セキュリティヘッダ設定サービス

ホームページセキュリティ向上のための取り組み

ホームページが改ざんされた、ハッキングされてお金を要求されたというニュースを最近、よく耳にするようになりました。
どこか遠くの話のように思っていたことが随分と近くで耳にするようになっています。
「中小企業のうちには関係ないよ」と思われるかもしれませんが、実はそうではないのです。
ホームページやネットショップへの攻撃は無差別に行われていて、ハッキングされて改ざんされなかったのは今までラッキーだっただけ。
一度、被害を受けてしまうと、ホームページが見られなくなるだけではなく、御社のイメージがダウンし信用度も下がり、取引停止などが起こってしまうかもしれません。

ホームページがカッコいい・キレイなだけではよかった時代はもう終わり。
安全な環境と使いやすい機能も同時に構築する必要です。

セキュリティは常時SSLだけでは不十分

よく知られているホームページのセキュリティ対策に常時SSLがあります。

「うちはSSLを利用しているから大丈夫！」と思うかもしれませんが、これはすっごく不十分な状態なのです。常時SSLは通信が暗号化されているというだけで、あまりセキュリティを向上させているわけではないんです。

では、どんな対策をすれば良いのか。
セキュリティの強化はたくさんの方法があって、どこまでも続いてしまうかもしれないのです。
なので、大きな予算をかけず比較的スムーズに導入できる「セキュリティヘッダ設定」をご提案します。

セキュリティヘッダ設定を行うと..

セキュリティレベルを向上させて、クライアント側の脆弱性をつかれることを未然に防ぎ、ハッキングの脅威を軽減させます。
クリックジャッキングとか、クロスサイトスクリプティングとか、XSS攻撃なんかを防いでくれます。他にも、不要な読み込み等を行わせないように未然に防御しておくことができます。

作業内容

ツールによる自動診断およびセキュリティ専門担当による手動診断で現在の状況を調査します。
その上で、ホームページ運用上で必要な機能を考慮して、最大限の最適化をはかります。

設定項目

• Strict-Transport-Security
• Content-Security-Policy
• X-Content-Type-Options
• X-Frame-Options
• Cross-Origin Resource Sharing
• X-XSS-Protection
• Referrer-Policy
• Permissions-Policy

期待できる効果

ホームページのセキュリティを高め、サイバー攻撃を軽減させて、安全で安心して利用できるホームページを構築します。

それぞれの設定項目における効果は以下の通り。

Strict-Transport-Security

次のアクセス時にHTTPではなくHTTPS使うようにブラウザ側を動作させ、中間攻撃を防ぎます。
httpで接続しようとするとhttpsにリダイレクトする。
常時SSLとあわせて対応すべき対策。

Content-Security-Policy

クロスサイトスクリプティング (XSS) 、データインジェクション、クリックジャッキングなどの攻撃を、ブラウザへの読み込みやブラウザでの実行を制限させることで防止します。
攻撃範囲を限定する効果も見込める。

X-XSS-Protection

ファイルの内容からファイルの種類をブラウザに誤認させて悪意あるコードを実行させるのを防ぐ。
XSS攻撃 クロスサイトスクリプティング（入力フォームに悪意のあるscriptを埋め込むこと）を防ぎます。
MIMEタイプスニフィングからの保護に役立ちます。

X-Frame-Options

iFrameを使って他のサイトで自分のサイトが勝手に読み込まれないようにします。
クリックハイジャッキング攻撃への対策。

Referrer-Policy

設定することで、ブラウザの挙動をコントロールして適切で安全なリファラー（参照元）を送信できるようになります。
プライバシーとセキュリティのリスクを回避。

Permissions-Policy

ブラウザのカメラや位置情報の取得といったブラウザの機能を制御します。

料金