セキュリティヘッダーはSEOに影響しますか？

HTTPS対応はGoogleのランキングシグナルです。セキュリティインシデントは間接的にSEOに悪影響を与えます。

すべてのヘッダーを設定する必要がありますか？

最低限CSP、HSTS、X-Frame-Options、X-Content-Type-Optionsの4つは必須です。残りも設定を推奨します。

CSPの設定でサイトが壊れた場合は？

Content-Security-Policy-Report-Onlyで試し、DevToolsでエラーを確認しながら調整してください。

共用レンタルサーバーでも設定できますか？

多くのサーバーで.htaccessでのヘッダー設定が可能です。mod_headersが有効である必要があります。

WordPressプラグインで対応できますか？

HTTP HeadersやSecurity Headersプラグインで設定可能ですが、.htaccess直接記述がパフォーマンス面で優れています。

Fランクだとすぐ攻撃されますか？

直ちに攻撃されるわけではありませんが、攻撃が成功しやすくなります。設定コストは低いため早めの対応を推奨します。

セキュリティヘッダーチェッカー – A〜Fスコア＋設定例付き

セキュリティヘッダーチェッカーとは？

URLを入力するだけで、WebサイトのHTTPセキュリティヘッダーの設定状況をA+〜Fでスコアリングする無料オンラインツールです。CSP・HSTS・X-Frame-Options・X-Content-Type-Options・Referrer-Policy・Permissions-Policy・X-XSS-Protectionの7つのヘッダーをチェックし、各ヘッダーごとに合否判定・日本語解説・Apache/Nginx設定例を表示します。

セキュリティヘッダーはXSS攻撃、クリックジャッキング、MIMEスニッフィングなどの一般的なWeb攻撃からサイトを保護するための重要な防御レイヤーです。適切に設定することで、ユーザーの安全性とサイトの信頼性を大幅に向上させることができます。

主な特徴

📊

A+〜Fスコアリング
一目で設定状況を把握

🔧

設定例付き
Apache/Nginx対応

🇯🇵

日本語解説
各ヘッダーの役割を解説

活用シーン

👨‍💻

Web開発者

新規サイト公開前にセキュリティヘッダーの設定漏れがないかチェック。設定例をそのままコピーして適用できます。

🔒

セキュリティ監査

自社サイトや取引先サイトのセキュリティヘッダー設定状況を定期的に監査。A+グレード達成を目指しましょう。

🖥️

サーバー管理者

Apache/Nginxの設定後にヘッダーが正しく反映されているか確認。複数ドメインの一括チェックに便利です。

📋

レポート作成

結果をJSON/テキストでエクスポートし、セキュリティレポートに添付。上司やクライアントへの報告に活用できます。

使い方

基本的な使い方

上部の入力欄にチェックしたいWebサイトのURLを入力（例: https://example.com）
「チェック」ボタンをクリック
A+〜Fのグレードと各ヘッダーの詳細結果が表示されます
未設定のヘッダーには推奨設定（Apache/Nginx）が表示されるので、そのままコピーして適用できます

Apache (.htaccess) での設定方法

Apacheサーバーの場合、.htaccessファイルに以下を追加します：

# セキュリティヘッダー設定
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header always set Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; object-src 'none'; frame-ancestors 'none';"
Header always set X-XSS-Protection "0"

Nginx での設定方法

Nginxの場合、nginx.confのserverブロックに以下を追加します：

# セキュリティヘッダー設定
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; object-src 'none'; frame-ancestors 'none';" always;
add_header X-XSS-Protection "0" always;

WordPress での設定方法

WordPressの場合は functions.php に以下を追加するか、.htaccess に直接記述します：

// functions.php に追加
function add_security_headers() {
  header('X-Frame-Options: SAMEORIGIN');
  header('X-Content-Type-Options: nosniff');
  header('Referrer-Policy: strict-origin-when-cross-origin');
}
add_action('send_headers', 'add_security_headers');

