セキュリティヘッダーチェッカー
サイトのURLを入力するだけで、HSTS・CSP・X-Frame-Optionsなど主要なセキュリティヘッダーの設定状況を診断します。不足しているヘッダーや設定が甘い項目を一覧表示し、改善のヒントも確認できます。
Tips
- このツールは対象サイトのURLをサーバー側で取得するため、ブラウザのCORS制限を受けずどのサイトのヘッダーも診断できます。
- HSTSのmax-ageは基本的に長いほど安全ですが、証明書運用を見直す予定がある場合は事前に短い値でテストしてから本番反映しましょう。
- 姉妹ツールのCSPバリデーター(dev.server.csp_validator)と組み合わせると、Content-Security-Policyの構文まで詳細に検証できます。
- robots.txtチェッカーと同じ「URLを入力してサーバー側で取得する」仕組みを採用しているため、認証不要な公開ページであればどのサイトも診断対象にできます。
- 定期的に自社サイトをチェックし、CDNやリバースプロキシの設定変更でセキュリティヘッダーが意図せず消えていないか確認する習慣をつけましょう。
よくある質問
余談ですが ― securityheaders.comと、クリックジャッキング対策の歴史
HTTPレスポンスヘッダーによるセキュリティ設定の診断は、Scott Helme氏が開発した「securityheaders.com」が長年デファクトスタンダードとして知られています。海外製のサービスは診断結果や改善理由の説明が英語のみのことが多く、Toolbaseではこの分野の代替として、日本語で結果と改善理由をまとめて確認できる自前のチェッカーを用意しました。
HSTS(HTTP Strict Transport Security)は2012年にIETFがRFC 6797として標準化したヘッダーです。背景には、ユーザーがhttps://を省略して手入力した際に一度だけHTTPで接続してしまい、その一瞬を狙って通信を書き換える「SSL Stripping」という攻撃が2009年に実演されたことがあります。HSTSはブラウザに「このドメインは常にHTTPSでアクセスする」と記憶させることで、初回以降のダウングレード攻撃を防ぎます。
X-Frame-Optionsは2009年にMicrosoftがInternet Explorer 8向けに導入した独自拡張ヘッダーで、後に他ブラウザにも採用されデファクトスタンダード化しました。当時問題視されていたのは「クリックジャッキング」と呼ばれる攻撃で、透明なiframeを本物のボタンの上に重ね、ユーザーに気づかれないままクリックさせる手口でした。現在はより柔軟に指定できるContent-Security-Policyのframe-ancestorsディレクティブへの移行が進んでいますが、対応していない古いブラウザ向けの保険として、両方を併記することが今も推奨されています。