セキュリティヘッダーチェックとは?
セキュリティヘッダーチェックとは、Webサーバーがブラウザに返している防御用ヘッダーを確認することです。サイトがHTTPS化されていても、ヘッダー設定が弱いとクリックジャッキングやXSS、情報漏えいのリスクを十分に下げられません。
特に「セキュリティヘッダーチェックをしたい」「HTTPヘッダーを見たい」「HSTSやCSPが入っているか確認したい」という場面では、公開情報ベースの簡易チェックが役立ちます。
まず確認したい6項目
- HSTS:ブラウザにHTTPS接続を強制できているか
- CSP:読み込み元を制御し、XSS対策の土台があるか
- X-Frame-Options:クリックジャッキング対策があるか
- X-Content-Type-Options:MIME sniffing を防げるか
- Referrer-Policy:参照元情報を必要以上に漏らしていないか
- Permissions-Policy:カメラやマイクなどブラウザ機能の権限を制御しているか
この6項目だけでも、公開サイトの基本防御がどの程度できているかをかなり把握できます。
1. HSTS
HSTS は、ユーザーのブラウザに「今後は必ず HTTPS で接続する」と伝える仕組みです。HTTPS化済みでも HSTS がないと、最初のHTTPアクセス時にリスクが残ることがあります。詳しくは HSTS の解説記事 も参考になります。
2. CSP
CSP は、どこからスクリプトや画像を読み込めるかを制御するヘッダーです。特に XSS 対策の中心になりやすく、運用できているサイトとできていないサイトで差がつきやすい項目です。詳しくは CSP の基礎解説 を読むと全体像がつかみやすいです。
3. X-Frame-Options
X-Frame-Options は、外部サイトから iframe に埋め込まれることを制限するヘッダーです。クリックジャッキング対策の基本で、コーポレートサイトでも未設定のまま残っていることがあります。
4. X-Content-Type-Options
X-Content-Type-Options は、ブラウザがファイル種別を勝手に推測する挙動を抑えるためのヘッダーです。地味ですが、誤判定によるリスクを下げる基本設定として重要です。
5. Referrer-Policy
Referrer-Policy がないと、リンク遷移時に不要なURL情報が外部へ渡る場合があります。特にパラメータ付きURLを多用するサイトでは、情報の出しすぎを防ぐ観点で見ておきたい項目です。
6. Permissions-Policy
Permissions-Policy は、カメラ、マイク、位置情報などのブラウザ機能をどこまで使わせるかを制御します。必須度は他より少し下がりますが、不要な権限を閉じる意味で評価ポイントになります。
セキュリティヘッダーチェックで分かること、分からないこと
- 分かること:主要セキュリティヘッダーの有無、公開設定の抜け漏れ、改善優先度の目安
- 分からないこと:アプリ内部の脆弱性、認可不備、CSRF対策の実装詳細、WAF設定の中身
つまり、ヘッダーチェックは防御の土台確認に向いています。脆弱性診断の代わりではありませんが、まず公開設定を揃える段階では十分有効です。
どんな順番で改善すべき?
- HTTPS + HSTS を整える
- X-Frame-Options / X-Content-Type-Options を入れる
- CSP を Report-Only から段階導入する
- Referrer-Policy / Permissions-Policy を用途に合わせて詰める
特に表示0件が続くサイトでは、検索流入改善の前にまず「最低限の技術的信頼性」を明示できる記事や導線を増やすのが合理的です。
無料でセキュリティヘッダーチェックをする方法
- トップページの無料診断でURLを入力する
- HSTS、CSP、X-Frame-Options などの結果を見る
- 不足があれば関連記事から設定方法を確認する