結論を先に
オンラインの JSON・YAML・CSV 変換ツールが安全と言えるのは、入力したデータがサーバーに送信されず、保存もされないと確認できる場合だけです。すべての処理をブラウザ内で行うツールなら、データはタブの外に出ません。一方で、貼り付けた内容をこっそりサーバーに送り、ログに残し、ときには公開してしまうツールもあります。どちらのタイプかはトップページを見ただけでは判別できません。ですから、機密性のあるデータを貼る前に自分で確認する習慣が安全につながります。
この記事では、その判断を自分で下せるようにします。どんなツールにも使えるチェックリスト、30 秒で終わる DevTools での検証手順、そして確認していない Web ツールには絶対に貼ってはいけないデータの分類を示します。
判断の目安です。
- 公開済みで機密性のないサンプルデータなら、評判の良い整形ツールで問題ありません。
- 認証情報・トークン・顧客データ・社内設定を含むものは、ブラウザ内で完結すると確認できたツールだけを使うか、オフラインで変換します。
- 迷ったら危険とみなし、ローカルの手段を選びます。
今すぐ「browser-side だ」と確認できる変換ツールが必要なら、FormatArc の JSON Formatter はネットワークを切っても動作します。入力をどこにも送信しないためです。
なぜ今この問いが重要か
2025 年 11 月、セキュリティ企業 watchTowr が、人気のオンライン整形・変換サイトである JSONFormatter と CodeBeautify について調査結果を公表しました。どちらも保存・共有機能と「Recent Links」ページを備えていました。共有用のリンクは予測可能な URL パターンに従っており、簡単なクローラーで総当たりすれば、他のユーザーが保存した内容を誰でも読めてしまう状態でした。
調査では 8 万件を超える提出物、5GB 以上のデータが集まりました。中には Active Directory の認証情報、データベースやクラウドのアクセスキー、秘密鍵、CI/CD パイプラインのシークレット、JWT や API トークン、決済ゲートウェイの認証情報、さらには AWS Secrets Manager の完全エクスポートまで含まれていました。影響を受けた組織は政府・銀行・医療・保険・航空宇宙・通信と多岐にわたります。詳細は watchTowr の調査報告 を参照してください。
教訓を決定的にする事実が一つあります。調査チームは 24 時間で期限切れになるカナリアトークンをアップロードしました。すると、リンクが期限切れになったはずの 48 時間後に、誰かがそのトークンへアクセスした記録が残ったのです。攻撃者はすでにこうしたプラットフォームをスクレイピングし、見つけた認証情報を試していたわけです。
ここから得るべき結論は「この 2 サイトだけが特別にひどかった」ではありません。入力を保存または送信するコンバータに貼り付けたものは、漏洩・設定ミス・侵害、あるいは存在を知らなかった機能によって、同じように露出しうるということです。対策は、そもそも露出が起こりえない構造のツールを使い、その見分け方を知っておくことです。
3 つの処理モデル
オンライン変換ツールは、データの扱われ方によって 3 つに分かれます。この違いが安全性のすべてです。
| モデル | 処理する場所 | サーバーに保存 | 典型的なリスク |
|---|---|---|---|
| サーバー処理型 (アップロード) | 運営側のサーバーに送信 | 一時的にせよ保存されがち | 高: 通信・ログ・侵害・保持 |
| 保存・共有型 | 送信したうえで URL 付きで意図的に保持 | 設計上、保存する | 最高: 公開リンク・予測可能 URL・無期限保持 |
| ブラウザ内完結型 (client-side) | 自分のブラウザのタブ内 | しない | 低: 何も送らず保存もしない |
サーバー処理型は、処理のためにデータを受け取らざるをえません。誠実な運営でも、通信中・メモリ上・アクセスログ・一時ファイルにデータが残る可能性があります。設定ミスが一つあれば、そのすべてが露出します。
保存・共有型はさらに危険です。入力を保存することがその機能の目的であって、事故ではないからです。これがまさに watchTowr の調査で漏洩したモデルです。「整形した JSON をリンクで共有できる」という便利さは、8 万件の提出物を誰でも読める状態にしたのと同じ仕組みです。
ブラウザ内完結型は、コードを一度読み込んだあとは、すべてをローカルの JavaScript で処理します。入力がネットワークを越えることはありません。サーバーに送ったものがそもそも無いので、サーバー側に漏れるものがありません。
