本文へスキップ
サイト診断

このツールについて

サイト診断は、URL を 1 つ入れるだけで 9 カテゴリ 109 項目を診断する無料ツールです。JIT株式会社が開発・運営しています。 このページでは、何を診断するのか・診断対象のサーバーに何をするのか・何ができないのかを、 誇張せずに説明します。

運営: 最終更新:

このツールは何をするものですか?

URL を 1 つ入力すると、SEO・AEO・AIO(LLMO)・セキュリティ・メール認証・ドメイン・パフォーマンス・アクセシビリティ・技術構成の 9 カテゴリ、合計 109 項目を診断して結果をその場で表示します。完全無料で、登録もログインも不要です。

他の診断ツールとの違いは、「AI から見て、このサイトはどう見えているか」を実測することです。 ChatGPT や Claude のクローラーの多くは JavaScript を実行しないため、 JavaScript なしで本文が読めるかどうかが、AI に引用されるかを分ける決定的な条件になります。本ツールはそこを推測ではなく実測します。

診断カテゴリと項目数の内訳
カテゴリ項目数内容
SEO24title・description・canonical・見出し構造・robots.txt・sitemap・hreflang・OGP・構造化データ・内部リンク・HTTPS リダイレクトなど。noindex の取り残しも検出します。
AEO12FAQPage・HowTo・Article・Organization・パンくずの構造化データに加え、質問形式の見出しの直下に簡潔な回答があるかを判定します。
AIO / LLMO13llms.txt・AI クローラー 8 種の許否・JavaScript なしで本文が何文字読めるか・著者情報・公開日など。本ツールの中核です。
セキュリティ20TLS 証明書と対応バージョン、HSTS・CSP・X-Frame-Options・Referrer-Policy などのヘッダ、Cookie 属性、CORS、混在コンテンツ、設定ファイルの露出。
メール認証4SPF・DMARC・DKIM・MX。なりすましメールの踏み台にされる状態かどうかを判定します。
ドメイン12登録情報(RDAP)・ドメイン年齢・有効期限・DNS・DNSSEC・CAA・IP 情報・証明書透明性ログからのサブドメイン列挙・Wayback 初出。
パフォーマンス10Core Web Vitals・Lighthouse スコア(PageSpeed Insights 経由)・TTFB・転送量・圧縮・HTTP バージョン・キャッシュ・リダイレクト連鎖。
アクセシビリティ8lang 属性・画像の alt・フォームラベル・ランドマーク・見出し順序・リンクテキスト・スキップリンク・表の見出し。
技術検出6CMS・フレームワーク・CDN・解析ツール・サーバー・ホスティング事業者の推定。
合計1099 カテゴリ

採点は項目ごとに「良好・警告・要改善・非該当」の 4 段階です。そのサイトに該当しない項目(非該当)は満点として扱い、減点しません。 単一言語サイトに hreflang が無いことを欠陥として数えるのは、診断として不正確だからです。ただし「非該当」は「実装済み」と視覚的に区別して表示します。やっていないことを、やったように見せないためです。

診断対象のサーバーに負荷や被害を与えませんか?

与えません。1 回の診断で対象サーバーへ送るリクエストは最大 12 件、同時接続は 4 本までに制限しています。すべて公開 URL への通常の GET で、ブラウザで数ページ閲覧するのと変わりません。攻撃的なリクエストは一切送りません。

121 診断あたりの最大リクエスト数
4同時接続の上限
10回/分同一 IP からの診断回数の上限

1 回の診断は、人がブラウザでそのサイトを数ページ見て回るのと同程度の負荷です。 レスポンスの読み取りは 5MB で打ち切り、15 秒で必ずタイムアウトします。相手サーバーに長時間ぶら下がることはありません。

