セキュリティヘッダの設定でXSS攻撃を防ぐ!

先日より何度か案内しているホームページのセキュリティー対策ですが、具体的な攻撃に対する防御策をもとに説明してみたいと思います。

UnsplashのMarkus Spiskeが撮影した写真

XSS攻撃を防ぐ

XSS攻撃とは

ホームページの脆弱性を突いて、HTML(ページを作っているコード)に悪意のある良からぬコードを埋め込む攻撃です。
悪意のあるコードが実行されると別のホームページへ移動させられてさらに悪意のあるコードが実行されて、個人情報の抜き取りやマルウェア感染などが起こってしまいます。

ホームページを見ているユーザからすると、いつも通りにページを見ているだけで何気なくリンクをクリックしただけなのに、いつの間にか攻撃を受けて、個人情報を抜き取られたり、マルウェアに感染したりしてしまいます。
ユーザ側で変なサイトに誘導されないように気をつけていたとしても、ホームページ側で対策が行われてなければ、上記のような被害が発生してしまう可能性があります。

なので、ホームページ側でのセキュリティ対策を予めしっかりと行なっておくことが重要です。

ヘッダセキュリティでセキュリティ対策を

こういった攻撃を受けないようにするためには、いくつかの方法があります。
悪意ある行動が実行されないように無害化する処理を行ったり、 入力時に制限を行ったり、WAFというWebアプリケーションのファイアーウォールを導入したりすることで対策可能です。

これらの対策の中でも、費用を抑えて導入時間もそれほどかからずに実施できるヘッダーセキュリティ対策がおすすめです。

Content Security PolicyやX-XSS-Protection(古いブラウザ向け)を適切に設定することで、ホームページのセキュリティを高めてXSS攻撃が実行されないようにすることができます。

見た目だけがキレイなホームページをただ作るだけの時代は終わりです。訪問者が安心して利用できる環境作りも必須になっています。
ホームページを新規に作成する際や、現在のホームページをリニューアルするときはセキュリティー対策も同時にご検討することを強くお勧めします。

当社では、ホームページ制作やホームページリニューアル時には、セキュリティヘッダを最適化するサービスも同時に実施しています。

セキュリティヘッダ設定サービス
https://www.ryu-raku.co.jp/webdesign/securityheaders.html

安全な環境を重視されたい方はいつでもご相談ください。

セキュリティヘッダの設定を確認できるツール「observatory」

先日のHTTPセキュリティヘッダの設定が簡単に確認できるツール!で「Analyse your HTTP response headers」を紹介しました。このツールで十分にヘッダーセキュリティ設定を確認できるのですが、プロ向け?にもう一個紹介します。

Webサイトのセキュリティ分析ツールObservatory

こちらも英語のサイトですが、 調べたいホームページのアドレスさえ解れば凄く簡単にヘッダーセキュリティの設定状況が分かる無料サイトです。

Mozillaが運営してます。
Mozillaとはアメリカの非営利団体です。ずいぶん昔にNetscapeというブラウザを開発し、今はFirefoxを開発して提供してくれています。便利で役に立つインターネットのあれやこれやを無料で提供してくれている組織です。

ページはこんな感じ

Mozilla Observatory
https://observatory.mozilla.org/

ヘッダセキュリティの調べ方

早速、使い方を説明します。

  1. Mozilla Observatoryにアクセス
  2. ページの真ん中にある入力窓に調べたいホームページのアドレスをコピペ
  3. 「Scan Me」をクリック
  4. あとは数秒待つだけ

診断結果

結果はこんな感じ↓

このブログは B+ でした。
まあまあってところ?

上の画像はセキュリティチェックの結果の上部分だけを切り取って貼り付けています。
実際は下に長ーく診断結果が表示されます。
単なるヘッダセキュリティの設定チェックだけじゃなく、CSP(コンテンツ セキュリティ ポリシー)の中身を分析してくれて、どこが良くないのかも診断してアドバイスしてくれる優れものです。
ヘッダセキュリティを設定するだけじゃなく、グッと深く踏み込んでしっかりと設定したいと思う方にあってると思うので、プロ向け?と紹介しました。

セキュリティを高めて安全な環境づくりを

先日に紹介したAnalyse your HTTP response headersは診断結果ページの色が結果の良し悪しを表現しててわかりやすい。
本日に紹介したobservatoryはヘッダセキュリティの内容を深く診断してくれるので、しっかりと対策したい方に役立つのかなと。
どちらも無料で使えるので、きちんとチェックして、ホームページのセキュリティ対策に役立ててください。

当社では、ホームページ制作サービスだけではなく、セキュリティヘッダを最適化するサービスも行なっています。

セキュリティヘッダ設定サービス
https://www.ryu-raku.co.jp/webdesign/securityheaders.html

制作会社が対応してくれない、相談する人がいないなどありましたら、いつでも気軽にご相談ください。

HTTPセキュリティヘッダの設定が簡単に確認できるツール!

