HTTPヘッダー診断

24項目をスキャン。
自サイトの状況を正確に把握する。

セキュリティヘッダー・CORS・Cookie・WordPress固有の項目など、24のセキュリティ項目でHTTPレスポンスヘッダーを分析。改善提案をワンクリックで、無料で取得できます。

今すぐ始める SentinelSecurityの概要

なぜHTTPヘッダー診断が必要なのか？

ほとんどのWordPressサイトは、
セキュリティヘッダー評価でFグレードを受ける。

HTTPセキュリティヘッダーはブラウザにコンテンツの扱い方を伝え、XSSやクリックジャッキングを防ぎHTTPSを強制します。無料の1回のスキャンで24のセキュリティ項目における全ての設定ミスを、改善策と共に明らかにします。

Fグレード

多くのWordPressサイトがsecurityheaders.com公開スキャナーで受けるグレード

24項目

1回のスキャンで分析：ヘッダー・CORS・Cookieフラグ・WordPress固有チェック

無料

実践的な推奨事項付きの完全なヘッダー監査を、無料で提供

HTTP Response Headers

Content-Security-Policy: default-src 'self'

Strict-Transport-Security: max-age=31536000

X-Frame-Options: DENY

X-Content-Type-Options: 未設定

Referrer-Policy: 未設定

スキャン完了: 3/5 ヘッダー設定済み

XSS Blocked

MITM Blocked

The Hidden Problem

なぜ多くのサイトが
未設定のままなのか？

見えない存在

HTTPヘッダーはブラウザとサーバー間でやり取りされる情報で、一般のユーザーには見えません。

設定が複雑

サーバー設定ファイルの編集が必要で、技術的な知識が求められます。

リスクの認識不足

「今まで問題なかった」という理由で放置されがちです。

SentinelSecurityなら

ワンクリックで診断し、何が不足しているかを即座に把握。

診断対象

すべてのヘッダーを、現実の脅威にひもづけて診断。

SentinelSecurityは24のHTTPレスポンスヘッダーとCookie属性を検査します。専門用語の羅列ではなく「どんな攻撃を防ぐのか」で項目をグループ化。だから一目で重要性が分かります。

24項目／6つの脅威カテゴリ別に診断

スクリプト注入とHTTPへの強制降格を防ぐ

この2つのヘッダーは、現代のWebセキュリティの基礎です。ページへの悪意あるスクリプト注入と、訪問者をHTTPに降格させて通信を盗み見る攻撃を、両方ともブロックします。

Content-Security-Policy
実行を許可するスクリプトを明示し、攻撃者が注入したスクリプトをすべてブロックします。
Strict-Transport-Security
全アクセスでHTTPSを強制。公衆Wi-Fi攻撃で使われる「HTTPへの降格」トリックを封じます。

サイトのフレーム埋め込みとなりすましを防ぐ

この2つのヘッダーがないと、悪意あるサイトがあなたのサイトを見えないフレームに埋め込んでクリックを奪う「クリックジャッキング」や、アップロードファイルを実行コードとして扱わせる攻撃が成立してしまいます。

X-Frame-Options
サイトが他サイトのiframeに埋め込まれるのを防ぎます — クリックジャッキング対策の標準手法です。
X-Content-Type-Options
ブラウザがファイルの種類を「推測」するのを防ぎます — アップロードファイルをJavaScriptとして実行させる手口への対策です。

訪問者のブラウザからの情報漏洩を抑える

現代のブラウザはリファラURL、カメラ・マイクへのアクセス権、果てはハードウェアのタイミング情報まで意外と多くを露出させます。この7つのヘッダーで、それらを非公開かつ隔離された状態に保ちます。

Referrer-Policy
外部サイトへのリンククリック時に、機密を含むURLパラメータを隠します。
Permissions-Policy
サイトが正当に必要としないカメラ・マイク・GPS等のセンサーを無効化します。
Cross-Origin-Embedder-Policy
埋め込みリソースがSpectre系サイドチャネル攻撃でメモリを漏洩することを防ぎます。
Cross-Origin-Opener-Policy
ブラウザのタブを隔離し、悪意あるポップアップがあなたのサイトのデータを読み取ることを防ぎます。
Cross-Origin-Resource-Policy
他サイトが許可なくあなたの画像・スクリプト・データを読み込むことを禁止します。
X-Permitted-Cross-Domain-Policies
古いクライアントに今も残るAdobe Flash / PDFのクロスドメイン経由の穴を塞ぎます。
Clear-Site-Data
ログアウト時にCookie・キャッシュ・ローカルストレージを消去し、次の利用者にセッションが引き継がれないようにします。

ログインセッションの盗難を防ぐ

アカウント乗っ取りの大半は、セッションCookieの盗難から始まります。3つの小さなフラグが、XSS・CSRF・公衆Wi-Fi盗聴に耐えられるかどうかを決定します。

Cookie · Secure
CookieをHTTPSでのみ送信。ネットワーク盗聴で奪われる平文送信を防ぎます。
Cookie · HttpOnly
CookieをJavaScriptから隠蔽。XSS攻撃が成功してもCookieは読み取られません。
Cookie · SameSite
他サイト発のリクエストにCookieを付与させない、CSRF対策の中核となる防御です。

クロスオリジンAPIアクセスを厳格に制限する

CORSはブラウザからAPIエンドポイントを呼び出せる相手を制御します。ここの設定ミスはAPI経由のデータ漏洩で最も多い原因の一つ。SentinelSecurityは関連する3つのヘッダーすべてを検証します。

Access-Control-Allow-Origin
あなたのAPIからのレスポンスを読み取れるドメインを明確に定義します。
Access-Control-Allow-Methods
外部サイトが利用できるHTTPメソッド（GET / POST / DELETE…）を制限します。
Access-Control-Allow-Headers
他オリジンから送信できるカスタムリクエストヘッダーを制限します。

WordPress利用を露呈させるヘッダーを除去する

攻撃者はまず「どんなソフトを動かしているか」を特定します。WordPress（と多くのホスティング）は、これらのヘッダーを通じて自らを宣伝してしまいがち。除去や差し替えで地味だが確実な防御になります。加えて、もはや役に立たず害を及ぼしうる3つのレガシーヘッダーも検出します。

X-Pingback
XML-RPCの存在を暴露。ブルートフォースやDDoS増幅で日常的に悪用されます。
Link (REST API)
/wp-json/エンドポイントを自動発見させてしまいます。ユーザー列挙の典型的な出発点です。
X-Powered-By
PHPの正確なバージョンを漏洩。既知CVEの攻撃リストを攻撃者に無料で提供してしまいます。
Server
Webサーバー（nginx / Apache / LiteSpeed）とバージョンについても同じことが起きます。
X-XSS-Protection · Expect-CT · Public-Key-Pins
現代のブラウザが無視する3つの非推奨ヘッダー。設定ミス時にはサイトを壊しかねません。SentinelSecurityは削除を推奨します。