ドメイン番人 Web セキュリティヘッダ サポート CSP / HSTS / X-Frame-Options、\ ちゃんと設定できていますか? ============== Web セキュリティヘッダの点検から、Report-Only での段階導入、\ Cloudflare / Nginx / WordPress 別の設定手順まで。\ ドメイン番人が、ドメイン全体の一機能としてまとめてお守りします。 [まずは無料で 30 秒チェック](/security-headers/check)[お問い合わせ](/contact) ## こんなお悩み、ありませんか? 監査で指摘された 取引先のセキュリティ監査やお客様の調達基準で「セキュリティヘッダの設定状況」を問われ、何をどう答えればよいか分からない。 CSP で画面が崩れる CSP を設定したら WordPress の管理画面が崩れた。\`'unsafe-inline'\` を入れたが、それで本当に意味があるのか自信が持てない。 HSTS を戻せない HSTS を有効化したらサブドメインが見られなくなった。1 年の max-age を入れてしまい、ブラウザに記憶されて元に戻せない。 海外ツールは英語 securityheaders.com や Mozilla Observatory は英語 UI で、解説リンクも英語。日本語で結果を社内共有したい Web 担当者には敷居が高い。 ## ドメイン番人がお手伝いできる 4 つのこと 1\. セキュリティヘッダ 現状診断 CSP / HSTS / X-Frame-Options / X-Content-Type-Options / Referrer-Policy / Permissions-Policy を一括点検し、要対応項目を日本語レポートでお渡しします。 2\. CSP の段階導入 Report-Only モードで違反観察 → nonce / hash への移行 → Enforce 切り替え、の段階導入を支援します。\`'unsafe-inline'\` を撤去しつつ画面崩れを防ぐ進め方をサポートします。 3\. HSTS の安全な拡大 短期 max-age での検証 → 拡大 → preload 申請判断、まで段階的に進めます。「ブラウザに焼き込まれて戻せない」事故を防ぎます。 4\. メール認証・SSL とまとめて点検 SPF / DKIM / DMARC / SSL / DNS の状態も、セキュリティヘッダ点検と合わせて確認できます。[無料の総合ドメイン診断](/diagnose)と組み合わせれば、ドメイン周りの心配事をまとめてゼロにできます。 ## ご相談例と料金の目安 - Web セキュリティヘッダ診断+設定支援3 万円〜 - CSP 段階導入支援(Report-Only → Enforce)8 万円〜 - インフラ全体棚卸し(メール認証+SSL+DNS+セキュリティヘッダ)15 万円〜 ※ 表示価格は税別の最低ラインです。規模・対象範囲によって個別にお見積りします。詳しくは[料金ページ](/pricing)をご覧ください。 ## 参考記事 - [CSP(Content-Security-Policy)とは?中小企業のための入門](/blog/csp-content-security-policy-toha) - [CSP unsafe-inline の問題と移行手順](/blog/csp-unsafe-inline-mondai) - [HSTS の設定方法|Cloudflare / Nginx / WordPress 別の手順](/blog/hsts-settei-houhou) - [クリックジャッキング対策|X-Frame-Options と CSP frame-ancestors](/blog/x-frame-options-clickjacking) - [Referrer-Policy のおすすめ設定値](/blog/referrer-policy-osusume) - [Permissions-Policy とは?中小企業向けの入門と推奨設定](/blog/permissions-policy-toha) - [Web セキュリティヘッダのチェッカー比較](/blog/security-headers-checker-comparison) - [Cloudflare でセキュリティヘッダを設定する](/blog/cloudflare-security-headers)/[Nginx](/blog/nginx-security-headers)/[WordPress](/blog/wordpress-security-headers) ## よくある質問 Q.Web セキュリティヘッダとは何ですか? A.Web サーバが返す HTTP レスポンスに含めるヘッダのうち、ブラウザに対して安全な挙動を指示するものです。CSP(XSS 抑止)/ HSTS(HTTPS 強制)/ X-Frame-Options(クリックジャッキング対策)/ Referrer-Policy(プライバシー保護)/ Permissions-Policy(カメラ・マイク等の機能制限)が代表例です。 Q.設定すると何が良くなりますか? A.XSS / クリックジャッキング / 中間者攻撃 / 意図しないブラウザ機能の利用を抑止できます。情報セキュリティ監査やお客様の調達基準でセキュリティヘッダの設定状況を問われるケースも増えており、実害の防止と合わせて取引先からの信頼確保にもつながります。 Q.CSP の \`unsafe-inline\` を入れないと画面が崩れます。どうすれば? A.WordPress や古いテーマでよく起きるトレードオフです。Report-Only モードで違反を観察 → nonce/hash 方式へ段階的に移行する手順を推奨しています。具体的な進め方は当ブログの「CSP unsafe-inline の問題と移行手順」記事で解説しており、設定支援も対応可能です。 Q.HSTS を設定すると元に戻せないと聞きましたが? A.正しいご懸念です。HSTS は一度ブラウザに記憶されると max-age の期間中は HTTP に戻せません。当方では短期 max-age での検証 → 拡大 → preload 申請判断、という段階導入を支援します。いきなり 1 年・includeSubDomains・preload を有効化する設定は推奨しません。 Q.Cloudflare / Nginx / WordPress のどれにも対応できますか? A.はい。Cloudflare の Transform Rules / 専用 UI、Nginx の \`add\_header\` \`always\` 指定、WordPress の \`.htaccess\` / プラグイン設定のいずれにも対応します。サーバ構成に応じて最適な設定方法をご提案します。 Q.securityheaders.com の grade A+ を取りたいのですが A.対応可能です。ただし grade A+ 取得を目的化すると \`'unsafe-inline'\` を含む CSP を入れて点数だけ稼ぐ運用になりがちで、実際の防御効果と乖離します。当方では grade と防御の質の両立を念頭に設定支援します。 Q.対応期間はどれくらいですか? A.現状診断と推奨設定の提示は 1〜2 週間、Report-Only での観察期間を含む段階導入は 4〜8 週間が目安です。お見積り時に明確にお伝えします。 Q.支払い方法と契約期間を教えてください A.銀行振込でのお支払いとなります。スポット単発でのご依頼が前提で、最低契約期間や月額の縛りはありません。 Q.メール認証や SSL も合わせて見てもらえますか? A.はい。ドメイン番人はメール認証(SPF / DKIM / DMARC)・SSL・DNS・ドメイン管理を横断してお守りするサービスです。Web セキュリティヘッダの点検と合わせて、まとめてご相談いただけます。 Q.ドメイン番人本体との関係は? A.ドメイン番人は、ドメインに関わるあらゆるリスクを横断的に見守るコンサルティングサービスです。本ページは、その中の Web セキュリティヘッダ領域を単体でご依頼いただきたい方向けの専用ランディングです。 ## まずは現状をチェックしてみませんか ご利用中ドメインのセキュリティヘッダ設定を、\ 登録不要・無料で 30 秒で診断できます。 [無料でヘッダチェック](/security-headers/check)[お問い合わせ](/contact)