漏洩の本当の原因は「送信」と「保存」
何が実際に露出を引き起こすのかを正確に押さえると役立ちます。人がよく頼る防御の中には、この原因に効かないものがあるからです。
データが送信される。処理のためにツールが入力をサーバーへ POST した時点で、変換ボタンを押した瞬間からデータは手元を離れています。その後どう扱われるかはコントロールできません。
データが保存される。サーバーで処理して「すぐに削除する」と謳うツールでも、アクセスログ、ペイロード入りのエラーログ、キャッシュが残ることがあります。保存・共有機能はそれを意図的に、ときには永続的に保持します。
共有 URL が存在する。整形結果へのリンクを生成するツールでは、その結果はサーバー上に存在し、URL を見つけたり推測したりできる人なら誰でも到達できます。予測可能な URL 形式は、これを小さなリスクから大量列挙の問題へ変えてしまいます。
規約で再利用が許可されている。一部の無料ツール、そして多くの AI 連携ツールは、投稿された内容を分析やモデル学習に利用する権利を留保しています。一度シークレットが学習データや分析パイプラインに入ると、取り戻せません。
このリストに無いものに注目してください。HTTPS はここでは役に立ちません。HTTPS が暗号化するのはブラウザとサーバー間の通信であり、経路上の盗聴は防げます。しかし、データがサーバーに届いたあとの扱い、つまり保存・ログ・共有・運営者の閲覧には何の関係もありません。これらはすべて暗号化の向こう側で起こります。完璧な HTTPS で配信されていても、貼り付けた内容をすべて漏らすツールは存在しうるのです。
ツールが browser-side か自分で確認する手順
競合がほとんど教えないのがこの部分で、ここが最も役立つスキルです。プライバシーポリシーを信じる必要はありません。自分で確かめられます。
変換ツールをブラウザで開き、DevTools を開いて (F12、または右クリックして「検証」) Network タブに移動します。次の手順です。
- Network タブのスロットリングのドロップダウンで「オフライン」を選びます (または Offline にチェック)。これでページがネットワークから切り離されます。
- 入力を貼り付けて変換を実行します。
- 様子を見ます。ネットワークがオフラインのままでも変換できるなら、処理はブラウザ内で行われています。サーバー処理型ならバックエンドに到達できず、止まるかエラーになります。
ここで知っておくべき一点があります。簡易チェックと本当の検証を分ける違いです。オフラインで動くことは、変換ロジックがローカルにあることの証明にはなりますが、それだけでは「オンラインに戻ったときにデータを送らない」ことの証明にはなりません。ローカルで処理しつつ、どこかへコピーを POST するページもありえます。ですから、より強い確認のためにもう一方向からも調べます。
- ネットワークはオンラインのまま、Network のログをクリアします。
- 入力を貼り付けて変換します。
- リクエスト一覧を確認します。本当にブラウザ内完結のツールなら、入力を含む新しいリクエストは送られません。POST や、ペイロードに貼り付けたデータが含まれるリクエストが見えたら、宣伝文句がどうあれ、そのツールはデータを送信しています。
FormatArc の JSON Formatter でこのテストを行うと、ネットワークをオフラインにしても変換は動き続け、入力を含むリクエストも送られません。ツール全体が静的ファイルとブラウザの JavaScript だけで構成され、呼び出すバックエンドが無いためです。
どんな変換ツールにも使える 5 つのチェック
使ったことのない Web ツールに機密データを貼る前に、これらを確認してください。1 分で済み、安全と後悔の分かれ目になります。
- client-side 処理を明記しているか。「あなたのデータは安全です」のような曖昧な表現は何も意味しません。処理がブラウザ内で行われ、データをサーバーに送らない、と明確に書かれているかを見て、そのうえで検証します。
- DevTools のテストに通るか。上のオフラインと Network ログのチェックを使います。信じるのではなく確認できる、唯一の主張です。
- 保存・共有機能があるか。「保存する」「リンクで共有」「最近の項目」といったページがあれば、入力がサーバーに保持されうるということです。これが 2025 年の事例で漏洩した、まさにその機能です。機密データには使いません。
