HTTPヘッダー診断
HTTPヘッダー診断は、サイトのレスポンスヘッダーを分析し、セキュリティ上の問題点をスコアリングする機能です。
なぜHTTPヘッダー診断が必要なのか
Webサーバーが返すHTTPヘッダーには、ブラウザに対するセキュリティ上の指示が含まれています。適切なヘッダーが設定されていない場合、以下のリスクが生じます。
- XSS(クロスサイトスクリプティング):
Content-Security-Policyがないと、悪意あるスクリプトが注入される可能性 - クリックジャッキング:
X-Frame-Optionsがないと、iframe 内にサイトが埋め込まれ操作を騙される可能性 - MIMEスニッフィング:
X-Content-Type-Optionsがないと、ブラウザが間違ったMIMEタイプでファイルを解釈するリスク - セッションハイジャック: Cookie に
Secure/HttpOnlyフラグがないと、セッション情報が盗まれるリスク
診断項目
セキュリティヘッダー(7項目)
| ヘッダー | 役割 | 重要度 |
|---|---|---|
| Strict-Transport-Security (HSTS) | HTTPS接続を強制 | ◎ 高 |
| Content-Security-Policy (CSP) | リソース読み込みの制限 | ◎ 高 |
| X-Content-Type-Options | MIMEスニッフィング防止 | ○ 中 |
| X-Frame-Options | クリックジャッキング防止 | ○ 中 |
| X-XSS-Protection | ブラウザのXSSフィルタ | △ 低 |
| Referrer-Policy | リファラー情報の制御 | ○ 中 |
| Permissions-Policy | ブラウザAPI(カメラ等)の制限 | ○ 中 |
Cookie設定(5項目)
| チェック項目 | 役割 |
|---|---|
| Secure フラグ | HTTPS接続でのみCookieを送信 |
| HttpOnly フラグ | JavaScriptからのCookieアクセスを防止 |
| SameSite 属性 | CSRF攻撃を防止 |
| Path 属性 | Cookie の有効パスを限定 |
| 有効期限 | セッションCookieの適切な有効期限 |
WordPress 固有ヘッダー(4項目)
| チェック項目 | 役割 |
|---|---|
| X-Powered-By | PHPバージョンの露出チェック |
| Server | Webサーバーの情報露出チェック |
| X-Generator | WordPress バージョンの露出チェック |
| X-Pingback | XML-RPC Pingback の露出チェック |
スコアリング方式
各診断項目には重み(ウェイト)が設定され、100点満点でスコアが計算されます。
スコアの評価基準
| スコア | 評価 | アイコン |
|---|---|---|
| 90〜100 | 優秀 | 🟢 |
| 70〜89 | 良好 | 🟡 |
| 50〜69 | 要改善 | 🟠 |
| 0〜49 | 危険 | 🔴 |
診断の実行方法
- SentinelSecurity → HTTPセキュリティヘッダー を開きます
- 今すぐ診断 ボタンをクリックします
- 診断結果がカード形式で表示されます
- ステータス: ✅ 設定済み / ⚠️ 未設定 / ❌ 問題あり
- 現在の値: 検出されたヘッダーの値
- 推奨設定: セキュリティのベストプラクティス
- 解説: なぜその設定が重要なのか
診断結果の活用
診断結果で「未設定」や「問題あり」と表示された項目は、以下の方法で改善できます。
無料版の場合
- サーバーの
.htaccessやnginx.confで手動設定 - WordPress のセキュリティプラグイン(ヘッダー設定機能付き)を使用
プロ版の場合
SentinelSecurity Pro の セキュリティヘッダー設定 機能を使えば、管理画面から直接ヘッダーを設定できます。診断結果の「修正する」ボタンから、ワンクリックで推奨設定を適用できます。
定期的な診断のすすめ
以下のタイミングで再診断することを推奨します。
- WordPress のメジャーアップデート後
- プラグインやテーマの追加・変更後
- サーバー設定の変更後
- SSL証明書の更新後