今日は、先日に投稿した「セキュリティヘッダの設定サービスを開始しました」で使える無料ツールの紹介です。

webサイトのセキュリティを高めて、クロスサイトスクリプティング (XSS攻撃) 、データインジェクション、クリックジャッキングなどの攻撃を軽減させるセキュリティヘッダ設定。

あなたのwebサイトで正しく設定されてますか?
正しく設置されているかどうかを簡単に確認できるツールをご紹介します。

セキュリティヘッダを簡単チェックする無料ツール「Analyse your HTTP response headers」

このwebサイトの説明文を見ますと、「HTTPレスポンスヘッダの安全性を迅速かつ容易に評価できます。」と書かれてあります。
まったくその通りで、とても簡単にHTTPセキュリティヘッダの設定を確認することができます。英語が読めなくても大丈夫です。

https://securityheaders.com/

使い方

  1. ページにアクセス https://securityheaders.com/
  2. 「enter address here」と表示されているところに調べたいアドレスを入力
  3. 横にある「Scan」ボタンをクリック
  4. 完了

2〜3秒で結果が表示されます。

結果

英語のページなので、英語で結果が表示されます。
このブログのセキュリティヘッダの設定状況です。

このブログ記事を書く前に、しっかり設定しました💦
なので、A判定でした!

英語で書かれていますが、Aと大きく書かれているところに、設定できていない項目は赤く表示されます。
赤い項目が多いと正しく設定されていない箇所が多いということなので、判定も下がります。

セキュリティヘッダを確認してみよう

さあ、とても簡単に確認できるので、是非あなたのサイトも確認してみてください。
セキュリティの高い安全で安心できる環境になっているかを!

F判定で真っ赤になっていたら、すぐにセキュリティ強化の設定を早急に対処することをお勧めします。
もし、誰も対処してくれないようでしたら、当社にご相談ください。

セキュリティヘッダ設定サービス
https://www.ryu-raku.co.jp/webdesign/securityheaders.html

で、的確に設定させていただきます。

HTTPセキュリティヘッダの設定サービスを開始しました

大阪府で非常勤のデザイン相談員として従事している中で、私が中心に対応させてもらっているのが「ホームページ無料診断」です。
少し前に、診断項目を見直して、新たな項目を追加しました。
その中で、今とっても重要だなと私自身も痛感している項目が「HTTPセキュリティヘッダの設定」です。

HTTPセキュリティヘッダの設定とは

webサイトを訪問する方が利用しているブラウザのセキュリティ対策のための設定です。webサイトのページを閲覧するときにどのように表示するかなどをブラウザに通知して、脆弱性を利用されるのを軽減させます。

設定すべき項目はいくつかあります。

  • Strict-Transport-Security
  • Content-Security-Policy
  • X-Content-Type-Options
  • X-Frame-Options
  • Referrer-Policy
  • Permissions-Policy

英語でややこしいそうですが、ややこしいです(汗)

これらの設定を正しく行うと、webサイトのセキュリティを高めて、クロスサイトスクリプティング (XSS攻撃) 、データインジェクション、クリックジャッキングなどの攻撃を減らすことができます。

しかし、この設定が正しく行われているwebサイトって、すごく少ない…というより、ほとんど設定されているwebサイトがないという状況です。

いつ攻撃を受けてハッキングされるかわからない

HTTPセキュリティヘッダが何も設定されてない状態というのは、いつ悪意のある攻撃を受けてハッキングされるかわからない状況なんです。

webサーバ側でも攻撃に対する対処は常にしてくれていますが、webサイト側でも攻撃への対処をしておいて、さらにセキュリティを高めておく必要があります。
いつどんな攻撃を受けるかわかりませんからね。

なので、webサイトのセキュリティ設定が気になった方は、お取引されているホームページ制作会社さんに「セキュリティヘッダの設定状況」を確認してみてください。まだ何も対処していないようでしたら、すぐに最適化してもらうように依頼すべきです。

もし、取引中の制作会社が対応できなかったり、連絡が取れないなど、対処してくれる制作会社がないということでしたら、当社で提供する「セキュリティヘッダ設定サービス」をご活用ください。
HTMLのwebサイトでも、Wordpressを使っているwebサイトであっても対応可能です。

これからはセキュリティの最適化も必須

常時SSLで通信を暗号化するだけではwebサイトへの攻撃を未然に防ぐには物足りなさすぎます。これからのwebサイトは、常時SSL、セキュリティヘッダの設定を正しく行い、セキュリティを高めて、あなたのwebサイトを訪問する方が安心して利用できる安全な環境づくりを行なっている必要があります。

