ドキュメント / Sentinel Security / 機能

セキュリティヘッダー設定

公開: 2026.03.18 更新: 2026.03.20 v1.5.29 時点の記事

セキュリティヘッダー設定(プロ版)

セキュリティヘッダー設定は、管理画面からHTTPセキュリティヘッダーを直接設定できるプロ版専用機能です。

なぜ管理画面からの設定が重要なのか

従来、セキュリティヘッダーの設定にはサーバーの設定ファイル(.htaccessnginx.conf)を直接編集する必要がありました。これには以下の課題があります。

  • サーバー管理の知識が必要
  • 設定ミスがサイト全体のダウンにつながる
  • CSP の設定は複雑で、1つのミスでサイトが正常に表示されなくなる
  • 共用サーバーでは設定が制限される
SentinelSecurity のセキュリティヘッダー設定は、GUI操作で安全にヘッダーを導入でき、スマートスキャンラーニングモードで影響を事前に確認できます。

設定可能なヘッダー(10種類)

主要ヘッダー

ヘッダー機能推奨レベル
Content-Security-Policy (CSP)スクリプト/スタイル/画像等のリソース制御必須
Strict-Transport-Security (HSTS)HTTPS強制必須
X-Content-Type-OptionsMIMEスニッフィング防止必須
X-Frame-Optionsクリックジャッキング防止必須
Referrer-Policyリファラー制御推奨
Permissions-PolicyブラウザAPI制限推奨
X-XSS-ProtectionレガシーXSSフィルタ任意

WordPress 固有の削除設定

設定対象効果
X-Powered-By 削除PHPバージョン情報サーバー情報隠蔽
X-Generator 削除WordPress バージョンWPバージョン非公開
Server ヘッダー削除Webサーバー情報サーバータイプ隠蔽

セキュリティレベル(プリセット)

複雑なヘッダー設定を簡単に導入するために、3つのプリセットが用意されています。

レベル内容対象
基本最小限のヘッダー(HSTS、X-Content-Type-Options、X-Frame-Options)初めて導入する方
標準基本 + CSP(レポートモード)、Referrer-Policy多くのサイトに推奨
厳格全ヘッダーをフルポリシーで適用セキュリティ重視のサイト

スマートスキャン

スマートスキャンは、CSP ヘッダーを適用する前に、サイトで使用されているリソース(スクリプト、スタイルシート、画像、フォントなど)を自動的にスキャンし、適切な CSP ポリシーを生成する機能です。

使い方

  1. セキュリティヘッダー設定CSP セクション
  2. スマートスキャン ボタンをクリックします
  3. サイトの各ページがスキャンされ、リソースのオリジンが一覧表示されます
  4. 必要に応じてオリジンの許可/拒否を選択します
  5. ポリシーを生成 をクリックします
スマートスキャンにより、CSP導入時に発生しがちな「サイトが表示されなくなった」問題を防止できます。

ラーニングモード(CSP Report-Only)

CSP のラーニングモードは、実際にはリソースをブロックせず、ポリシーに違反するリソースをレポートのみ記録する モードです。

導入手順

  1. CSP ModeReport-Only(学習) に設定します
  2. 1〜2週間ほど運用し、違反レポートを収集します
  3. CSP違反ログ で、ブロックされるはずだったリソースを確認します
  4. 正当なリソースはポリシーに追加、不正なリソースは除外します
  5. 違反が十分に減少したら、Enforce(適用) モードに切り替えます

CSP違反ログ

管理画面の CSP違反ログ では、以下の情報が確認できます。

  • 違反したディレクティブ: script-srcstyle-src など
  • ブロックされたURI: リソースのURL
  • ページURL: 違反が発生したページ
  • 発生回数: 同一違反の集約カウント
  • 日時: 直近の発生日時

.htaccess セキュリティ

Apache環境では、.htaccess に直接セキュリティヘッダーを出力する機能も備えています。PHPレベルではなくサーバーレベルでヘッダーを設定するため、静的ファイル(画像、CSS、JS)にもヘッダーが適用されます。

テストモード/本番モード

モード動作
テストモード.htaccess.test に出力してプレビュー。本番に影響なし
本番モード.htaccess に直接書き込み。即座に反映
推奨: まずテストモードで設定を確認し、問題がなければ本番モードに切り替えてください。

注意事項

  • CSP を誤って設定すると、サイトのスクリプトやスタイルが読み込めなくなります。必ず ラーニングモード から開始してください
  • HSTS を有効にした後に SSL を無効にすると、ブラウザがサイトにアクセスできなくなります
  • 設定変更前に .htaccess のバックアップを取得することを推奨します