100点満点のサンプルレポート
全16項目が「○」判定となった場合のレポート見本です。商談時に「目指す状態」として顧客に提示するための参考資料としてご利用ください。 実在しない仮想企業(株式会社サンプルテック)を対象としています。
レポートプレビュー
外部公開情報ベース 簡易セキュリティ診断レポート
対象企業:株式会社サンプルテック(100点満点の見本)Webサイト:https://www.sampletech.co.jp
なるテック
作成日:2026年5月31日
総合スコア
100/100
判定ランク
A
診断対象
公開Webサイト・採用サイト・SNS・メールドメイン
優先確認事項
0件
カテゴリ別レーダーチャート(6分類)
カテゴリ別スコア(6分類)
優先確認事項 TOP5
- 外部公開情報からは大きな優先確認事項は見当たりません。
確認項目一覧
| No. | 確認項目 | 判定 | 結果概要 | 備考 |
|---|---|---|---|---|
| 1 | HTTPS対応 | ○ | 全ページでHTTPSが有効 | https://www.sampletech.co.jp/ → 200(HTTP/2有効) |
| 2 | HTTP→HTTPS転送 | ○ | 301リダイレクトで転送 | http:// → https:// へ恒久リダイレクト |
| 3 | SSL/TLS証明書 | ○ | 有効な証明書を使用 | 有効期限:2027/06/30 / DigiCert発行 / TLS 1.3対応 |
| 4 | HSTS | ○ | 設定済み(preload候補) | max-age=31536000; includeSubDomains; preload |
| 5 | CSP(Content Security Policy) | ○ | 厳格なポリシーで設定済み | default-src 'self'; script-src 'self' 'nonce-…' 等で限定 |
| 6 | X-Frame-Options | ○ | 設定済み | SAMEORIGIN(CSPのframe-ancestorsとも整合) |
| 7 | Referrer-Policy | ○ | 設定済み | strict-origin-when-cross-origin |
| 8 | Permissions-Policy | ○ | 設定済み | camera=(), microphone=(), geolocation=(), payment=() |
| 9 | Cookie属性(Secure/HttpOnly/SameSite) | ○ | 全Cookieに3属性付与 | セッションCookieはSameSite=Strict、その他はLax |
| 10 | SPF | ○ | 設定済み(-all) | v=spf1 include:_spf.sampletech.co.jp -all |
| 11 | DKIM | ○ | 署名付与あり | rsa-sha256で署名・受信側で検証pass想定 |
| 12 | DMARC | ○ | 設定済み(p=reject) | v=DMARC1; p=reject; rua=mailto:dmarc@sampletech.co.jp |
| 13 | プライバシーポリシー | ○ | 公開あり | /privacy にて公開・最終改訂2025/04/01 |
| 14 | 情報セキュリティ方針 | ○ | 公開あり | /security にて公開・経営層承認2025/03/15 |
| 15 | 問い合わせフォーム保護 | ○ | reCAPTCHA v3で保護 | reCAPTCHA v3導入・送信レート制限あり |
| 16 | 公開技術情報の露出 | ○ | 露出なし | Server/X-Powered-By/generatorともに匿名化済み |
| 17 | robots.txtの整備 | ○ | 設置済み | disallow 4件 / sitemap指定あり / 適切な粒度 |
| 18 | エラーページの技術情報露出 | ○ | 露出なし | 404応答(HTTP 404)にカスタムページ、技術情報の露出なし |
| 19 | 情報セキュリティ基本方針の公開 | ○ | 公開あり | 経営層承認・改訂履歴明示 |
| 20 | セキュリティ連絡窓口 | ○ | security.txtで専用窓口を公開 | /.well-known/security.txt 設置・security@sampletech.co.jp |
| 21 | security.txt(脆弱性開示窓口) | ○ | 設置済み(Expires指定あり) | /.well-known/security.txt(RFC 9116準拠・Expires=2026-12-31) |
| 22 | 取引先へ提示可能な基本方針 | ○ | プライバシー・セキュリティ方針ともに公開 | プライバシー:公開 / 情報セキュリティ:公開 / SECURITY ACTION二つ星 |
