【IT初心者向け】ウェブサイトの防弾チョッキ!Securityheadersの評価を「A+」へ劇的改善する方法
自分のウェブサイトのURLを「Securityheaders」に入力してみたら、まさかの真っ赤な「F」判定…。
「えっ、私のサイトってそんなに危険なの!?」と焦ってしまった方も多いのではないでしょうか。
でも、安心してください!その「F」は、「あなたのサイトが今すぐ乗っ取られる!」というわけではなく、「ブラウザに対する安全の自己申告(セキュリティヘッダー)が足りていないよ」というサインです。
この記事では、IT初心者の方に向けて、ウェブサイトに“防弾チョッキ”を着せて、Securityheadersの評価を「F」から最高評価の「A+」へ引き上げる方法を分かりやすく解説します!
そもそも「セキュリティヘッダー」って何?
ウェブサイトを表示するとき、あなたのサーバーと訪問者のブラウザ(ChromeやSafariなど)は裏で通信をしています。
セキュリティヘッダーとは、あなたのサーバーがブラウザに対して送る「うちのサイトは、こういう安全のルールで運営しているから、ルール通りに表示してね!」という指示書のようなものです。
この指示書がないと、ブラウザは「よし、とりあえず全部表示しよう!」と無防備に動いてしまい、悪いハッカーが仕掛けた罠(偽のボタンや悪意のあるプログラム)まで実行してしまう危険性があります。
Securityheadersで「A+」を取るということは、「完璧な安全の指示書をブラウザに渡せている」という素晴らしい状態を意味します。
【初心者向け】ウェブサイトの防御力は?「Security Headers」でセキュリティ状態を可視化しよう!
ウェブサイトを運営している皆さん、ウェブサイトの「セキュリティ対策」は万全ですか? SSL化(URLが https:// で始まる状態)をして安心している方も多いかもしれませんが、実はそれだけでは防ぎきれないサイバー攻撃 […]
「F」から「A+」へ!強化の2大アプローチ
セキュリティヘッダーを追加するには、大きく分けて2つの方法があります。
- WordPressのプラグインを使う方法
- Cloudflareなどの「CDN」サービスを使う方法
それぞれのメリットとデメリットを比較してみましょう。
WordPressプラグインを使う
WordPressを使っている場合、プラグインをインストールして設定する方法です。
- メリット
- 手軽さ:WordPressの管理画面内で完結するため、初心者には直感的で操作しやすいです。
- 導入の早さ:プラグインをインストールして数クリックで、ある程度のヘッダー(B〜A評価くらいまで)はすぐに追加できます。
- デメリット
- サイトが重くなる可能性:プラグインが増えると、WordPress自体の動作が少し遅くなることがあります。
- WordPressへの依存:万が一プラグインに不具合が起きたり、WordPress本体が攻撃を受けたりすると、防御機能ごとダウンしてしまう危険性があります。
- プラグインの管理:プラグインが増えてプラグイン同士で機能の干渉が発生したり、セキュリティパッチなど更新されないプラグインでは脆弱になる危険性があります。
【初心者必見】WordPressのセキュリティは「3つの壁」で守る!おすすめプラグインと基本対策
せっかく作った大切なブログやWebサイト。「自分は大丈夫」と思っていても、実はWordPressサイトは世界中で常にサイバー攻撃の標的になっています。 「不正アクセスでログインされたら?」「サイトが改ざんされて、変な広告 […]
Cloudflareなどの「CDN」サービスを使う
CDN(コンテンツ・デリバリー・ネットワーク)とは、あなたのウェブサイトの「身代わり」となって、訪問者にデータを届けてくれる世界規模のネットワークサービスです。有名なものにCloudflare(クラウドフレア)があります。
- メリット
- 最強の防御力:サーバーの手前に強力な壁を立てるイメージです。悪いアクセスは、あなたのサーバーに届く前にCDNが弾き返してくれます。
- サイトが速くなる:CDNがデータをキャッシュ(一時保存)してくれるため、サイトの表示速度が劇的に向上します。(デメリットにも注意)
