## この記事でわかること - 主要 Web セキュリティヘッダチェッカー 3 つの違い - 各ツールのスコア基準と追加チェック項目 - 「海外標準で grade A+ を取りたい」 vs 「日本語で全体把握したい」目的別の選択 - Web 担当者のおすすめワークフロー ## 主要チェッカー 3 つの違い ![主要 Web セキュリティヘッダチェッカー比較](/blog/security-headers-checker-comparison/tools-comparison.svg) ### securityheaders.com(Scott Helme 氏運営) - **強み**: シンプルな A+〜F グレード、世界中のセキュリティエンジニアが目安にする業界標準 - **弱み**: 英語のみ、解説リンクも英語、設定例は少ない - **チェック対象**: HTTP セキュリティヘッダのみ(CSP / HSTS / X-Frame-Options / Referrer-Policy / Permissions-Policy / X-Content-Type-Options 等) ### Mozilla Observatory - **強み**: Mozilla 運営の信頼性、ヘッダだけでなく SSL/TLS / Cookie / Subresource Integrity まで広範 - **弱み**: 英語のみ、技術詳細が深くWeb 担当者・情シスには敷居が高い - **チェック対象**: ヘッダ + SSL/TLS スコア(developer.mozilla.org/en-US/observatory)+ HTTP リダイレクト等 ### ドメイン番人 Web セキュリティヘッダ単発チェック - **強み**: 日本語 UI / 日本語の解説 / スポット設定支援への動線 - **弱み**: 海外で受け入れられた grade ブランド表記なし(独自スコア) - **チェック対象**: ヘッダ全 5 種 + HSTS preload 適格性 + SSL 期限 + CT log + HTTP/2-3 ## 目的別の使い分け ![チェッカーの使い分けフロー](/blog/security-headers-checker-comparison/use-case-flow.svg) ### 「セキュリティ部門の評価で grade A+ を求められている」 → **securityheaders.com** または **Mozilla Observatory**。海外標準のグレードがそのまま使える。海外取引先や監査向け。 ### 「Web 担当者・情シス者として全体を把握したい」 → **ドメイン番人の Web セキュリティヘッダ単発チェック**。日本語で「何が要対応か」「どう直すか」が把握できる。設定が分からない場合のスポット相談動線も用意。 ### 「SSL 証明書周りも含めてまとめて見たい」 → **ドメイン番人の SSL 単発チェック**(SSL 番人)。証明書期限・HSTS preload 適格性・CT log の発行履歴・HTTP/2-3 まで一括。 ### 「メール認証や DNS まで含めて総合的に診断」 → **ドメイン番人の総合ドメイン診断(無料)**。SPF / DKIM / DMARC / SSL / DNS / ブランド保護の 5 領域を一度にスコア化。 ## スコア基準の独立性 ドメイン番人のスコアは **securityheaders.com の grade と直接対応させていません**。理由は: - securityheaders.com は CSP / HSTS の重み付けが日本のセキュリティ実務とズレることがある - A+ 取得のために `'unsafe-inline'` を含む CSP を「設定すれば OK」とする傾向は、実際の防御効果と乖離する - 「設定有無」と「設定の質」を分けて評価すべき そのため、独自の重み付け(CSP=15、HSTS=15、X-Frame-Options=10、X-Content-Type-Options=5、Referrer-Policy=5、Permissions-Policy=5)で 100 点満点に正規化しています。`'unsafe-inline'` を含む CSP は「設定済み」ではなく warn 扱いで減点する設計です。 ## Web 担当者のおすすめワークフロー 1. **まず日本語で全体把握**: ドメイン番人の Web セキュリティヘッダ単発チェック 2. **要対応項目を特定**: 「要対応」「注意」のラベルが付いた項目から着手 3. **設定方法を学ぶ**: 当ブログの個別解説記事(CSP / HSTS / X-Frame / Referrer / Permissions-Policy) 4. **設定後の検証**: ドメイン番人で再チェック + 必要に応じて securityheaders.com で grade も確認 5. **困ったら相談**: スポット 3 万円〜の設定支援 英語が苦にならない方は securityheaders.com / Mozilla Observatory も併用すると、海外標準と日本語解説の両方が得られて理解が深まります。 ## まとめ - **海外標準の grade** が必要 → securityheaders.com / Mozilla Observatory - **日本語で全体把握 + 設定支援** が必要 → ドメイン番人の単発チェック - **SSL も含めて見たい** → SSL 単発チェック - **メール認証や DNS まで** → 無料の総合ドメイン診断 - スコア基準は独立性を保ち、`'unsafe-inline'` 等の質的問題を見落とさない設計 ## まずは現状を把握しましょう ドメイン番人の [Web セキュリティヘッダ 単発チェック](/security-headers/check) で 30 秒の現状診断ができます。CSP / HSTS / X-Frame-Options / Referrer-Policy / Permissions-Policy をまとめてスコアリングします。 設定支援が必要な場合は [Web セキュリティヘッダ診断+設定支援](/contact)(3 万円〜)でご相談ください。各ヘッダの個別解説は次の記事を参照: - [CSP(Content-Security-Policy)とは?Web 担当者のための入門](/blog/csp-content-security-policy-toha) - [HSTS の設定方法|Cloudflare / Nginx / WordPress 別の手順](/blog/hsts-settei-houhou) - [クリックジャッキング対策|X-Frame-Options と CSP frame-ancestors](/blog/x-frame-options-clickjacking) - [Referrer-Policy のおすすめ設定値](/blog/referrer-policy-osusume) - [Permissions-Policy とは?Web 担当者向けの入門と推奨設定](/blog/permissions-policy-toha) 総合点検は [無料のドメイン診断](/diagnose)、SSL 単独は [SSL 単発チェック](/ssl/check) をご利用ください。