改善の方向性
- ・現状の整備状況を継続維持し、定期的な再確認を推奨
- ・ISMS(ISO/IEC 27001)取得など更なる第三者認証の検討
- ・SECURITY ACTION二つ星から、より高度な認証取得へのロードマップ整備
主な確認ソース
- ・Webサイト応答ヘッダー(サーバー応答)
- ・DNS公開情報(MX / SPF / DMARC 等)
- ・SSL/TLS証明書情報
- ・公開ポリシーページ(プライバシーポリシー等)
- ・問い合わせフォームの挙動確認
次のご提案
- 1現状維持のためのモニタリングDMARCレポート監視・証明書期限監視・脆弱性スキャンの定期実施
- 2内部診断への展開外部だけでなく業務システム・端末・アカウント管理の診断
- 3第三者認証取得ISMS・プライバシーマーク等の認証取得支援
- 4社員向け継続教育標的型攻撃訓練・インシデント対応訓練の実施
診断項目の詳細解説と判定基準
なるテック
2 / 2 ページ・作成日:2026年5月31日
判定マークの意味
- ○確認できた
- △一部のみ確認
- ×確認できない / 要改善
- -外部公開情報では判定不能
- 要目視・専門確認が必要
カテゴリ別配点(合計100点)
- Web基本対策100/100配点25
- メール・ドメイン100/100配点20
- 公開情報管理100/100配点15
- 技術露出100/100配点15
- 運用体制100/100配点15
- 取引先説明力100/100配点10
総合スコア=(各カテゴリ100点満点の値)×(カテゴリ配点)の加重平均。項目重み×判定係数(○=1.0/△=0.5/×=0/-=0.6)で算出。
ランク判定基準と本レポートの位置
| ランク | スコア | 状態の目安 |
|---|---|---|
| A | 85点以上 | 外部公開情報上、基本的な整備状況が確認できます |
| B | 70〜84点 | 基本的な対策は確認できるが一部確認事項あり |
| C | 55〜69点 | 複数の改善余地・追加確認事項あり |
| D | 40〜54点 | 優先的に確認すべき項目が複数 |
| E | 39点以下 | 外部公開情報上、早期確認を推奨 |
本レポートは外部公開情報のみを対象とした初期確認資料です。脆弱性診断・ペネトレーションテストや監査報告書ではなく、内部診断へつなぐ一次評価として位置づけられます。
Web基本対策
配点25100/100
- ○HTTPS対応満点状態:Webサイトの全てのページがHTTPSで提供されており、HTTP/2以上が有効になっている。改善方向:Webサーバーで有効なSSL/TLS証明書を導入し、全コンテンツをHTTPSで提供する。
- ○HTTP→HTTPS転送満点状態:HTTPでアクセスされた場合、サーバー側で必ずHTTPSへ301リダイレクトされる設定になっている。改善方向:Webサーバー設定(nginx/Apache等)でHTTP→HTTPSの恒久的リダイレクト(301)を設定する。
- ○SSL/TLS証明書満点状態:公的認証局が発行する有効な証明書を使用し、有効期限まで十分な余裕があり、対象ドメインと一致している。改善方向:Let's Encryptや商用認証局で適切な証明書を取得し、自動更新を設定する。
- ○HSTS満点状態:`max-age=31536000`以上、`includeSubDomains`指定、可能であれば`preload`登録済み。改善方向:Webサーバーで`Strict-Transport-Security: max-age=31536000; includeSubDomains`を追加する。
- ○CSP(Content Security Policy)満点状態:`default-src 'self'`を基準に、必要最小限のドメインのみ許可されたポリシーが定義されている。改善方向:段階的にCSPを導入する(最初は`Content-Security-Policy-Report-Only`で観測→本適用)。
- ○X-Frame-Options満点状態:`X-Frame-Options: DENY`または`SAMEORIGIN`、もしくはCSPで`frame-ancestors 'self'`が設定されている。改善方向:Webサーバーで`X-Frame-Options: SAMEORIGIN`またはCSPの`frame-ancestors`を設定する。
- ○Referrer-Policy満点状態:`strict-origin-when-cross-origin`または`no-referrer`が設定され、外部サイト遷移時にURLパス・クエリ情報が漏れない。改善方向:Webサーバーで`Referrer-Policy: strict-origin-when-cross-origin`を設定する。
