サイト監査チェックリスト 48項目【個人開発者向け完全版】

DevForge のサイト監査は、合計 48 項目を 6 カテゴリで自動チェックします。内訳はセキュリティ 11・SEO 15・LLMO 9・パフォーマンス 6・アクセシビリティ 2・連携 5。それぞれ pass（1点）/ warn（0.5点）/ fail（0点）で採点し、100点満点に換算します。以下、全項目を確認方法と対処法つきで解説します。

セキュリティ (11 項目)

1. HTTPS

URL が https:// で始まっているか。Let's Encrypt で無料取得可能。Caddy / Vercel / Cloudflare を使えば自動で設定されます。

2. HTTP→HTTPS リダイレクト

http:// でアクセスした際に自動で https:// にリダイレクトされるか。Caddy は既定で対応しています。サブドメインやドメイン側設定でリダイレクトが抜けるケースに注意。

3. HSTS (Strict-Transport-Security)

ブラウザに HTTPS 接続を強制するヘッダー。Strict-Transport-Security: max-age=31536000; includeSubDomains を追加。

4. X-Frame-Options

クリックジャッキング対策。X-Frame-Options: SAMEORIGIN もしくは CSP の frame-ancestors で制御。

5. X-Content-Type-Options

MIME スニッフィング対策。X-Content-Type-Options: nosniff を追加するだけ。

6. Referrer-Policy

リファラー情報の送信範囲を制御するヘッダー。Referrer-Policy: strict-origin-when-cross-origin が無難な既定値です。

7. サーバ情報の露出

Server / X-Powered-By ヘッダーでミドルウェアのバージョンを晒していないか。攻撃者に既知脆弱性のヒントを与えるため、削除またはマスクします。

8. Cookie 属性

Set-Cookie に Secure / HttpOnly / SameSite が付いているか。セッション Cookie の盗聴・CSRF 対策の基本です。

9. .env 露出

/.env を外部からアクセス可能にしていないか。危険度最高。Web サーバー設定でブロックしてください。DevForge は実際に GET し中身が KEY=value 形式かまで確認します。

10. .git 露出

/.git/config 等がアクセス可能だとソースコード全体が復元される恐れがあります。デプロイ時に .git を含めない、または明示的にブロック。

11. Mixed Content

HTTPS ページ内で http:// のリソース (画像・CSS・JS) を読んでいないか。すべて https:// または protocol-relative // に統一。

SEO (15 項目)

1. robots.txt

クロール制御ファイルがあるか。ルートに /robots.txt を設置。

2. sitemap.xml

サイトマップがあり、robots.txt から参照されているか。Next.js なら app/sitemap.ts で動的生成可能。

3. meta title

10-70 文字の <title> タグがあるか。検索結果に表示される最重要要素。

4. meta description

50-160 文字の description があるか。CTR に大きく影響します。

5. viewport

モバイル最適化の viewport meta タグがあるか。<meta name="viewport" content="width=device-width, initial-scale=1">

6. canonical URL

重複コンテンツ対策の <link rel="canonical" href="..."> があるか。

7. OGP タグ

og:title, og:description, og:image の3つが揃っているか。SNS シェア時のプレビューに必須。

8. Twitter Card

twitter:card（summary_large_image 等）が指定されているか。X(Twitter) でのシェア表示を最適化します。

9. H1 タグ

H1 が 1 つだけあるか。0 個は論外、複数は混乱します。

10. lang 属性

<html lang="ja"> のように lang が指定されているか。多言語サイトでは必須。

11. favicon

/favicon.ico もしくは <link rel="icon"> が設置されているか。空ファイル(0バイト)を返していないかも確認しましょう。

12. apple-touch-icon

iOS のホーム画面追加用アイコン。<link rel="apple-touch-icon" href="..."> を設置。

13. theme-color

<meta name="theme-color"> でモバイルブラウザのアドレスバー色を指定。ブランド体験の細部です。

14. robots meta タグ

<meta name="robots" content="index,follow"> など、ページ単位のインデックス指示が適切か。誤って noindex のまま公開していないか確認。

