セキュリティヘッダーのスコアが低いとどうなりますか？

セキュリティヘッダーが不足していると、XSS（クロスサイトスクリプティング）、クリックジャッキング、MIMEスニッフィングなどの攻撃に対して脆弱になります。特にHSTSが未設定の場合、HTTPS接続が強制されないためダウングレード攻撃のリスクがあります。Googleはセキュリティを重視しており、間接的にSEOにも影響します。

CSPの設定が難しいのですが、必ず必要ですか？

Content-Security-Policy（CSP）はXSS攻撃を軽減する強力なヘッダーですが、設定が複雑なためステータスは「警告」（未設定時）としています。まずはX-Content-Type-Options（nosniff）やX-Frame-Options（DENY）など簡単に設定できるヘッダーから始め、段階的にCSPを導入するのが推奨です。

CDNを使っていますが、セキュリティヘッダーが検出されません。なぜですか？

CDN（CloudflareやCloudFrontなど）がレスポンスヘッダーを追加・削除している場合があります。オリジンサーバーで設定しても、CDNのキャッシュやプロキシ設定によってヘッダーが除去されることがあります。CDNの管理画面でカスタムレスポンスヘッダーの設定を確認してください。

セキュリティヘッダーチェッカー

Name: セキュリティヘッダーチェッカー
Availability: InStock
Author: Zeronova（ゼロノバ）

URLを入力するだけでHTTPセキュリティヘッダー6項目を検査し、スコアと改善提案を表示します。

URLを入力するとHTTPセキュリティヘッダー6項目を検査し、スコアと改善提案を表示します

URLを入力してセキュリティヘッダーをチェックしましょう

HSTS・CSP・X-Frame-Optionsなど6項目を自動検査します

HTTPセキュリティヘッダーとは

HTTPセキュリティヘッダーは、Webサーバーがブラウザに対して送信するHTTPレスポンスヘッダーの一種で、 XSS（クロスサイトスクリプティング）、クリックジャッキング、MIMEスニッフィングなどの攻撃からWebサイトを保護するために使用されます。適切なセキュリティヘッダーを設定することで、ブラウザのセキュリティ機能を活用し、攻撃の被害を軽減できます。

Googleはセキュリティを重視しており、HTTPS化と合わせてセキュリティヘッダーの設定はSEOにも間接的に好影響を与えます。特にHSTS（HTTP Strict Transport Security）はHTTPS接続を強制するヘッダーで、検索順位への影響が確認されています。

検査対象の6つのセキュリティヘッダー

ヘッダー名	目的	推奨設定
Strict-Transport-Security	HTTPS接続を強制（HSTS）	`max-age=31536000; includeSubDomains`
Content-Security-Policy	XSS攻撃の軽減（CSP）	`default-src 'self'` をベースに設定
X-Content-Type-Options	MIMEスニッフィング防止	`nosniff`
X-Frame-Options	クリックジャッキング防止	`DENY` または `SAMEORIGIN`
Referrer-Policy	リファラー情報の制御	`strict-origin-when-cross-origin`
Permissions-Policy	ブラウザAPI使用の制限	`camera=(), microphone=(), geolocation=()`

スコアの見方

各ヘッダーの設定状況を「合格」「警告」「未設定」の3段階で判定し、100点満点のスコアを算出します。合格は2点、警告は1点、未設定は0点として計算されます。

80点以上: 主要なセキュリティヘッダーが適切に設定されています
50〜79点: 一部のヘッダーが不足または設定が不十分です
49点以下: セキュリティヘッダーの設定を見直す必要があります

設定方法

Next.js: next.config.ts の headers() で設定
Apache: .htaccess の Header set で設定
Nginx: add_header ディレクティブで設定
Vercel / Netlify: 設定ファイル（vercel.json, _headers）で設定
WordPress: セキュリティプラグインまたは .htaccess で設定

活用シーン

サイトリリース前の最終チェック: 本番公開前にセキュリティヘッダーの設定漏れがないか確認する
セキュリティ監査: 定期的にヘッダー設定をチェックし、脆弱性の有無を確認する
サーバー移行・CDN導入時: インフラ変更後にヘッダーが正しく引き継がれているか検証する
競合サイトとの比較: 他サイトのセキュリティ対策状況を調査し、自サイトの改善に活かす
Web制作の納品時: クライアントへの納品前にセキュリティ対策の実施状況をエビデンスとして提示する

このツールの使い方

チェックしたいWebサイトのURLを入力して「チェック」ボタンを押します
HTTPレスポンスヘッダーが自動取得され、6項目のセキュリティヘッダーが検査されます
100点満点のスコアと合格・警告・未設定の判定結果が一覧で表示されます
各ヘッダーの判定理由と現在の設定値を確認し、未設定の項目から優先的に対応します

ツールの仕様・制限事項

指定URLにHTTPリクエストを送り、レスポンスヘッダーを解析します
リダイレクトは最大5回まで追従します
レスポンスのタイムアウトは10秒です
CDNやプロキシが中間でヘッダーを追加・削除している場合、実際の設定と異なる結果になることがあります
入力されたURLの情報はサーバーに保存されません

このツールが役に立ったらシェアしてください

ご意見・ご要望をお聞かせください

機能追加を求む！不具合を見つけた！

Focus Blog

Web制作者のためのSEO・サイト検査ツール18選完全ガイド

Focus Blog

Webサイト公開前に確認すべき10のチェックポイント

Journal

Next.js APIルートのSSRF対策 — redirect: manual とホップ毎検証の実装

よくある質問

Q. セキュリティヘッダーのスコアが低いとどうなりますか？: セキュリティヘッダーが不足していると、XSS（クロスサイトスクリプティング）、クリックジャッキング、MIMEスニッフィングなどの攻撃に対して脆弱になります。特にHSTSが未設定の場合、HTTPS接続が強制されないためダウングレード攻撃のリスクがあります。Googleはセキュリティを重視しており、間接的にSEOにも影響します。
Q. CSPの設定が難しいのですが、必ず必要ですか？: Content-Security-Policy（CSP）はXSS攻撃を軽減する強力なヘッダーですが、設定が複雑なためステータスは「警告」（未設定時）としています。まずはX-Content-Type-Options（nosniff）やX-Frame-Options（DENY）など簡単に設定できるヘッダーから始め、段階的にCSPを導入するのが推奨です。
Q. CDNを使っていますが、セキュリティヘッダーが検出されません。なぜですか？: CDN（CloudflareやCloudFrontなど）がレスポンスヘッダーを追加・削除している場合があります。オリジンサーバーで設定しても、CDNのキャッシュやプロキシ設定によってヘッダーが除去されることがあります。CDNの管理画面でカスタムレスポンスヘッダーの設定を確認してください。

開発者

Zeronova（ゼロノバ）

Product Manager / AI-Native Builder

19年以上のWeb/IT業界経験を持つPdMが、現場で本当に使えるツールを開発。登録不要・ブラウザだけで動作する無料ツールを93種類以上公開中。

@zeronova_lab プロフィール →