セキュリティヘッダーチェッカー

サイトのURLを入力するだけで、HSTS・CSP・X-Frame-Optionsなど主要なセキュリティヘッダーの設定状況を診断します。不足しているヘッダーや設定が甘い項目を一覧表示し、改善のヒントも確認できます。

Tips

  • このツールは対象サイトのURLをサーバー側で取得するため、ブラウザのCORS制限を受けずどのサイトのヘッダーも診断できます。
  • HSTSのmax-ageは基本的に長いほど安全ですが、証明書運用を見直す予定がある場合は事前に短い値でテストしてから本番反映しましょう。
  • 姉妹ツールのCSPバリデーター(dev.server.csp_validator)と組み合わせると、Content-Security-Policyの構文まで詳細に検証できます。
  • robots.txtチェッカーと同じ「URLを入力してサーバー側で取得する」仕組みを採用しているため、認証不要な公開ページであればどのサイトも診断対象にできます。
  • 定期的に自社サイトをチェックし、CDNやリバースプロキシの設定変更でセキュリティヘッダーが意図せず消えていないか確認する習慣をつけましょう。

よくある質問

機能面では近い診断を提供しますが、Toolbaseのチェッカーは日本語で結果と改善理由を確認できる点が異なります。詳細なCSP構文チェックは姉妹ツールのCSPバリデーターと役割分担しています。

使えますが、HSTSはHTTPS接続にのみ意味を持つヘッダーのため、HTTPのみのサイトではHSTSの項目は常に不合格と診断されます。まずはサイト全体のHTTPS化を優先してください。

現在はContent-Security-Policyのframe-ancestorsディレクティブが推奨されますが、対応していない古いブラウザも存在するため、両方を併記して二重に対策するのが実務上の定石です。

いいえ。入力されたURLへのリクエストはその場限りで行われ、取得したヘッダー情報をサーバー側に保存することはありません。

必ずしもそうとは限りません。特にPermissions-Policyは必須ではない追加の防御層であり、サイトの性質によっては優先度が低い場合もあります。まずはHSTS・CSP・X-Frame-Optionsなど影響の大きい項目から改善することをおすすめします。
ツールくん

余談ですが ― securityheaders.comと、クリックジャッキング対策の歴史

HTTPレスポンスヘッダーによるセキュリティ設定の診断は、Scott Helme氏が開発した「securityheaders.com」が長年デファクトスタンダードとして知られています。海外製のサービスは診断結果や改善理由の説明が英語のみのことが多く、Toolbaseではこの分野の代替として、日本語で結果と改善理由をまとめて確認できる自前のチェッカーを用意しました。

HSTS(HTTP Strict Transport Security)は2012年にIETFがRFC 6797として標準化したヘッダーです。背景には、ユーザーがhttps://を省略して手入力した際に一度だけHTTPで接続してしまい、その一瞬を狙って通信を書き換える「SSL Stripping」という攻撃が2009年に実演されたことがあります。HSTSはブラウザに「このドメインは常にHTTPSでアクセスする」と記憶させることで、初回以降のダウングレード攻撃を防ぎます。

X-Frame-Optionsは2009年にMicrosoftがInternet Explorer 8向けに導入した独自拡張ヘッダーで、後に他ブラウザにも採用されデファクトスタンダード化しました。当時問題視されていたのは「クリックジャッキング」と呼ばれる攻撃で、透明なiframeを本物のボタンの上に重ね、ユーザーに気づかれないままクリックさせる手口でした。現在はより柔軟に指定できるContent-Security-Policyのframe-ancestorsディレクティブへの移行が進んでいますが、対応していない古いブラウザ向けの保険として、両方を併記することが今も推奨されています。

→ すべての余談を見る