Webサイトのセキュリティヘッダーを強化し、世界上位14%の評価を獲得しました
はじめに
ドーナツサービスでは、お客様に安心してWebサイトをご利用いただくため、セキュリティ対策の継続的な改善に取り組んでいます。
このたび、セキュリティヘッダーの診断サービス「Security Headers」において、当社のWebサイト(donut-service.com)がAランクを獲得しました。これは全世界約3.47億サイト中、**上位約14%**に入る評価です。
セキュリティヘッダーとは?
Webサイトにアクセスすると、ブラウザはサーバーから「ヘッダー」と呼ばれる付加情報を受け取ります。セキュリティヘッダーはその中でも、ブラウザに対して「このサイトを安全に表示してください」と指示するための仕組みです。
適切なセキュリティヘッダーを設定することで、以下のような攻撃からWebサイトの訪問者を守ることができます。
- クロスサイトスクリプティング(XSS) — 悪意あるスクリプトの実行を防止
- クリックジャッキング — 透明なiframeを重ねてクリックを騙す攻撃を防止
- 中間者攻撃(MITM) — 通信経路上での盗聴・改ざんを防止
- MIMEタイプスニッフィング — ファイル種別の誤認識を悪用した攻撃を防止
設定したセキュリティヘッダー
今回、以下の6つのセキュリティヘッダーを設定しました。
1. Strict-Transport-Security(HSTS)
ブラウザに「このサイトには必ずHTTPSで接続してください」と指示するヘッダーです。一度このヘッダーを受け取ったブラウザは、以降の通信でHTTPリクエストを一切送信せず、自動的にHTTPSへ切り替えます。これにより、暗号化されていないHTTP通信がネットワーク上に流れることを防ぎます。
2. Content-Security-Policy(CSP)
Webページが読み込めるリソース(スクリプト、スタイルシート、画像、フォントなど)の提供元を明示的に制限するヘッダーです。許可されていないドメインからのスクリプト実行をブラウザがブロックするため、XSS攻撃に対する強力な防御層となります。
3. X-Frame-Options
他のサイトがiframeを使って当社サイトを埋め込むことを防止します。これにより、悪意のあるサイトが当社ページの上に透明な要素を重ねてユーザーのクリックを騙す「クリックジャッキング」を防ぎます。
4. X-Content-Type-Options
ブラウザがファイルの種別を自動推測(MIMEスニッフィング)する動作を無効化します。たとえば、テキストファイルとしてアップロードされた悪意あるファイルが、ブラウザによってスクリプトとして実行されることを防ぎます。
5. Referrer-Policy
サイトから外部リンクをクリックした際に、遷移先に送信されるURL情報を制御します。当社では「strict-origin-when-cross-origin」を設定しており、外部サイトにはドメイン名のみを通知し、ページのパス情報が漏洩しないようにしています。
6. Permissions-Policy
ブラウザのカメラ、マイク、位置情報といった機能へのアクセスを制限するヘッダーです。当社サイトではこれらの機能を使用しないため、すべて無効化しています。万一、悪意あるスクリプトが注入された場合でも、これらの機能にアクセスすることはできません。
世界のWebサイトにおけるセキュリティヘッダーの現状
Security Headersの統計によると、全世界約3.47億サイトのランク分布は以下の通りです。
| ランク | サイト数 | 割合 |
|---|---|---|
| A+ | 約824万 | 2.4% |
| A | 約3,901万 | 11.2% |
| B | 約1,456万 | 4.2% |
| C | 約1,832万 | 5.3% |
| D | 約4,620万 | 13.3% |
| E | 約948万 | 2.7% |
| F | 約1億5,309万 | 44.1% |
| R | 約5,831万 | 16.8% |
全体の約61%がFまたはRランク(セキュリティヘッダーが未設定もしくは不十分)であり、適切な対策がなされていないサイトが大半を占めています。Aランク以上は全体のわずか13.6%です。
SSL/TLS設定もA+を獲得
セキュリティヘッダーに加え、SSL/TLSの設定を診断する「Qualys SSL Labs」でもA+(最高評価)を獲得しています。TLS 1.3への対応と、HSTSによるHTTPS強制が評価のポイントとなりました。
多層防御の考え方
セキュリティに「これだけやれば安全」という単一の対策はありません。当社では**多層防御(Defense in Depth)**の原則に基づき、複数の防御層を組み合わせてWebサイトを保護しています。
- ネットワーク層 — ファイアウォール、不正アクセスの自動遮断
- トランスポート層 — TLS 1.3による暗号化通信、HSTS
- 認証層 — 多要素認証、公開鍵認証
- アプリケーション層 — CSP、入力値検証、セキュリティヘッダー
- OS層 — 最小権限の原則、定期的なパッチ適用
- 監視層 — ログ監視、侵入検知
今回のセキュリティヘッダー強化は、この多層防御における「アプリケーション層」の改善にあたります。1つの対策が突破されても、次の層で食い止める——この考え方が、堅牢なセキュリティの基盤です。
おわりに
セキュリティは「設定して終わり」ではなく、継続的な改善が求められる取り組みです。ドーナツサービスでは、今後もWebサイトのセキュリティ強化に努め、お客様が安心してご利用いただける環境を提供してまいります。
ご自身のWebサイトのセキュリティヘッダーが気になる方は、Security Headersで簡単にチェックできます。ぜひ一度お試しください。