- サーバーに負荷をかけない:WordPressの処理を通さずにヘッダーを追加できるので、サーバーに負担がかかりません。
- CMSサービスを選ばない:WordPress以外で独自ドメインでCMSサービス(Wix、Studio、Jimdo、Shopify、etc.)を利用していても強化できます。
- デメリット
- 初期設定のハードル:ネームサーバー(DNS)やCDNの設定変更など、WordPressの外での設定が必要になりやや難しく感じるかもしれません。
- 問い合わせフォームやカート機能:CDNのキャッシュ機能を利用すると問い合わせフォームやショッピングサイトのカート機能が意図しない動作となる場合があるので運用には注意してください。
断言します!CDN(Cloudflare)での対策が圧倒的におすすめな理由
初心者の方にはプラグインが簡単に見えるかもしれませんが、本気で「A+」を目指し、サイトを堅牢にしたいなら、圧倒的にCloudflareなどのCDNサービスをおすすめします。
その理由は以下の3つです。
防御の「場所」が違うから
プラグインは「家の中」で泥棒と戦うようなものです。一方、CDNは「家の敷地の外に高い塀と有能な警備員を配置する」ようなものです。サーバーに悪意のあるアクセスが到達する前にブロックできるため、根本的な安全性が桁違いです。
セキュリティとスピードの一石二鳥
セキュリティを強固にするとサイトが重くなりがちですが、CDNを使えば「セキュリティヘッダーの追加」と「表示速度の高速化」を同時に実現できます。Cloudflareなら、この恩恵を受けられます。
一元管理がラク!
「A+」を取るための細かいルール変更も、サーバーの難しい設定ファイルを直接触ることなく、CDNの管理画面から設定できます。
「A+」を取るために設定すべき5つの魔法の言葉(ヘッダー)
実際に設定していく上で、追加すべき主なヘッダーはこの5つです。
- Strict-Transport-Security (HSTS) 「絶対に安全な通信(HTTPS)でしかアクセスさせないよ!」
- X-Frame-Options 「うちのサイトを、勝手に別のサイトに埋め込んで表示しないで!」(クリックジャッキングという詐欺を防ぎます)
- X-Content-Type-Options 「ファイルの種類をごまかして読み込ませようとしても無駄だよ!」
- Referrer-Policy 「うちのサイトから別のサイトへ行くとき、どこから来たかあまり詳しく教えないよ!」
- Content-Security-Policy (CSP) ★ここが最大の難関!「うちのサイトで読み込んでいい画像やプログラムは、ここにあるものだけ!」
【注意!】
特に5番目のContent-Security-Policy (CSP)は非常に強力ですが、設定を間違えると「自分のサイトのデザインが崩れる」「Googleアナリティクスが動かなくなる」といったことが起こります。
プラグインやCDNで強化する場合、いずれも最初は制限のゆるい設定から始め、少しずつルールを厳しくしていくのが「A+」への賢い道のりです。
まとめ:セキュリティは「設定して終わり」じゃない!
Securityheadersで「A+」を獲得できた時の達成感は格別です! オールグリーンな「A+」の文字を見たとき、あなたのサイトの安全性は以前とは比べ物にならないほど高まっています。
しかし、セキュリティ対策に「絶対」はありません。プラグインやCDNを導入し、基本的なヘッダーを設定して「A」を目指してみましょう。そして、サイトの動作を確認しながら、焦らずゆっくりと「A+」の頂へ登っていってくださいね!
あなたのウェブサイト運営を応援しています!
安全なウェブサイトの作り方 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「安全なウェブサイトの作り方」に関する情報です。
特権ID管理で失敗しないために!導入時の9つのポイントNew!!
弊社のネットワーク環境をご紹介!〜10年以上前から取り組む「一元管理」の舞台裏〜
特権ID管理の「面倒」をゼロに。
PCの「勝手な操作」を制限して会社を守る
ウェブサイトのセキュリティ対策について、お気軽にお問い合わせください
03-3295-2588
営業時間 9:00-18:00(土・日・祝日除く)