あなたのwebサイトは安全で安心して利用できますか?
わからない、不安だということは、いつでもご相談ください。

ご相談はこちらから
https://www.ryu-raku.co.jp/contact/

Photo credit: focal5 on Visualhunt.com

中小企業119の専門家として無料webコンサル継続

昨年8月より開始しました無料ウェブコンサルティングサービスですが、 ミラサポの専門家制度を利用してそのサービスを提供していました。

しかし、ミラサポ自体が今年の3月に終了しましたので、一時は無料ウェブコンサルサービスの案内をやめようかと思ったのですが、ミラサポの後継制度として、中小企業119という制度ができたので、その制度を活用してサービスを継続することにしました。

中小企業119制度を活用した無料webコンサルティング
https://www.ryu-raku.co.jp/webconsulting/free.html

このサービスは、中小企業119の専門家派遣制度で提供すりwebコンサルティングサービスです。そのため、利用するためには、中小企業119の支援機関にご相談いただく必要があります。支援機関の多くは、お近くの商工会議所・商工会ですので、まずは商工会議所・商工会にご相談ください。

商工会議所・商工会にご相談いただく際の注意点がひとつあります。
それは、専門家を指名することができなくなったという点です。以前の専門家派遣制度のミラサポは専門家を指名して派遣依頼することができましたが、中小企業119は専門家を派遣することが禁止となりました。なので、どんな専門家が派遣されるかはご相談される支援機関の担当者さん次第になります。

私が中小企業119で登録した内容は、上記ページに書かれている通りのwebコンサルティングサービスです。ホームページの診断からweb集客、ネットショップ立ち上げサポート、SNS運用アドバイス、Googleマイビジネス活用、Youtubeを使った動画PRなど、販促・集客に関する内容です。
私を直接指名することはできませんが、上記アドバイスをしてくれる専門家を支援機関の担当者さんに要望していただければ、マッチするかなと思っています💦
支援機関の担当者さんが探す私の専門家としてプロフィールには、上記ページと同じ詳しい内容を掲載していますので、ちゃんと検索してくれれば出てくると思ってます。

この無料webコンサルティングサービスで提供している内容は、上記ページに詳しく書いていますので、そちらを参照してください。

補助金を活用してネットショップをオープンしたけど、どうしていいかわからないとか、全然売れてないといったお困りごとがあれば、無料で専門家を活用できる制度で、私を呼んでください(笑)

また、関連サービスとして、

を開始しました。
こちらは有料のサービスです。
よかったら、あわせてご検討ください。

ご利用お待ちしています。

https://www.ryu-raku.co.jp/contact/

無料(0円) webコンサルティング サービス開始

2020年8月より、無料 webコンサルティング プランの提供を開始しました。
従来頂戴していたコンサルティング料金や交通費も、すべて無料、0円でご利用いただけるプランです。

無料webコンサルティング プラン
https://www.ryu-raku.co.jp/webconsulting/free.html

当社ブログでのサービス開始の紹介記事。

プラン内容

コンサルティング内容

あなたの会社・お店で取り組まれているネットやホームページのの課題・問題点、ご要望をお聞きし、ご訪問しての対面ミーティングで、改善策・取り組み方をご提案致します。これから取り組もうとされている方をサポートすることも可能です。

現在のホームページ・ネットショップにある課題やサイト診断でのエラー・問題点の抽出、効率的な運用方法のご提案、アクセス解析の見方、ネットショップ立ち上げサポート、ブログの効果的な書き方、SNSの運用、動画を利用した集客、web広告の立ち上げと運用ご提案、今のホームページをどうしていけば良いかわからない、補助金を活用してネットショップを立ち上げたけどどうしていけば良いかわからないなど、ネット・ホームページのあらゆるお悩みをサポートして、改善へと導いていきます。

料金

0円

交通費

0円

対応エリア

全国

対応業種

特に制限は設けておりません。
※一部事情にによりお断りする場合もございます。

業態

営業販売、ネットショップ、店舗などに対応。
特に制限は設けておりません。

0円でwebコンサル サービスを提供できる理由

無料 webコンサル プランは、ミラサポの無料専門家派遣を活用して、提供さえていただきます。当社コンサルタントがミラサポの専門家としてお伺いいたします。
※ミラサポにご登録いただいたり、派遣可能機関に一旦ご相談いただく必要があります。

新型コロナの影響をで事業が大きく影響を受け、ネットでの販売や営業効果を強化したい方、補助金でネットショップを構築してどんどん売っていこうと思っている方など、ネットへの取り組みをがんばる方を無料で応援いたします!
ご興味ある方は、サービスご利用前に一度お問合せください。

お問い合わせはこちらから
https://www.ryu-raku.co.jp/contact/

やっぱりメタディスクリプションがとても重要だと感じる

2H0QPGDVGZ

4月21日が過ぎ、ネットの中はモバイルフレンドリーの話題があちこちで見受けられる状況の中、そのモバイルフレンドリーとはあまり関係のない(ちょっとはあるかな..)メタディスクリプションが最近はとても重要だと感じています。
Googleへの最適化ばかりに目を奪われてしまい、それに振り回され、webサイトの根本的な目的である「誰に対して商売をしているのか」ということが見失われているように感じます。

誰に対して商売を…の
誰とは、

Googleでしょうか?
上司でしょうか?
制作を発注した会社でしょうか?