- ○Permissions-Policy満点状態:カメラ・マイク・位置情報・支払い等の不要な機能が明示的に無効化されている。改善方向:`Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()`等、用途に応じて設定する。
- ○Cookie属性(Secure/HttpOnly/SameSite)満点状態:発行する全てのCookieに`Secure; HttpOnly; SameSite=Lax`以上が付与されており、セッションCookieは`SameSite=Strict`を推奨。改善方向:アプリケーションのCookie発行コードで全Cookieに3属性を付与する。フレームワーク既定値の確認も推奨。
取引先説明力
配点10100/100
- ○取引先へ提示可能な基本方針満点状態:両方針が公開済みで、加えてSECURITY ACTIONの二つ星宣言、ISMS等の認証取得状況も明示されている。改善方向:両方針を整備したうえで、SECURITY ACTION自己宣言や認証取得に進むロードマップを策定する。
メール・ドメイン
配点20100/100
- ○SPF満点状態:送信元として認可されたサーバーのみが指定され、末尾が`-all`(厳格)になっている。改善方向:認可された送信サーバーのIPを指定するSPFレコードをDNSに登録する。
- ○DKIM満点状態:送信メールにDKIM署名が付与されており、受信側で署名検証に通る。改善方向:メールサーバー(Microsoft 365 / Google Workspace / 自社SMTP)でDKIM署名鍵を設定し、DNSにセレクタTXTを登録する。
- ○DMARC満点状態:`v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com`のように、本番運用としてrejectまたはquarantine、レポート受信先まで設定されている。改善方向:SPF・DKIM整備後、`p=none`からスタートしてレポートを観測し、段階的に`quarantine`→`reject`へ強化する。
公開情報管理
配点15100/100
- ○プライバシーポリシー満点状態:個人情報の利用目的・第三者提供・保管期間・問い合わせ窓口が明記された方針が公式サイトのフッター等から1クリックで到達可能。改善方向:公開テンプレートを参考に、自社の事業内容に合わせたプライバシーポリシーを整備し、フッターからリンクする。
- ○情報セキュリティ方針満点状態:経営層が承認した情報セキュリティ基本方針が公式サイトで公開され、定期的に見直しの記録が更新されている。改善方向:経済産業省・IPAが公開する雛形をベースに自社向けに整備し、経営会議で承認後、公式サイトに掲載する。
- ○問い合わせフォーム保護満点状態:フォームはHTTPS提供、reCAPTCHA v3等の不正検知、送信レート制限、入力値バリデーションが実装されている。改善方向:reCAPTCHAまたはhCaptchaを導入し、送信頻度制限・入力サニタイズを実装する。
技術露出
配点15100/100
- ○公開技術情報の露出満点状態:サーバー種別やフレームワーク・バージョンが外部から判別できないよう設定され、採用ページにも特定可能な構成情報が記載されていない。改善方向:Webサーバー設定でServerヘッダー・X-Powered-Byを削除/匿名化する。採用ページの技術スタック記載は粒度を調整する。
- ○robots.txtの整備満点状態:クローラーに公開してよい範囲が明示され、管理画面や非公開ディレクトリは`Disallow`で除外、sitemapが正しく指定されている。改善方向:公開してよい範囲のみを記載し、機密パスは記載しない方針で見直す。sitemap指定を追加する。
- ○エラーページの技術情報露出満点状態:カスタム404ページが用意され、技術スタック・バージョン・スタックトレースを一切含まない汎用的なメッセージのみ表示される。改善方向:本番環境ではデバッグモードを無効化し、汎用的なカスタム404・500ページを設置する。サーバーヘッダーも匿名化する。
運用体制
配点15100/100
- ○情報セキュリティ基本方針の公開満点状態:基本方針が公式サイトに掲載され、最終改訂日・承認者が明示されている。改善方向:IPA等の雛形を参考に整備し、経営会議で承認後に公開する。
- ○セキュリティ連絡窓口満点状態:`security@example.com`等の専用窓口が公開され、脆弱性情報の取り扱いポリシー(VDP)が明示されている。改善方向:`/.well-known/security.txt`を設置し、専用連絡先と対応ポリシーを公開する。
- ○security.txt(脆弱性開示窓口)満点状態:RFC 9116準拠で設置され、`Contact:`(連絡先)と`Expires:`(有効期限)が記載されている。可能であれば`Policy:`(VDP文書のURL)・`Encryption:`(PGP鍵)も整備。改善方向:`Contact: mailto:security@…`と`Expires: YYYY-MM-DDT00:00:00Z`を最低限含む`security.txt`を`/.well-known/`配下に設置する。
