セキュリティヘッダーチェッカーとは?
セキュリティヘッダーチェッカーは、WebサイトのHTTPレスポンスヘッダーを分析し、セキュリティ関連ヘッダーの設定状況を診断するツールです。Content-Security-Policy(CSP)、Strict-Transport-Security(HSTS)、X-Frame-Optionsなどの重要なヘッダーが正しく設定されているかをチェックし、改善点を提案します。
セキュリティヘッダーは、クロスサイトスクリプティング(XSS)、クリックジャッキング、中間者攻撃などからサイトとユーザーを保護するために欠かせない設定です。適切に設定することで、サイトの信頼性が向上し、Googleの評価にもプラスの影響を与えます。特にECサイトや会員サイトでは必須の対策です。
主な機能
CSP確認
Content-Security-Policyの設定内容を分析
HSTS確認
HTTPS強制設定の有無と設定値をチェック
X-Frame-Options
クリックジャッキング対策の設定を確認
セキュリティスコア
総合的なセキュリティ評価を数値化
使い方ガイド
- 下の「セキュリティヘッダーチェッカーを使う」ボタンをクリックするか、トップページにアクセスしてください。
- 診断したいWebサイトのURLを入力欄に貼り付けます。
- 「今すぐチェック」ボタンを押すと、数秒でセキュリティヘッダーの分析結果が表示されます。
- 各ヘッダーの設定状況とセキュリティスコアを確認し、改善提案に沿って設定を見直してください。
💡 改善のヒント
- X-Frame-Options は DENY または SAMEORIGIN を設定し、クリックジャッキングを防止しましょう
- Strict-Transport-Security(HSTS)で max-age=31536000 以上を設定し、HTTPS接続を強制しましょう
- Content-Security-Policy はまず Report-Only モードでテストしてから本番適用すると安全です
- X-Content-Type-Options: nosniff を設定して、MIMEタイプスニッフィングを防止しましょう
- Referrer-Policy を設定して、外部サイトへの参照元情報の送信を適切に制御しましょう
よくある質問
セキュリティヘッダーとは、WebサーバーがHTTPレスポンスに含めるヘッダー情報のことです。ブラウザに対してセキュリティポリシーを伝え、クリックジャッキングやXSS攻撃などからサイトとユーザーを保護します。代表的なものにCSP、HSTS、X-Frame-Optionsなどがあります。
最低限、X-Frame-Options(クリックジャッキング防止)、Strict-Transport-Security(HTTPS強制)、X-Content-Type-Options(MIMEタイプスニッフィング防止)の3つを設定することを推奨します。これだけでも多くの一般的な攻撃を防げます。
Content-Security-Policy ヘッダーでリソースの読み込み元を指定します。例えば「default-src 'self'; script-src 'self' https://cdn.example.com;」のように記述します。最初は Content-Security-Policy-Report-Only で動作確認してから本番適用すると安全です。
SSL/TLS証明書を導入しているサイトでは、HSTSの設定を強く推奨します。HSTSを設定すると、ブラウザが自動的にHTTPS接続を強制するため、中間者攻撃やSSLストリッピング攻撃を防げます。max-ageは最低でも31536000(1年)を推奨します。
WordPressでは、.htaccessファイルに直接記述する方法と、Headers Security Advancedなどのプラグインを利用する方法があります。プラグインを使えばコードを書かずにGUIで設定できるため、初心者の方にはプラグインがおすすめです。