- トラッカーや広告が無いか。広告ネットワークや解析スクリプトは、データと同じページ内で動きます。それ自体は変換機能ではありませんが、ページにアクセスできる第三者のコードが増えるということです。第三者スクリプトが少ないほど安全です。
- 読み込み後にオフラインで動くか。ページを読み込み、回線を切って、それでも動くか確認します。変換の途中でネットワークが必要なツールは、サーバーで何かをしています。
安全性に関わる機能でツールを比較する見方を表にしました。評価したい変換ツールについて、この表を埋めてみてください。
| 安全性の項目 | 確認すべき点 |
|---|---|
| client-side 処理 | 変換がブラウザ内で動き、DevTools で検証できる |
| ファイルアップロード不要 | 貼り付けのみ、またはページ外に出ないローカル読み込み |
| 保存・共有 URL が無い | 入力をサーバー側に保持しない |
| トラッカー・広告が無い | ページ上の第三者スクリプトが最小限 |
| オフラインで動く | 読み込み後、回線を切っても機能する |
| オープンソース | 誰でもコードを検証・監査できる |
どの 1 行も単独では保証になりません。これらすべてで良い評価が付き、かつ DevTools のテストに通るツールなら、機密入力をある程度安心して任せられます。
browser-side は安全寄りだが、自動的に安全なわけではない
browser-side ツールがリスクゼロだと言うのは不誠実なので、ここで補足します。変換がローカルで行われても、同じページ上の他のコードは貼り付けた内容を見られます。
- 広告ネットワークや解析スクリプトはページ内で動き、その内容を読めます。
- 外部 CDN から読み込まれた第三者スクリプトは、ページと同じ権限で動きます。
- ブラウザ拡張機能は、貼り付けたデータを含め、訪れたあらゆるページを読み書きできます。
- クロスサイトスクリプティング (XSS) の欠陥や、ページ自身のコードに混入した依存パッケージの汚染は、本来ローカルなツールからでもデータを持ち出しえます。
だからこそ「第三者スクリプトが少ない」ことは飾りではなく実質的な安全性であり、オープンソースが重要なのは、ページの実際の挙動を監査できるからです。解析も広告ネットワークも保存機能も無い、静的ファイルとして配信される変換ツールは、トラッカーだらけのツールより攻撃面がはるかに小さくなります。たとえ両方ともブラウザ内で変換していてもです。悪意ある拡張機能は他のあらゆる対策を無効にするので、ブラウザと拡張機能自体も信頼できる状態に保ってください。
機密データのための安全な代替手段
Web ツールが安全だと確信できないとき、あるいはデータが機密すぎて賭けに出られないときは、ローカルに良い選択肢があります。
検証済みの browser-side ツール。ローカルで動くと確認できた変換ツールは、機密入力でも問題ありません。何も手元を離れないからです。FormatArc のツールはこの設計です。JSON Formatter、YAML to JSON、JSON to YAML、CSV to JSON はすべてアップロード無しでブラウザ内だけで動作し、ネットワークを切っても動き続けます。
コマンドラインツール。jq は JSON の整形と問い合わせを行います。yq は JSON と YAML の相互変換を行います。どちらも単一のバイナリで、すべて自分のマシン上で動きます。詳しいレシピは JSON YAML 変換ガイド と YAML JSON 変換ガイド を参照してください。yq やスクリプトでの方法を詳しく扱っています。一点注意があります。ツール自体はローカルでも、シェル履歴・クリップボード・CI ログにシークレットが残ることがあるので、本当に機密なデータならそれらも消しておきます。
エディタの組み込み機能。VS Code はキー操作一つで JSON を整形します。多くのエディタは JSON / YAML の整形を標準で備えるか、拡張機能一つで使えます。そのためにネットワークへ出ることはありません。
変換ではなくエラー確認がしたいだけなら。JSON がパーサーに弾かれる理由を探しているだけなら、本物のペイロードを貼る必要はないことが多いです。構造をプレースホルダーの値で再現するか、JSON parse error の直し方 でエラーメッセージから典型的な失敗を見分ける方法を確認してください。安全なもので練習したいときは、本物のデータの代わりに 公開サンプル JSON と整形のコツ を使ってください。
