セキュリティ   ※当サイトのコンテンツには広告が含まれる場合があります。

HTTPヘッダーセキュリティとは?【確認から対策方法まで】

2022-11-06 yume-tada

measures-of-http-header-security

Warning: Attempt to read property "title" on bool in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 113

Warning: Attempt to read property "description" on bool in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 119

Warning: Undefined variable $sc_Linkcard in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 145

Warning: Constant __THEME_DIR__ already defined in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 104

Warning: Undefined variable $sc_Linkcard in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 145

Warning: Constant __THEME_DIR__ already defined in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 104

Warning: Undefined variable $sc_Linkcard in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 145

HTTPヘッダーセキュリティって?何?

Worried
お悩みさん

HTTPヘッダーセキュリティの対策方法が知りたい!

findout
お調べさん
ゆめただのり
ゆめただ

HTTPヘッダーセキュリティの対策をしておいて損はありません。

対処方法も、難しくありません。あたなのサイトもしっかり対策しておきましょう。

本記事を読んでわかること

1.HTTPヘッダーセキュリティとは何か?

2.あたなのサイトのHTTPヘッダーセキュリティ状況

3.HTTPヘッダーセキュリティの具体的な対策方法

この記事を書いた人【ゆめただ】

この記事を書いた人
track?id=8172&type=classic&u=1a00920f 8e5b 4bc4 bb42 5974099e2af5

HTTPヘッダーセキュリティとは何か?

WEBサイトは、HTTPヘッダーを使ってクライアントとサーバーが通信しています。

このHTTPヘッダーを悪用してサイトをハッキングしたり、改ざんしたりする攻撃が確認されています。

これらに対応したHTTPヘッダーセキュリティ対策を設定しておくと、安心してあなたのサイトを運用することができます。

Hacker

\詳しい関連情報がこちらに掲載されています/

あなたのサイトのHTTPヘッダーセキュリティについて状況を確認してみましょう。

方法は次の2つがあります。

securityheaders.com(海外サイト)

HTTPヘッダーセキュリティの状況をカンタンに書くにすることができるサイトです。

あなたのサイトURLを入力して、Scanボタンをクリックするだけです。

securityheaderscom_1
SecurityHeaders

\ここからチェックしよう/

確認方法

  1. SecurityHeadersにアクセス。
  2. あなたのサイトURLを入力。
  3. Scanをクリック。
arrow-down

結果のみかた

  • サイト全体のセキュリティレベルがアルファベットで段階的に表示されます。(A~F)
  • Report Summaryに結果が表示されます。対応していない項目は赤対応している項目は緑で表示されます。
securutyheaderscom_2
全項目対応していない場合
securutyheaderscom_3
全項目対応している場合

ラッコツールズ(国内サイト)

こちらもHTTPヘッダーセキュリティの状況をカンタンに書くにすることができるサイトです。

ラッコツールズは無料で多くのサービスが使える非常に有益なサイトです。

あなたのサイトURLを入力して、確認するボタンをクリックするだけです。

rakko1
SecurityHeaders

\ここからチェックしよう/

確認方法

  1. ラッコツールズ(HTTPヘッダーセキュリティチェカー)にアクセス。
  2. あなたのサイトURLを入力。
  3. 確認するをクリック。
arrow-down

結果のみかた

  • 対応していない項目は無効(赤)対応している項目は有効(緑)で表示されます。
rakko2
全項目対応していない場合

SecurityHeadersとラッコツールズの結果の違い

「SecurityHeaders」と「ラッコツールズ」の結果を比較しました。

「ラッコツールズ」は検査項目数が多いですが、「Strict-Transport-Security」に対応しているのに無効になってしまうようです。

「SecurityHeaders」は「Strict-Transport-Security」に対応していることを検出してくれました。

HTTPヘッダーセキュリティの具体的な対策方法

ゆめただのり
ゆめただ

「SecurityHeaders」の検査項目である、次の6つについて具体的な対策方法をまとめました。

対策項目

  1. strict-transport-security
  2. content-security-policy
  3. X-Content-Type-Options
  4. Referror-Policy
  5. X-Frame-Options
  6. Permissions-Policy

\各項目の意味と対策方法を表にまとめました/

HTTPヘッダー
セキュリティ項目
内容対策
strict-transport-securityWebサイトがブラウザーに対して、
HTTPの代わりにHTTPSで通信するように指示する設定
htaccessファイルに定義
content-security-policyクロスサイトスクリプティングやデータインジェクション等による
攻撃を検知し影響を軽減する設定。
データ窃取・サイト改ざん、マルウェア等が代表な攻撃。
htaccessファイルに定義
X-Content-Type-OptionsMIME タイプのスニッフィングを抑止する設定htaccessファイルに定義
Referror-Policy HTTP ヘッダーで、リクエストに対して リファラー情報を
どの程度含めるかを制御
htaccessファイルに定義
X-Frame-Optionsブラウザーがページ表示することを許可するかどうかの設定。
Webサイトはコンテンツが他のサイトに埋め込まれないよう保証し、
クリックジャッキング攻撃を防ぐことに使用。
htaccessファイルに定義
Permissions-Policy使用できるブラウザの機能を制御するセキュリティヘッダーhtaccessファイルに定義
HTTPヘッダーセキュリティ項目の意味と対策
ゆめただのり
ゆめただ

さっそく各項目の対応方法について見ていきましょう。

 注意

サーバーの「htaccessファイル」を直接編集する方法です。

内容を確認した上で、自己責任での対応をお願いします。

当サイトは一切の保証を致しかねますのでご了承ください。

strict-transport-security

次のコードをhtaccessファイルに追記します。

Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS

content-security-policy

次のコードをhtaccessファイルに追記します。

Header always set Content-Security-Policy "upgrade-insecure-requests"

X-Content-Type-Options

次のコードをhtaccessファイルに追記します。

Header always set X-Content-Type-Options "nosniff"

Referror-Policy

次のコードをhtaccessファイルに追記します。

Header always set Referrer-Policy: "no-referrer-when-downgrade"

X-Frame-Options

次のコードをhtaccessファイルに追記します。

Header always append X-Frame-Options SAMEORIGIN

Permissions-Policy

次のコードをhtaccessファイルに追記します。

Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"  

6項目全設定

6項目まとめた全項目の設定です。次のコードをhtaccessファイルに追記します。

<ifmodule mod_headers.c>
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always append X-Frame-Options SAMEORIGIN
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);" 
</ifmodule>

対策が完了したら、結果を確認しましょう!

ゆめただのり
ゆめただ

しっかりセキュリティ対策をして

あなたのサイトを運営しましょう!

-セキュリティ