15. hreflang

多言語サイトで <link rel="alternate" hreflang="..."> を設定し、言語別 URL の対応関係を検索エンジンに伝えているか。単一言語サイトでは対象外。

LLMO (9 項目)

LLMO（AI検索最適化）の背景は「LLMO とは何か」「llms.txt 完全ガイド」も併せてお読みください。監査対象の 9 項目は以下です。

1. llms.txt

/llms.txt または /llms-full.txt が設置されているか。AI にサイト概要と主要リンクを Markdown で伝えるファイルです。

2. AI クローラー許可

robots.txt で GPTBot・ClaudeBot・PerplexityBot・Google-Extended 等をブロックしていないか。引用・流入を狙うなら許可が基本。

3. JSON-LD

schema.org ベースの構造化データが <script type="application/ld+json"> で埋め込まれているか。

4. schema.org タイプ

JSON-LD の @type が WebSite / Article / SoftwareApplication など適切に指定されているか。汎用すぎる Thing だけだと効果が薄い。

5. セマンティック HTML

<article> / <main> / <section> / <nav> / <header> / <footer> 等の意味のあるタグでページ構造を明示できているか。

6. 画像 alt 属性カバレッジ

LLM が画像内容を理解するための alt 属性の設置率（80% 以上で合格）。

7. コンテンツ抽出可能性

AI クローラーは JS を実行しないため、HTML 時点で十分な本文が必要（1000 文字以上で合格）。SSR/SSG で対応。

8. 記事メタデータ

記事ページで datePublished / author 等の BlogPosting 構造化データがあるか。AI が引用元・鮮度を判断する材料になります。

9. RSS/Atom フィード

更新を機械可読で配信する RSS/Atom フィードがあるか。AI エージェントやリーダーが新着を検知しやすくなります。

パフォーマンス (6 項目)

1. レスポンス時間

初回 HTML の応答が十分速いか。遅いと Core Web Vitals と直帰率の両方に響きます。

2. 圧縮 (gzip/br)

Content-Encoding で gzip または brotli 圧縮が効いているか。テキスト系の転送量を大幅に削減できます。

3. Cache-Control

静的アセットに適切な Cache-Control が設定されているか。再訪問時の表示が速くなります。

4. HTML サイズ

HTML が肥大化していないか。巨大なインライン JSON やインライン CSS は分割を検討。

5. 画像 width/height

<img> に width/height（または aspect-ratio）が指定されているか。レイアウトシフト(CLS)を防ぎます。

6. 画像 lazy loading

ファーストビュー外の画像に loading="lazy" を付けているか。初期表示の負荷を下げます。

アクセシビリティ (2 項目)

1. ARIA ランドマーク

<main> / <nav> / role 属性などで主要領域が明示されているか。スクリーンリーダー利用者の回遊性を高めます。

2. フォームラベル

入力欄に <label> または aria-label が紐付いているか。フォームの操作性と機械可読性の両方に効きます。

連携 (5 項目)

1. Google Analytics

GA4 のトラッキングタグが設置されているか、DevForge の連携設定でプロパティ ID を登録しているか。

2. Search Console

Search Console にサイトを登録し、DevForge に連携しているか。検索クエリ分析の前提。

3. AdSense

AdSense を使っている場合、タグが設置されているか。未使用ならプロジェクト単位で「評価対象外」に設定できます。

4. ads.txt

AdSense を使っている場合、広告詐欺防止の ads.txt がルートに設置されているか。

5. PWA マニフェスト

manifest.json を設置するとホーム画面へのインストールが可能に。PWA 化しないサイトは対象外に設定できます。

自動でチェックする

この 48 項目を手動でチェックするのは大変です。DevForge のサイト監査機能なら URL を入力するだけで全項目を 1 分で自動チェックし、スコアと対処法を表示します。サイトに該当しない項目（AdSense 非設置など）はプロジェクト単位で「評価対象外」に切り替えてスコアから除外することも可能です。登録不要でお試しいただけます。