# Security.txt ファイルとは何か、なぜ作成すべきなのか
現代のサイバーセキュリティにおいて、透明性とコミュニケーションは不可欠です。システム管理者、Web 開発者、またはデジタルビジネスの運営者であれば、robots.txt や ads.txt といった、機械がサイトを理解するのを助けるテキストファイルをご存知でしょう。しかし、プラットフォームの信頼性にとって重要でありながらあまり知られていない標準があります。それが RFC 9116 で定義された Security.txt です。security.txt ファイルを作成する目的は、セキュリティ研究者が脆弱性を発見した際に、ウェブサイトの管理者に連絡するための標準化された手段を提供することです。このファイルがなければ、システムの欠陥を見つけた倫理的なハッカーは誰に報告すればよいかわからず、情報が埋もれたり、予告なく公開されたり、悪意ある攻撃者に悪用されるリスクが生じます。# RFC 9116 に沿って Security.txt を作成・設置する方法
この標準では、ファイルをサーバーの特定の場所に置くことが求められています。それがフォルダ/.well-known/ です。最終的なパスは通常 https://yourdomain.com/.well-known/security.txt となります。ルートへの設置(/security.txt)も許可されていますが、自動スキャンツールでは前者が優先されます。# 必ず含めるべき必須フィールド
security.txt のコードを生成する際には、少なくとも次の2つの重要な要素を含める必要があります。- Contact: 報告を受け付けるメールアドレスまたはフォームの URL。
mailto:またはhttps://から始まる必要があります。 - Expires: ファイルの情報が無効になる日付(ISO 8601 形式)。1年以上先の日付は設定しないことが推奨されます。
# 高度なセキュリティのための任意フィールド
より堅牢なウェブサイト保護を目指すサイトには、標準規格が追加フィールドを提供しています。- Encryption: 研究者が暗号化された情報を送れるよう、PGP 公開鍵へのリンクを提供します。
- Policy: 責任ある情報開示プロセスを説明したセキュリティポリシーページへのリンク。
- Acknowledgments: 研究者への「殿堂」や感謝ページへのリンク。
- Hiring: サイバーセキュリティ関連の求人情報へのリンク。
# 無料の Security.txt ジェネレーターを使うメリット
ウェブサイトのセキュリティ連絡先を素早く取得する方法を知りたいという声はよく聞かれます。本ツールを使えば、複雑な技術文書を読まなくても RFC 9116 のフォーマットに厳密に準拠したファイルを作成できます。ジェネレーターを使うことで、よくある構文ミスも防げます。mailto: プレフィックスの付け忘れや、有効期限のタイムゾーン指定の誤りがあると、研究者の自動ツールがファイルを無視してしまうことがあります。# SEO とウェブの信頼性への影響
security.txt は、ページ速度や HTTPS のように Google の直接的なランキング要因ではありませんが、間接的な影響があります。脆弱性を適切に管理するサイトは、SEO を数時間で台無しにしかねない大規模な攻撃(改ざん、スパム注入)を未然に防げます。また、SecurityScorecard や BitSight などの企業向けセキュリティ評価プラットフォームは、この標準を実装しているドメインに加点しています。