実際に送るリクエストの全リスト

隠すものではないので、全部書きます。診断 1 回で送るのは、以下の最大 12 件だけです。

1 回の診断で対象サーバーへ送るリクエストの一覧
#取得先用途
1入力された URL本体 HTML・レスポンスヘッダ・リダイレクト連鎖・TTFB
2http://<ホスト>/HTTPS へリダイレクトされるかの確認
3/robots.txtクロール制御・AI クローラーの許否・sitemap の参照
4/sitemap.xmlサイトマップの有無と妥当性
5/llms.txtAI 向けサイト案内ファイル
6/llms-full.txt同上(全文版)
7/.well-known/security.txt脆弱性の連絡先が公開されているか
8/ads.txt広告配信の正当性宣言
9/favicon.icoファビコンの有無
10/.env設定ファイルが公開されていないかの確認(通常の GET のみ)
11/.git/configリポジトリが公開されていないかの確認(同上)
12HEAD または OPTIONS /許可されている HTTP メソッドの確認

すべて 公開 URL への通常の GET です(12 番のみ HEAD / OPTIONS)。 TLS 証明書の確認のために 1 接続だけ別途行いますが、これはハンドシェイクのみで、データのやり取りはありません。

なお、DNS・ドメイン登録情報(RDAP)・証明書透明性ログ(crt.sh)・Wayback Machine・PageSpeed Insights への問い合わせは、対象サーバーではなく第三者のサービスへ行くため、上の 12 件には含まれません。 対象サーバーから見たリクエスト数は、あくまで最大 12 件です。

具体的に、何を「しない」のですか?

ペイロード注入・総当り・ポートスキャン・脆弱性の実証(exploit)・大量リクエストの 5 つは一切行いません。これは設定で切り替えられるオプションではなく、そもそもそのコードが存在しません。本ツールは公開情報の読み取りだけを行います。

ペイロード注入SQL インジェクションや XSS を試す文字列を送ることはしません
総当りパスワード・ディレクトリ・パラメータの探索は行いません
ポートスキャン80 / 443 以外のポートに接続を試みることはありません
脆弱性の実証(exploit)見つけた設定不備を実際に突いて確かめることはしません
大量リクエストクロールも負荷試験も行いません。上限は 12 件です
認証の回避ログインが必要なページに入ろうとすることはありません

これは設定で切り替えられるオプションではありません。そもそも、それを行うコードが存在しません。この一線は、相手のサーバーへの礼儀であると同時に、本ツールが攻撃ツールと見なされないための境界線でもあります。

あわせて、自サーバーを踏み台にされないための制限も入れています。プライベート IP アドレスや内部ホスト名は診断対象にできません (DNS 解決後の IP も検査し、リダイレクトのたびに再検査します)。これは本ツールが攻撃者にとっての中継地点にされないようにするための措置です。

アクセスログにはどう記録されますか?

User-Agent は SiteCheck/1.0 (+https://check.itlibra.com) です。ブラウザや検索エンジンを騙ることはせず、必ずこの名前で自己申告します。ログにこの UA を見つけた場合、それは誰かがあなたのサイトを本ツールで診断したという意味です。

User-AgentSiteCheck/1.0 (+https://check.itlibra.com)

ブラウザや検索エンジンの UA を騙ることはしません。自分が誰で、どこから来たのかを必ず名乗ります。 UA の中に本ページへ辿り着ける URL を含めているのは、ログを見た管理者が「これは何だ」と調べたときに、すぐ答えに行き着けるようにするためです。

自分が管理していないサイトも診断できますか?

できます。読み取るのは誰でもブラウザで見られる公開情報だけなので、競合調査や取引先サイトの確認にもお使いいただけます。ただし診断結果は公開情報から読み取れる範囲に限られ、非公開の情報にアクセスすることはありません。

読み取っているのは、ブラウザで URL を開けば誰でも見られる情報と、DNS や WHOIS のように公開が前提の情報だけです。 そのため、競合サイトが AI 向けにどこまで対応しているか、取引先のセキュリティ設定は妥当か、といった調査にも問題なくお使いいただけます。

ただし当然ながら、診断結果は公開情報から読み取れる範囲に限られます。 ログインの内側や、サーバー内部の状態は一切分かりません。

このツールで分からないことは何ですか?