続きを読む やっぱりメタディスクリプションがとても重要だと感じる

本格的にやってきたスマホファーストへ対応するために

sp-fast

先日、Facebookで目にしたニュースで、ずいぶん前にGoogleが言っていたスマホファースト時代がやって来たと実感しました。

続きを読む 本格的にやってきたスマホファーストへ対応するために

ローカルSEOで進む二極化! その対策は?

スマホでローカル検索

昨年末から、GoogleのローカルSEOが取り沙汰されています。
私もしっかりと情報をキャッチしようと、あちこちのブログ記事を読みあさっています(笑)

続きを読む ローカルSEOで進む二極化! その対策は?

詳しくないWebがもたらすもの

詳しくないweb

最近、ネットを見ていると詳しくないwebが多い。

続きを読む 詳しくないWebがもたらすもの

Googleワンボックスが日本語対応! 会社や店舗の電話番号・営業時間が検索結果に表示される!

google-oneboximg

Googleワンボックスが日本語に対応したようです!
海外ではすでに導入されていましたが、日本語は未対応でした。

続きを読む Googleワンボックスが日本語対応! 会社や店舗の電話番号・営業時間が検索結果に表示される!

SSL化に対応しているサイトは検索順位があがる!!

life-of-pix-free-stock-photos-keys-keys-mixture

GoogleがSSLに対応しているサイトの検索順位をアップさせると発表しました!
すでにSSL化で検索順位をアップさせるアルゴリズムは数ヶ月前から導入されていたようです。

続きを読む SSL化に対応しているサイトは検索順位があがる!!

被リンクと著者のオーソリティ評価のこと

picjumbo.com_IMG_4953
1週間ぐらい前からSEOに関する話題で盛り上がってますね。
被リンクが評価されなくなって、誰が書いたかということが重視されるとようになり、SEO業者全滅と。

続きを読む 被リンクと著者のオーソリティ評価のこと

not providedの解決策の内容が明らかに

notprovided_sojution2

アクセス解析内を席巻する「not provided」。
これに対して、Googleが取り組んでいいて解決策が近々に提供されると言われていました。
そのときは、NOT PROVIDEDを解消するというGOOGLEの解決策はどれだけ期待できるのかが不明なままでしたが、その内容が明らかになったようです。

続きを読む not providedの解決策の内容が明らかに

ユニバーサルアナリティクスにアップデートしてみた(途中)

universalanalyticsimg

先日、Googleアナリティクスの画面に、ユニバーサルアナリティクスのアップデートができる旨が通知されていたので、このブログのアカウントでアップデートしてみました。

続きを読む ユニバーサルアナリティクスにアップデートしてみた(途中)

ウェブマスターツールのインデックスステータスがもう一つ変更されていた

webmaster_crawl
昨日の記事、ウェブマスターツールのインデックスステータスに表示された更新情報についてをアップしましたところ、twitterから、このようなつぶやきをもらいました。

続きを読む ウェブマスターツールのインデックスステータスがもう一つ変更されていた

ウェブマスターツールのインデックスステータスに表示された更新情報について

indexstatus_updateimg

4月上旬にウェブマスターツールのインデックスステータスのグラフ内に「更新情報」の文字が表示されました。

続きを読む ウェブマスターツールのインデックスステータスに表示された更新情報について

not providedを解消するというGoogleの解決策はどれだけ期待できるのか

notprovided_resolution

現在、アメリカで、SMX West 2014 というサーチマーケティング業界ではかなり有名なカンファレンスが開催されています。
そこに参加されてる日本のエキスパートの方が、ブログにその模様をアップされてきています。

続きを読む not providedを解消するというGoogleの解決策はどれだけ期待できるのか

検索エンジンのSSL化が進み、キーワード取得が困難になっていく

notprovided_gaimg

検索エンジンのSSL化が進んでいます。
検索ユーザーのプライバシーを守るために、SSL化が進められています。

続きを読む 検索エンジンのSSL化が進み、キーワード取得が困難になっていく

SEOにおける被リンクで思うこと

seo_backlinkimg

先週のWeb担 海外&国内SEO情報ウォッチで、旬な話題が掲載されていた。
それは…

続きを読む SEOにおける被リンクで思うこと