート(参考用)
├── chat_prompt.md ← Claudeに貼るだけで対話が始まるプロンプト
└── templates/
├── template_slides.pptx ← パワポテンプレート(Claudeにアップロード)
└── template_report.docx ← ワードテンプレート(Claudeにアップロード)2つのご利用方法
① テンプレートキットを受け取る(無料)
こんな方に向いています
- Web制作会社・フリーランスで、自社でセキュリティ診断サービスを立ち上げたい
- クライアントへの提案メニューにセキュリティ診断を追加したい
- 「営業メールが来た」「セキュリティが心配」という相談に、根拠を持って答えたい
- まず自社サイトや既存クライアントのサイトを診断してみたい
キットはリンクから受け取れます。Claude があれば、診断結果のスクショを貼るだけでパワポ・ワードを自動生成できます。商用利用・クライアントへの納品もOKです。
▶ [テンプレートキットをリンクから受け取る(無料)]
リンク
② 診断・レポート作成を代行する
エンド企業(中小企業・店舗・個人事業主)向け
「自分ではやりたくない」「営業メールが来て不安」という方向けです。診断からレポートの作成・送付まで一式対応します。
- 診断対象:WordPressサイト・静的サイト・LPなど
- 納品物:診断レポート(パワポ+ワード)+メール報告
- 診断後の修正・設定作業も別途ご相談いただけます
Web制作会社・フリーランス向け(ホワイトラベル対応)
「クライアントから依頼が来たけど、自社でやるリソースがない」という場合に、貴社名義でのレポート納品が可能です。
- 貴社のロゴ・会社名でレポートを作成します
- クライアントへの直接納品も対応可
- 複数サイトの定期診断もご相談ください
▶ [診断・レポート作成の代行依頼はメッセージにてご相談ください]
よくある質問
Q. 無料ツールだけで本当に大丈夫ですか?
外部から確認できる範囲の診断であれば十分な精度があります。ただし、ログイン後の脆弱性・サーバー内部の設定・ソースコードの問題などはカバーできません。「まず外から見えるリスクを把握・対処する」という位置づけでご利用ください。
Q. WordPressじゃないサイトでも使えますか?
WordPress固有の診断項目を除いた5項目は、どんなサイトでも適用できます。テンプレートもWordPress以外に対応できます。
Q. どんなツールで資料を生成しますか?
Claude(claude.ai)を使います。無料プランでもファイルアップロード・画像読み取り・資料生成は動作しますが、1セッションあたりのメッセージ数制限により、診断フローの途中で数時間待つ必要が生じる場合があります。1案件をスムーズに完結させるにはProプラン(月額$20・約3,000円)の利用を推奨します。
なお、MaxプランのユーザーはGuestPassを発行できる場合があります。7日間Proの機能を無料で試せるので、まず試したい方は身近なMaxユーザーに聞いてみてください。
Q. 同業者へのテンプレート転売はできますか?
テンプレートキット自体の再配布・転売はご遠慮ください。ただし、キットを使って作成したレポートをクライアントに納品すること・ホワイトラベルでの提供は自由に行っていただけます。
Q. 診断後の修正対応も依頼できますか?
代行サービスをご利用の方には、診断後の設定対応(セキュリティヘッダー追加・SPF/DMARC設定など)も別途ご相談いただけます。
Q. 定期的に診断してほしい場合は?
3〜6ヶ月ごとの定期診断プランもご用意しています。お気軽にご相談ください。
まとめ
- 「セキュリティに問題がある」という営業メールは、実際に診断してみないと判断できない
- 無料ツール6つでサイトの外側から主要なリスクを確認できる
- テンプレートキットを使えば、スクショを貼るだけでパワポ・ワードが自動生成できる
- 制作会社・フリーランスはそのままサービスとして提供できる
「大丈夫だと思います」ではなく、根拠のある答えをクライアントに返せるようになります。
▶ [テンプレートキットをリンクから受け取る(無料)]
リンク
▶ [診断・レポート作成の代行をはメッセージにてご相談ください]
本記事で紹介している診断は、外部から確認できる範囲の簡易診断です。ログイン後の脆弱性や本格的な侵入テストはカバーしていません。