外部公開情報ベース 簡易セキュリティ診断レポート
対象企業:株式会社サンプルテック(100点満点の見本)Webサイト:https://www.sampletech.co.jp
なるテック
作成日:2026年5月31日
総合スコア
100/100
判定ランク
A
診断対象
公開Webサイト・採用サイト・SNS・メールドメイン
優先確認事項
0件
カテゴリ別レーダーチャート(6分類)
カテゴリ別スコア(6分類)
優先確認事項 TOP5
- 外部公開情報からは大きな優先確認事項は見当たりません。
確認項目一覧
| No. | 確認項目 | 判定 | 結果概要 | 備考 |
|---|---|---|---|---|
| 1 | HTTPS対応 | ○ | 全ページでHTTPSが有効 | https://www.sampletech.co.jp/ → 200(HTTP/2有効) |
| 2 | HTTP→HTTPS転送 | ○ | 301リダイレクトで転送 | http:// → https:// へ恒久リダイレクト |
| 3 | SSL/TLS証明書 | ○ | 有効な証明書を使用 | 有効期限:2027/06/30 / DigiCert発行 / TLS 1.3対応 |
| 4 | HSTS | ○ | 設定済み(preload候補) | max-age=31536000; includeSubDomains; preload |
| 5 | CSP(Content Security Policy) | ○ | 厳格なポリシーで設定済み | default-src 'self'; script-src 'self' 'nonce-…' 等で限定 |
| 6 | X-Frame-Options | ○ | 設定済み | SAMEORIGIN(CSPのframe-ancestorsとも整合) |
| 7 | Referrer-Policy | ○ | 設定済み | strict-origin-when-cross-origin |
| 8 | Permissions-Policy | ○ | 設定済み | camera=(), microphone=(), geolocation=(), payment=() |
| 9 | Cookie属性(Secure/HttpOnly/SameSite) | ○ | 全Cookieに3属性付与 | セッションCookieはSameSite=Strict、その他はLax |
| 10 | SPF | ○ | 設定済み(-all) | v=spf1 include:_spf.sampletech.co.jp -all |
| 11 | DKIM | ○ | 署名付与あり | rsa-sha256で署名・受信側で検証pass想定 |
| 12 | DMARC | ○ | 設定済み(p=reject) | v=DMARC1; p=reject; rua=mailto:dmarc@sampletech.co.jp |
| 13 | プライバシーポリシー | ○ | 公開あり | /privacy にて公開・最終改訂2025/04/01 |
| 14 | 情報セキュリティ方針 | ○ | 公開あり | /security にて公開・経営層承認2025/03/15 |
| 15 | 問い合わせフォーム保護 | ○ | reCAPTCHA v3で保護 | reCAPTCHA v3導入・送信レート制限あり |
| 16 | 公開技術情報の露出 | ○ | 露出なし | Server/X-Powered-By/generatorともに匿名化済み |
| 17 | robots.txtの整備 | ○ | 設置済み | disallow 4件 / sitemap指定あり / 適切な粒度 |
| 18 | エラーページの技術情報露出 | ○ | 露出なし | 404応答(HTTP 404)にカスタムページ、技術情報の露出なし |
| 19 | 情報セキュリティ基本方針の公開 | ○ | 公開あり | 経営層承認・改訂履歴明示 |
| 20 | セキュリティ連絡窓口 | ○ | security.txtで専用窓口を公開 | /.well-known/security.txt 設置・security@sampletech.co.jp |
| 21 | security.txt(脆弱性開示窓口) | ○ | 設置済み(Expires指定あり) | /.well-known/security.txt(RFC 9116準拠・Expires=2026-12-31) |
| 22 | 取引先へ提示可能な基本方針 | ○ | プライバシー・セキュリティ方針ともに公開 | プライバシー:公開 / 情報セキュリティ:公開 / SECURITY ACTION二つ星 |
改善の方向性
- ・現状の整備状況を継続維持し、定期的な再確認を推奨
