無料機能

HTTPヘッダー診断

WebサーバーのHTTPレスポンスヘッダーを分析し
セキュリティ上の問題点を特定。
推奨される設定と改善方法を提示します。

今すぐ始める SentinelSecurityの概要
HTTP Header Diagnosis
65 Score
X-Frame-Options SAMEORIGIN
X-Content-Type-Options nosniff
Content-Security-Policy Not Set
Permissions-Policy Not Set
Why HTTP Headers?

HTTPヘッダーはWebセキュリティの第一防衛線

HTTPセキュリティヘッダーは、ブラウザに対してセキュリティポリシーを伝える重要な仕組みです。
適切に設定されたヘッダーは、XSS、クリックジャッキング、MIMEスニッフィングなど
多くの攻撃をブラウザレベルで防ぐことができます。

80%
セキュリティヘッダー
未設定のサイト
24項目
セキュリティ項目
診断済み
即時
診断結果
表示時間
HTTP Response Headers
Content-Security-Policy: default-src 'self'
Strict-Transport-Security: max-age=31536000
X-Frame-Options: DENY
X-Content-Type-Options: 未設定
Referrer-Policy: 未設定
スキャン完了: 3/5 ヘッダー設定済み
XSS Blocked
MITM Blocked
The Hidden Problem

なぜ多くのサイトが
未設定のままなのか?

見えない存在

HTTPヘッダーはブラウザとサーバー間でやり取りされる情報で、一般のユーザーには見えません。

設定が複雑

サーバー設定ファイルの編集が必要で、技術的な知識が求められます。

リスクの認識不足

「今まで問題なかった」という理由で放置されがちです。

SentinelSecurityなら

ワンクリックで診断し、何が不足しているかを即座に把握。

Security Headers

24項目のセキュリティを診断

セキュリティヘッダー11種類・CORS 3種類・Cookie 3属性・非推奨3種類・WordPress固有4項目を診断し、セキュリティリスクを可視化します。

必須

必ず設定すべき最重要ヘッダー

Content-Security-Policy

CSP

XSS攻撃を防ぐ最も強力なヘッダー。どのソースからスクリプトやリソースを読み込めるかを制御します。

XSS攻撃 インジェクション データ窃取

Strict-Transport-Security

HSTS

HTTPS接続を強制し、中間者攻撃を防止。常に暗号化された安全な通信を保証します。

中間者攻撃 SSLストリップ 盗聴
必須

設定必須の重要ヘッダー

X-Frame-Options

XFO

iframeへの埋め込みを制御し、クリックジャッキング攻撃から保護します。

X-Content-Type-Options

XCTO

MIMEタイプのスニッフィングを防止し、コンテンツ偽装を阻止します。

推奨

設定を推奨するヘッダー

Referrer-Policy

他サイトへの遷移時に送信されるリファラー情報を制御。URLに含まれる機密情報の漏洩を防ぎます。

Permissions-Policy

カメラ、マイク、位置情報などブラウザ機能へのアクセスを制御し、不正利用を防止します。

Cross-Origin-Embedder-Policy

COEP

クロスオリジンリソースの埋め込みを制御。Spectre攻撃などのサイドチャネル攻撃を防ぎます。

Cross-Origin-Opener-Policy

COOP

クロスオリジンウィンドウへのアクセスを制御。ウィンドウ間の情報漏洩を防止します。

Cross-Origin-Resource-Policy

CORP

クロスオリジンからのリソース読み込みを制御。画像やスクリプトなどの不正使用を防ぎます。

X-Permitted-Cross-Domain-Policies

XPCDP

Adobe Flashなどによるクロスドメインアクセスをコントロールします。

Clear-Site-Data

ログアウト時にブラウザのキャッシュ、Cookie、ストレージを削除。セッション情報の完全な消去を実現します。

CORS

クロスオリジンリソース共有の設定

Access-Control-Allow-Origin

ACAO

リソースへのアクセスを許可するオリジンを指定します。

Access-Control-Allow-Methods

ACAM

クロスオリジンリクエストで許可するHTTPメソッドを指定します。

Access-Control-Allow-Headers

ACAH

クロスオリジンリクエストで許可するリクエストヘッダーを指定します。

Cookie

Cookieセキュリティ属性の設定

Secure

HTTPS経由でのみCookieを送信。盗聴やネットワーク攻撃を防ぎます。

HttpOnly

JavaScriptからのCookieアクセスを防止。XSS経由のCookie窃取を阻止します。

SameSite

クロスサイトリクエストでのCookie送信を制御。CSRF攻撃を防ぎます。

非推奨

レガシーヘッダーの診断

X-XSS-Protection

モダンブラウザでは無視されます。CSPの使用を推奨します。

Expect-CT

2022年6月以降、全ての証明書がCT準拠となり不要になりました。

Public-Key-Pins

設定ミスのリスクが高く、ブラウザから削除されました。

WordPress固有

WordPress特有のセキュリティ項目

X-Pingback

XML-RPC Pingback機能を示すヘッダー。DDoS攻撃やブルートフォース攻撃に悪用される可能性があります。

Link (REST API)

REST APIエンドポイントの公開。ユーザー列挙などの情報収集に利用される可能性があります。

X-Powered-By

PHPバージョンなどの公開を防止。攻撃者に有用な情報を与えないようにします。

Server

Webサーバー情報の公開を防止。既知の脆弱性を狙った攻撃を回避します。

その他の機能

SentinelSecurityの他の機能も確認

ログインセキュリティ

ログインURL変更、IP制限、ブルートフォース保護

REST API診断

REST APIセキュリティ状態をチェック

API保護

レート制限とユーザー列挙防止

脆弱性診断

本体・プラグイン・テーマの脆弱性をチェック

プロ版

ファイル整合性監視

ファイル変更を検知し、不正アクセスを発見

プロ版

セキュリティヘッダー設定

CSP、HSTS等のセキュリティヘッダーをGUIで管理

プロ版

メール通知設定

7種類のセキュリティ通知を自由にカスタマイズ

プロ版

セキュリティ状態を把握しましょう
HTTPヘッダー診断で

無料版でHTTPヘッダー診断機能をすべてお使いいただけます。

今すぐ始める 無料版をダウンロード 資料ダウンロード