Security Headers Fix Plan

セキュリティヘッダー/ポリシーをブラウザ内で診断します。入力はサーバーへ送信しません。段階導入前の一次確認に使えます。

状態

ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。

使い方

レスポンスヘッダーを貼り付けて「計画」。優先度付きの改善手順を表示します。

注意(このツール)

  • 計画は一般的な優先度に基づく提案です。業務要件や既存制約に合わせて調整してください。
  • 1回で全適用せず、項目ごとに反映して影響確認する方が安全です。

このページについて

何をするツール?

主要セキュリティヘッダーの不足を優先度順に並べ、実装の順番を示します。

切り分け手順(おすすめ)

  • Fix Plan で優先度を確認
  • Security Headers Recommendation で具体値を確認
  • CSP Inspect / HSTS Inspect で詳細を検証

推奨(実務)

  • CSP/HSTS を最優先に対応
  • 段階的に導入(report-only → enforce)
  • 他ヘッダーは影響範囲が小さい順に追加
  • Security Headers Audit
  • Security Headers Recommendation
  • CSP Inspect
  • HSTS Inspect

このツールでできること

  • 不足ヘッダーの優先順位付け
  • 実装順の提案

注意(運用)

  • 推奨値は環境依存です。機能要件と衝突しないか検証してから適用してください。
  • 本番では段階導入とレポート監視を併用してください。

参照仕様

  • MDN: Security headers

FAQ

修正はどの順番で進めるのが安全ですか?

影響が小さく効果が高い項目(例: Referrer-Policy, X-Content-Type-Options)から着手し、CSP/HSTSは検証付きで段階導入するのが実務的です。

導入後に不具合が出た場合は?

ロールバック条件を事前定義し、影響範囲を限定して再展開してください。監視ログと再現手順を残すと再発防止に有効です。

参考リンク

  1. MDN: Security headers

症状別ケーススタディ(このページ向け)

改善タスクを実行可能な順番に落とし込むためのページです。短期修正と中長期対応を分離します。

  • 即時対応(欠落ヘッダー補完)と設計対応(CSP再設計)を分ける
  • 依存関係のある施策を並び替える
  • 影響範囲が広い変更は段階配信に分割する

実装時チェックリスト(このページ向け)

  • 実施期限と担当を計画に紐付ける
  • 完了条件をヘッダー実測値で定義する
  • 差し戻し条件とロールバック手順を決める
  • 計画更新履歴を残して監査可能にする

site_map ルールに基づいて、次に確認すべきページを表示しています。

  1. Security Headers Audit — 主要セキュリティヘッダーの有無を一括監査
  2. Security Headers Recommendation — 不足ヘッダーに対する推奨値を提案
  3. CSP Builder — テンプレートからCSPを組み立て
  4. CSP Inspect — CSPディレクティブを分解して評価
  5. X-Content-Type-Options Inspect — X-Content-Type-Options を解析して nosniff を確認
  6. CSP Nonce/Hash Helper — CSP用 nonce/hash を生成して照合
  7. CSP Report Analyzer — CSPレポートJSONを解析して違反傾向を把握
  8. HSTS Inspect — HSTS設定を解析してHTTPS強制を確認

セキュリティヘッダー

不足ヘッダーの検出から修正計画まで一気に進める