- ・ISMS(ISO/IEC 27001)取得など更なる第三者認証の検討
- ・SECURITY ACTION二つ星から、より高度な認証取得へのロードマップ整備
主な確認ソース
- ・Webサイト応答ヘッダー(サーバー応答)
- ・DNS公開情報(MX / SPF / DMARC 等)
- ・SSL/TLS証明書情報
- ・公開ポリシーページ(プライバシーポリシー等)
- ・問い合わせフォームの挙動確認
次のご提案
- 1現状維持のためのモニタリングDMARCレポート監視・証明書期限監視・脆弱性スキャンの定期実施
- 2内部診断への展開外部だけでなく業務システム・端末・アカウント管理の診断
- 3第三者認証取得ISMS・プライバシーマーク等の認証取得支援
- 4社員向け継続教育標的型攻撃訓練・インシデント対応訓練の実施
診断項目の詳細解説と判定基準
なるテック
2 / 2 ページ・作成日:2026年5月31日
判定マークの意味
- ○確認できた
- △一部のみ確認
- ×確認できない / 要改善
- -外部公開情報では判定不能
- 要目視・専門確認が必要
カテゴリ別配点(合計100点)
- Web基本対策100/100配点25
- メール・ドメイン100/100配点20
- 公開情報管理100/100配点15
- 技術露出100/100配点15
- 運用体制100/100配点15
- 取引先説明力100/100配点10
総合スコア=(各カテゴリ100点満点の値)×(カテゴリ配点)の加重平均。項目重み×判定係数(○=1.0/△=0.5/×=0/-=0.6)で算出。
ランク判定基準と本レポートの位置
| ランク | スコア | 状態の目安 |
|---|---|---|
| A | 85点以上 | 外部公開情報上、基本的な整備状況が確認できます |
| B | 70〜84点 | 基本的な対策は確認できるが一部確認事項あり |
| C | 55〜69点 | 複数の改善余地・追加確認事項あり |
| D | 40〜54点 | 優先的に確認すべき項目が複数 |
| E | 39点以下 | 外部公開情報上、早期確認を推奨 |
本レポートは外部公開情報のみを対象とした初期確認資料です。脆弱性診断・ペネトレーションテストや監査報告書ではなく、内部診断へつなぐ一次評価として位置づけられます。
Web基本対策
配点25100/100
- ○HTTPS対応満点状態:Webサイトの全てのページがHTTPSで提供されており、HTTP/2以上が有効になっている。改善方向:Webサーバーで有効なSSL/TLS証明書を導入し、全コンテンツをHTTPSで提供する。
- ○HTTP→HTTPS転送満点状態:HTTPでアクセスされた場合、サーバー側で必ずHTTPSへ301リダイレクトされる設定になっている。改善方向:Webサーバー設定(nginx/Apache等)でHTTP→HTTPSの恒久的リダイレクト(301)を設定する。
- ○SSL/TLS証明書満点状態:公的認証局が発行する有効な証明書を使用し、有効期限まで十分な余裕があり、対象ドメインと一致している。改善方向:Let's Encryptや商用認証局で適切な証明書を取得し、自動更新を設定する。
- ○HSTS満点状態:`max-age=31536000`以上、`includeSubDomains`指定、可能であれば`preload`登録済み。改善方向:Webサーバーで`Strict-Transport-Security: max-age=31536000; includeSubDomains`を追加する。
- ○CSP(Content Security Policy)満点状態:`default-src 'self'`を基準に、必要最小限のドメインのみ許可されたポリシーが定義されている。改善方向:段階的にCSPを導入する(最初は`Content-Security-Policy-Report-Only`で観測→本適用)。
- ○X-Frame-Options満点状態:`X-Frame-Options: DENY`または`SAMEORIGIN`、もしくはCSPで`frame-ancestors 'self'`が設定されている。改善方向:Webサーバーで`X-Frame-Options: SAMEORIGIN`またはCSPの`frame-ancestors`を設定する。
- ○Referrer-Policy満点状態:`strict-origin-when-cross-origin`または`no-referrer`が設定され、外部サイト遷移時にURLパス・クエリ情報が漏れない。改善方向:Webサーバーで`Referrer-Policy: strict-origin-when-cross-origin`を設定する。
- ○Permissions-Policy満点状態:カメラ・マイク・位置情報・支払い等の不要な機能が明示的に無効化されている。改善方向:`Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()`等、用途に応じて設定する。