セキュリティヘッダー用語集

Content-Security-Policy (CSP): ブラウザが読み込み可能なリソース（スクリプト、スタイルシート、画像等）のソースを制限するヘッダー。XSS攻撃やデータインジェクション攻撃を防ぐ最も強力な防御機構です。default-src、script-src、style-src等のディレクティブで詳細に制御します。
Strict-Transport-Security (HSTS): ブラウザに対してHTTPS接続のみを使用するよう強制するヘッダー。max-ageで有効期間を秒数で指定し、includeSubDomainsでサブドメインにも適用します。preloadを追加するとブラウザのプリロードリストに登録申請できます。
X-Frame-Options: ページがiframeやframe内に埋め込まれることを制限するヘッダー。クリックジャッキング攻撃（透明なiframeを重ねてユーザーを騙す攻撃）を防止します。DENY（完全禁止）またはSAMEORIGIN（同一オリジンのみ許可）を設定します。
X-Content-Type-Options: ブラウザによるMIMEタイプの推測（スニッフィング）を防止するヘッダー。値はnosniffのみ。これにより、Content-Typeと異なるタイプとしてファイルが処理されることを防ぎます。
Referrer-Policy: ページ遷移時にリファラー情報（遷移元URL）をどの程度送信するかを制御するヘッダー。strict-origin-when-cross-originが推奨値で、同一オリジンではフルURLを、クロスオリジンではオリジンのみを送信します。
Permissions-Policy: ブラウザの機能（位置情報、カメラ、マイク、支払いAPI等）へのアクセスを制御するヘッダー。旧名Feature-Policy。geolocation=()のように空にすることでその機能を完全に無効化できます。
X-XSS-Protection: ブラウザ内蔵のXSSフィルターを制御するレガシーヘッダー。モダンブラウザではこのフィルター自体が削除されているため、CSPの使用が推奨されます。0で明示的に無効化するのが現在のベストプラクティスです。

セキュリティヘッダーの技術解説

XSS（クロスサイトスクリプティング）攻撃とは

攻撃者がWebページに悪意のあるスクリプトを注入し、他のユーザーのブラウザ上で実行させる攻撃です。Cookie窃取、セッションハイジャック、フィッシングページへの誘導などに悪用されます。CSPヘッダーにより、許可されていないソースからのスクリプト実行を防止できます。

クリックジャッキング攻撃とは

攻撃者が透明なiframeを正規サイトの上に重ね、ユーザーに意図しないクリック操作を行わせる攻撃です。X-Frame-OptionsまたはCSPのframe-ancestorsディレクティブにより防止できます。

MIMEスニッフィング攻撃とは

ブラウザがContent-Typeヘッダーを無視してファイルの実際の内容からMIMEタイプを推測する機能を悪用した攻撃です。HTMLファイルとして解釈させることで、悪意のあるスクリプトを実行させます。X-Content-Type-Options: nosniffにより防止できます。

ダウングレード攻撃とは

HTTPS通信をHTTPにダウングレードさせ、通信を傍受する中間者攻撃（MITM）です。HSTSを設定することで、ブラウザに対してHTTPS接続のみを強制し、この攻撃を防止できます。

スコアリングの仕組み

本ツールは7つのセキュリティヘッダーをチェックし、100点満点でスコアリングします。CSPとHSTSが各25点と最も配点が高く、レガシーのX-XSS-Protectionは5点です。スコアに基づきA+（100点）〜F（0〜19点）のグレードを付与します。

よくある質問（FAQ）

セキュリティヘッダーはSEOに影響しますか？: 直接的なランキング要因ではありませんが、HTTPS対応（HSTSと関連）はGoogleのランキングシグナルです。また、セキュリティインシデントによるサイトの信頼性低下は間接的にSEOに悪影響を与えます。
すべてのヘッダーを設定しないとダメですか？: 最低限、CSP、HSTS（HTTPS利用時）、X-Frame-Options、X-Content-Type-Optionsの4つは必須と考えてください。残りも設定を強く推奨します。
CSPの設定でサイトが壊れました: CSPが厳しすぎると正当なスクリプトやスタイルもブロックされます。まずContent-Security-Policy-Report-Onlyで試し、ブラウザのDevToolsでエラーを確認しながら調整してください。
共用レンタルサーバーでも設定できますか？: 多くのレンタルサーバー（エックスサーバー、さくら、ConoHa等）では.htaccessでヘッダーを設定可能です。ただしmod_headersが有効である必要があります。
WordPressプラグインで対応できますか？: 「HTTP Headers」「Security Headers」などのプラグインで設定可能です。ただし、.htaccessへの直接記述のほうがパフォーマンス面で優れています。
Fランクだったらすぐに攻撃されますか？: セキュリティヘッダーは「防御レイヤー」の一つです。未設定でも直ちに攻撃されるわけではありませんが、攻撃が成功しやすくなるリスクが高まります。設定コストは低いため、早めの対応を推奨します。

セキュリティ

WEB開発ツール

SEO対策

ネットワーク

画像処理・テキスト解析

ビジネス

見積書・請求書 PDF作成ツール｜登録不要

SNS・エンタメ

生活