JavaScript を実行しないため SPA の描画後の内容は見えません。色のコントラスト比は静的 HTML から判定できません。DKIM は「無い」ことを証明できません。Core Web Vitals は外部 API に依存します。診断するのは入力された 1 ページのみです。

診断ツールにとって、できないことを隠すのは最も質の悪い嘘です。 利用者は「全項目合格=問題なし」と受け取ってしまうためです。以下は本ツールの限界であり、今後の実装予定ではなく、意図的に扱っていない領域を含みます。

JavaScript を実行しません

React・Vue などで描画される内容は見えません。本文が JavaScript でしか出ないサイトは、本ツールから「本文が空」に見えます。これは不具合ではなく仕様です —— AI クローラーの多くも同じく JavaScript を実行しないため、その状態こそが AI から見た実態だからです。ただし、人間の訪問者やブラウザ実行後の Google からの見え方とは異なります。詳しい解説を読む →

色のコントラスト比は判定できません

実際の色は CSS・カスケード・継承・擬似クラス、さらには画像の背景まで解決して初めて決まります。静的 HTML の読み取りだけでは正確に算出できないため、この項目は実装していません。「判定できたふり」をして誤った合格を出すより、扱わないほうが誠実だと判断しました。コントラスト比は、ブラウザの開発者ツールや axe DevTools のような実ブラウザ上で動く検査ツールをお使いください。

DKIM が「無い」ことは証明できません

DKIM の公開鍵は「セレクタ」という任意の名前の DNS レコードに置かれ、その一覧を DNS から取得する方法は存在しません。本ツールはよく使われる 15 種類を推測で照会しているだけなので、見つからなくても「未設定」とは判定せず、「確認できませんでした」と表示します。詳しい解説を読む →

Core Web Vitals は PageSpeed Insights に依存します

実ユーザーの計測値は Google の CrUX にしか存在せず、本ツールは JavaScript を実行しないため自前でも測れません。PageSpeed Insights API 経由で取得しており、API キーが未設定の環境では推測値を出さず「判定できません」として扱います。TTFB・圧縮・キャッシュ・転送量など、HTML とヘッダだけで正確に測れる項目は常に診断します。詳しい解説を読む →

診断するのは入力された 1 ページだけです

サイト全体をクロールしません(robots.txt・sitemap.xml など、決まった場所にある補助ファイルは除きます)。トップページを診断した結果は、あくまでトップページの評価です。下層ページの状態は別途そのページの URL で診断してください。サイト全体を巡回しないのは、相手サーバーへの負荷を最小限に抑えるためでもあります。

セキュリティ診断は「攻撃されない証明」ではありません

本ツールが確認するのは、公開情報から読み取れる設定の状態です。実際に攻撃を試して脆弱性を実証することはしません。したがって全項目が合格でも、それは「安全である」ことの証明にはなりません。あくまで基本的な設定の健康診断としてお使いください。

なぜ JavaScript を実行しないのですか?

AI クローラーの多くが JavaScript を実行しないからです。素の HTML だけで診断することが、AI から見たあなたのサイトの実態そのものになります。これは技術的な手抜きではなく、本ツールの中核となる意図的な設計判断です。

ヘッドレスブラウザを動かせば JavaScript 実行後の DOM も見られます。それをやらないのには理由があります。

  • 実行しないことが、そのまま診断の価値になる。AI クローラーの多くは JavaScript を実行しません。素の HTML で見えるものが、AI から見えるものそのものです
  • 相手サーバーへの負荷が跳ね上がる。ヘッドレスブラウザは全アセットを読み込むため、12 件では済まなくなります。非侵襲という原則と両立しません
  • 無料で公開するツールとして持続しない。1 診断あたり 20〜40 秒・メモリ 1GB 超。悪用されたときのコストが跳ね上がります

したがって、本ツールの結果は「AI から見たあなたのサイト」として読んでください。 人間の訪問者や、JavaScript を実行する Google の見え方とは異なる場合があります。その差こそが、JavaScript なしで本文が読めないと、AI に引用されない で解説している問題そのものです。

診断結果や入力した URL は保存されますか?

