セキュリティヘッダーを甘く見ると危険！いま絶対に押さえるべき理由

近年、サイバー攻撃のリスクは年々高まっています。
特に企業のコーポレートサイトでは、信頼性が命。
ところが、セキュリティヘッダーを設定していないだけで、大きな脆弱性を抱えてしまうことも…。

この記事では、いま押さえるべきセキュリティヘッダーの効果を、プロの視点でわかりやすくまとめます！

セキュリティヘッダーの概要：なぜ今注目されるのか？

セキュリティヘッダーとは、Webサーバーがブラウザに対して送る追加の指示情報です。
これにより、ブラウザ側の動作を制御し、さまざまな攻撃リスクを事前に防ぐことができます。

特に注目されている理由は以下の通り。

• サイバー攻撃の高度化により、サイト防御の強化が必須
• ブラウザ標準仕様でサポートされ、導入が簡単
• SEOやユーザー信頼度向上にもつながる

つまり、コストをかけずにリスク対策と価値向上ができる「コスパ最強」な施策なのです！

セキュリティヘッダーの詳細とそれぞれの効果

ここからは、代表的な5つのセキュリティヘッダーについて詳しく解説していきます。

Strict-Transport-Security（HSTS）：HTTPSを強制して守る

一度HTTPSでアクセスしたブラウザに対し、今後は必ずHTTPSを使うように命令します。

効果

• ダウングレード攻撃（HTTPへの中間攻撃）を防止
• 利用者が間違えてHTTPでアクセスしても自動で安全にリダイレクト

特に重要な理由

企業サイトは常時SSL化が標準。
信頼性を確保するためにもHSTS設定は欠かせません。

Content-Security-Policy（CSP）：外部スクリプトから防御

「このドメインのリソースだけ許可する」とブラウザに伝えるポリシー設定です。

効果

• XSS（クロスサイトスクリプティング）攻撃を防止
• 不正広告や悪意あるスクリプトの混入を防ぐ

特に重要な理由

近年、サイト改ざんの大半がXSS経由。
サイトオーナーにとって、CSPは「第二のセキュリティバリア」です。

X-Content-Type-Options：ファイル偽装をシャットアウト

ブラウザがファイル種別を勝手に推測しないよう制御します。

効果

• ファイル偽装攻撃（たとえば偽画像ファイル）を防止

特に重要な理由

アップロード機能があるサイトでは特に必須。
うっかりスクリプトが実行されるリスクを防ぎます。

X-Frame-Options：外部からの悪用を防ぐ

外部サイトから自社ページをiframeで読み込まれないようブロックします。

効果

• クリックジャッキング攻撃（偽ボタン重ね合わせ）を防止

特に重要な理由

ブランド価値を守るため、知らぬ間に他サイトに悪用されるリスクをゼロにしましょう。

Referrer-Policy：個人情報を守る最後の砦

リンク移動時に「どこから来たか」の情報をどの程度渡すかを制御します。

効果

• 個人情報漏洩リスクの低減
• URLパラメータ（例：会員ID）が漏れるのを防止

特に重要な理由

個人情報保護法対応にも有効。
リファラー情報が不用意に漏れるのは、もはや重大リスクです！

良い例・悪い例で学ぶセキュリティヘッダー設定の違い

良い例：全ヘッダーをバランス良く設定したケース

例えば、ある架空のコーポレートサイト「SecureCorp」では、

• HTTPS常時化＋HSTS設定
• 厳密なCSP設定で外部スクリプト制限
• X-Content-Type-Optionsでファイル偽装防止
• X-Frame-Optionsでiframe禁止
• Referrer-Policyで最低限の情報共有

を行いました。

結果、サイト改ざんや情報漏洩事件ゼロ！
SEO評価も向上し、サイト訪問者からの信頼も厚くなりました。

悪い例：セキュリティヘッダー未設定のケース

一方、別の架空サイト「RiskySite」では、これらをまったく設定していませんでした。

ある日、HTTPへのダウングレード攻撃に遭い、ログイン情報を盗まれ、さらに外部サイト経由でスクリプトを注入されサイト改ざんが発生。
結果、検索順位も急落し、ブランドイメージにも大きなダメージ…。

小さな設定の差が、取り返しのつかない結果を招くことがよくわかりますね。

WordPressが動かなくなる時は？セキュリティヘッダー設定時の注意点

セキュリティヘッダーは強力な防御策ですが、設定を間違えるとWordPressサイトが動かなくなることもあります。

その代表的なケースを紹介します。

CSP設定が厳しすぎる場合

Content-Security-Policy（CSP）の設定で、スクリプトやスタイルの読み込み元を厳しく制限しすぎると、
WordPress標準の機能やプラグインが正常に動作しなくなることがあります。

例えば、

• 管理画面のエディターが真っ白になる
• 画像アップロードができない
• プラグインのJavaScriptがブロックされる

といったトラブルが発生します。

対策

• 最初は「self」とWordPress公式のCDNだけ許可する
• 実際に動作させながら、必要なリソースを少しずつ追加許可していく

無理に「超厳格モード」にしないことがポイントです！

HSTSをテスト環境で設定してしまった場合

Strict-Transport-Security（HSTS）は、いったん設定するとブラウザが記憶してしまうため、
テスト環境など一時的なサーバーで設定してしまうと、
以後、HTTPSでしかアクセスできなくなり、管理が面倒になる場合があります。

対策

• 本番環境だけにHSTSを適用する
• テスト環境ではHSTSを送信しない設定にする

小規模な開発中サイトでは、特に注意が必要です！

X-Frame-Optionsで必要なiframe埋め込みまでブロックする場合

X-Frame-Optionsを「DENY」設定にすると、すべてのiframe読み込みがブロックされます。

もし、WordPressで

• 外部サービスの埋め込み（YouTube動画など）
• フォーム埋め込み（Googleフォームなど）

を行っていると、これらも表示されなくなります。

対策

• X-Frame-Optionsでは「SAMEORIGIN」設定にする（同一ドメイン内の埋め込みは許可）
• 特定のパスのみ除外する設定を検討する

WordPressでは、柔軟な運用を意識しましょう！

こうした落とし穴を回避すれば、WordPressでも安全かつ快適にセキュリティヘッダーを運用できます。

セキュリティ対策をしつつ、WordPressもきちんと動作するコード

.htaccess

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.trustedcdn.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; connect-src 'self'; frame-ancestors 'none';"
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>

Nginx

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.trustedcdn.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; connect-src 'self'; frame-ancestors 'none';" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

注意点

• *.trustedcdn.com の部分は、実際に使っているCDNやGoogle Fontsのドメインなどに合わせて変更してください。
• unsafe-inlineとunsafe-evalは多少リスクがあるため、できれば後から徐々に厳しくしていくのが理想です。

まとめ：セキュリティヘッダー設定は今すぐ始めよう！

セキュリティヘッダーは、
低コスト・高効果のサイト防御策です。

導入することで、

• 🔒安全な接続が保証され
• 🛡️攻撃耐性が上がり
• 📈SEOやブランド信頼にも貢献

と、まさにいいことづくめ。

「うちは大丈夫」と油断せず、今日からぜひセキュリティヘッダーを導入してみてください！

あなたの大切なサイトを、もっと安全に守っていきましょう！