ブラウザ拡張機能についての注意です。JSON 整形の拡張機能は便利ですが、拡張機能は訪れたすべてのページを読み、売却されたりアップデートで挙動が変わったりしえます。使うなら、オープンソースで活発に保守されているものを選び、同じ目で精査してください。選択肢は Chrome JSON 拡張の比較 で扱っています。
FormatArc が構造的に安全な理由
FormatArc は、露出が起こりにくいだけでなく構造的に起こりえないように作られており、すべての主張を自分で検証できます。
- 100% browser-side。すべての変換がタブ内の JavaScript で動きます。入力はどのサーバーにも送られません。
- アップロード無し。データは貼り付けるだけで、データを別の場所へ送り出すファイルアップロードの段階がありません。
- バックエンド無し。サイト全体が CDN 上の静的ファイルです。入力を受け取り・処理し・保存するサーバーが無いので、漏れる・ログに残る・侵害される対象がありません。
- 保存・共有機能が無い。「Recent Links」ページも、データの共有 URL もありません。これが 2025 年の漏洩を招いた、まさにその機能です。
- 検証可能。DevTools でネットワークを切ってもツールは動き続けます。Network タブを見ても、入力を含むリクエストは見当たりません。
上の 5 つのチェックを FormatArc に当てはめると、検証可能な項目はすべて満たします。これが要点です。私たちの言葉を信じるのではなく、自分で確認できるべきで、browser-side の静的ツールならそれができます。
貼る前の最終チェック
- そのデータは機密ですか (認証情報・トークン・顧客や個人のデータ・社内設定)。はいなら、未検証のツールに貼らない。
- DevTools のオフラインと Network ログのテストを実行しましたか。していないなら、そのツールは未検証とみなす。
- 保存・共有・「最近の項目」機能がありますか。あるなら、機密データには使わない。
- 代わりにローカルでできませんか (検証済みの browser-side ツール、
jq/yq、エディタ)。できるなら、そちらを選ぶ。
「データが送信されないと確認できるか」の答えが「はい」なら、オンライン変換ツールは速くて便利で安全な道具です。確認できないなら、最悪を想定してオフラインで変換してください。
よくある質問
機密情報をオンラインツールに一度貼ってしまいました。どうすればいいですか
漏洩したものとして扱ってください。ローテーションします。API キーを再生成し、パスワードを変更し、トークンを再発行し、証明書を失効して再発行します。watchTowr の調査では、期限切れのはずのデータに攻撃者が 48 時間以内にアクセスしていたので、すでにスクレイピングされたと想定してください。シークレットが手元を離れたあと、確実な対処はローテーションだけです。
チームでオンライン変換ツールを全面禁止すべきですか
一律禁止は徹底しづらく、見えないツール利用を助長します。より良い方針は、機密データには検証済みの browser-side ツールとローカルな手段 (jq、yq、エディタ機能) を許可し、DevTools の検証テストを教えて各自が確認できるようにすることです。未検証のオンラインツールは、公開済みで機密でないデータ専用にとどめます。
HTTPS だけでデータは安全ではないのですか
いいえ。HTTPS は通信を暗号化し、経路上での盗聴を防ぎます。しかし、データがサーバーに届いたあとの扱い、つまり保存・ログ記録・共有リンクの生成・運営者による閲覧には何もしません。完璧な HTTPS のサイトでも、貼り付けた内容をすべて漏らしうるのです。あなたを守るのは、そもそもデータが送られないことです。
オフラインで動けば確実に安全ですか
オフラインで動くことは、変換ロジックがローカルにあることの証明になり、これは必要条件ですが十分ではありません。ローカルで処理しつつ、オンラインに戻ったときにデータのコピーを送るページもありえます。完全に確かめるには、オンラインのまま Network タブも見て、入力を含むリクエストが無いことを確認してください。両方のチェックに通り、保存・共有機能も無いツールなら、信頼できます。
jq や yq のようなコマンドラインツールは Web ツールより安全ですか
変換そのものについては安全です。jq と yq は完全に自分のマシン上で動き、何も送信しません。ただし、シェル履歴・クリップボード・CI ログにシークレットが残りうるので、本当に機密なデータを扱うときはそれらを消してください。検証済みの browser-side ツールなら、インストール不要で同等の安全性が得られます。