保存しません。本ツールはデータベースを持たないステートレスな設計で、診断結果はブラウザに送信した時点で消えます。履歴機能も共有 URL もないのは、その裏返しです。結果ページは noindex なので、検索結果に現れることもありません。

本ツールはデータベースを一切持ちません。診断結果は取得したその場でブラウザへ流し、サーバー側には残しません。 そのため履歴機能も、結果の共有 URL もありません。これは機能不足ではなく、保存しない設計を選んだことの当然の帰結です。

  • 診断結果・入力された URL をデータベースに保存することはありません(そもそも DB がありません)
  • 診断結果のページは noindex です。他人のサイトの診断結果が検索に出ることはありません
  • ログイン・会員登録が無いため、個人を識別する情報を預かること自体がありません
  • エラー調査とレート制限のため、サーバーのアクセスログには一時的に記録が残ります。日別に保存し、30 日で自動削除します

診断結果を noindex にしているのには、もう 1 つ理由があります。自動生成されたレポートを検索エンジンに大量登録するのは、典型的な低品質コンテンツだからです。 本サイトが検索に載せるのは、手書きの解説ページ だけにしています。 自分たちが減点する行為を、自分たちがやるわけにはいきません。

誰が運営していますか?

JIT株式会社が開発・運営しています。診断内容に関するご質問、掲載されたくないサイトのご相談、不具合のご報告は、itlibra.com のお問い合わせフォームよりご連絡ください。

運営者
JIT株式会社
サイト
itlibra.com
本ツール
check.itlibra.com — 無料・登録不要
お問い合わせ
itlibra.com のお問い合わせフォームよりご連絡ください

診断内容へのご指摘、判定が誤っているのではないかというご報告、本ツールからのアクセスに関するご相談は、いずれもお問い合わせフォームで承ります。判定ロジックの誤りのご指摘は特に歓迎します —— 診断ツールが間違った判定を出し続けるのは、何もしないより有害だからです。

解説ページ

診断で指摘された項目の「なぜ」と「どう直すか」は、こちらにまとめています。

JavaScript なしで本文が読めないと、AI に引用されない

AI クローラーの多くは JavaScript を実行しません。SPA の空の HTML が AI から見てどうなるか、どう直すかを解説します。

llms.txt とは — AI 向けのサイト案内ファイル

robots.txt が「入っていいか」を示すのに対し、llms.txt は「何が書いてあるか」を AI に伝えます。書き方と実例。

GPTBot・ClaudeBot を許可すべきか、拒否すべきか

主要な AI クローラー 20 種の正体と、robots.txt での制御方法。許可・拒否それぞれの損得を整理します。

構造化データ(JSON-LD)の書き方

FAQPage・HowTo・Article・Organization。検索結果のリッチリザルトと AI の回答引用に効く構造化データの実装。

AI に回答として引用される文章の構造

質問形式の見出しの直下に、40〜300 字の簡潔な答えを置く。AEO の基本パターンを解説します。

CSP(Content-Security-Policy)の導入手順

広告・解析タグを壊さずに CSP を導入する現実的な手順。Report-Only から始めて nonce へ移行するまで。

セキュリティヘッダ 7 種の意味と設定

HSTS・X-Frame-Options・nosniff・Referrer-Policy・Permissions-Policy。何を防ぐのか、どう書くのか。

Core Web Vitals — LCP・INP・CLS の改善

実ユーザーデータ(CrUX)とシミュレーション値(Lighthouse)の違いから、具体的な改善策まで。

SPF・DMARC でなりすましメールを防ぐ

メールを送らないドメインにも SPF・DMARC が必要な理由と、p=none から p=reject までの進め方。

まずは試してみてください

URL を入れるだけ・登録不要・完全無料。9 カテゴリ 109 項目を数秒で診断します。

無料で診断する