- ○Cookie属性(Secure/HttpOnly/SameSite)満点状態:発行する全てのCookieに`Secure; HttpOnly; SameSite=Lax`以上が付与されており、セッションCookieは`SameSite=Strict`を推奨。改善方向:アプリケーションのCookie発行コードで全Cookieに3属性を付与する。フレームワーク既定値の確認も推奨。
取引先説明力
配点10100/100
- ○取引先へ提示可能な基本方針満点状態:両方針が公開済みで、加えてSECURITY ACTIONの二つ星宣言、ISMS等の認証取得状況も明示されている。改善方向:両方針を整備したうえで、SECURITY ACTION自己宣言や認証取得に進むロードマップを策定する。
メール・ドメイン
配点20100/100
- ○SPF満点状態:送信元として認可されたサーバーのみが指定され、末尾が`-all`(厳格)になっている。改善方向:認可された送信サーバーのIPを指定するSPFレコードをDNSに登録する。
- ○DKIM満点状態:送信メールにDKIM署名が付与されており、受信側で署名検証に通る。改善方向:メールサーバー(Microsoft 365 / Google Workspace / 自社SMTP)でDKIM署名鍵を設定し、DNSにセレクタTXTを登録する。
- ○DMARC満点状態:`v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com`のように、本番運用としてrejectまたはquarantine、レポート受信先まで設定されている。改善方向:SPF・DKIM整備後、`p=none`からスタートしてレポートを観測し、段階的に`quarantine`→`reject`へ強化する。
公開情報管理
配点15100/100
- ○プライバシーポリシー満点状態:個人情報の利用目的・第三者提供・保管期間・問い合わせ窓口が明記された方針が公式サイトのフッター等から1クリックで到達可能。改善方向:公開テンプレートを参考に、自社の事業内容に合わせたプライバシーポリシーを整備し、フッターからリンクする。
- ○情報セキュリティ方針満点状態:経営層が承認した情報セキュリティ基本方針が公式サイトで公開され、定期的に見直しの記録が更新されている。改善方向:経済産業省・IPAが公開する雛形をベースに自社向けに整備し、経営会議で承認後、公式サイトに掲載する。
- ○問い合わせフォーム保護満点状態:フォームはHTTPS提供、reCAPTCHA v3等の不正検知、送信レート制限、入力値バリデーションが実装されている。改善方向:reCAPTCHAまたはhCaptchaを導入し、送信頻度制限・入力サニタイズを実装する。
技術露出
配点15100/100
- ○公開技術情報の露出満点状態:サーバー種別やフレームワーク・バージョンが外部から判別できないよう設定され、採用ページにも特定可能な構成情報が記載されていない。改善方向:Webサーバー設定でServerヘッダー・X-Powered-Byを削除/匿名化する。採用ページの技術スタック記載は粒度を調整する。
- ○robots.txtの整備満点状態:クローラーに公開してよい範囲が明示され、管理画面や非公開ディレクトリは`Disallow`で除外、sitemapが正しく指定されている。改善方向:公開してよい範囲のみを記載し、機密パスは記載しない方針で見直す。sitemap指定を追加する。
- ○エラーページの技術情報露出満点状態:カスタム404ページが用意され、技術スタック・バージョン・スタックトレースを一切含まない汎用的なメッセージのみ表示される。改善方向:本番環境ではデバッグモードを無効化し、汎用的なカスタム404・500ページを設置する。サーバーヘッダーも匿名化する。
運用体制
配点15100/100
- ○情報セキュリティ基本方針の公開満点状態:基本方針が公式サイトに掲載され、最終改訂日・承認者が明示されている。改善方向:IPA等の雛形を参考に整備し、経営会議で承認後に公開する。
- ○セキュリティ連絡窓口満点状態:`security@example.com`等の専用窓口が公開され、脆弱性情報の取り扱いポリシー(VDP)が明示されている。改善方向:`/.well-known/security.txt`を設置し、専用連絡先と対応ポリシーを公開する。
- ○security.txt(脆弱性開示窓口)満点状態:RFC 9116準拠で設置され、`Contact:`(連絡先)と`Expires:`(有効期限)が記載されている。可能であれば`Policy:`(VDP文書のURL)・`Encryption:`(PGP鍵)も整備。改善方向:`Contact: mailto:security@…`と`Expires: YYYY-MM-DDT00:00:00Z`を最低限含む`security.txt`を`/.well-known/`配下に設置する。