Hello there, ('ω')ノ

そもそもCSPとは？

正式名称：Content Security Policy（コンテンツセキュリティポリシー）

✅ 主な目的：

• 悪意あるスクリプト（XSSなど）を防ぐ
• 外部サービスとの通信を制限する

簡単に言うと「このページではどこまで許可するか」を細かく設定できるルールです。

---

その他のよく使われるセキュリティヘッダー一覧

• X-Frame-Options: クリックジャッキング対策
• X-Content-Type-Options: MIMEタイプ混乱対策
• Referrer-Policy: リファラー情報制御
• Strict-Transport-Security（HSTS）: HTTPS強制

---

実際のチェック手順① ブラウザ開発者ツールを使う

1. F12キー → Networkタブ
2. 対象ページを開く
3. 任意のリクエスト → Headers → Response Headers を確認

✅ 確認する項目：

• Content-Security-Policy
• X-Frame-Options
• X-Content-Type-Options
• Referrer-Policy
• Strict-Transport-Security

---

実際のチェック手順② 専用サービスを使う

次のようなオンラインサービスもあります：

• https://securityheaders.com/
• https://observatory.mozilla.org/

対象URLを入力するだけで、自動でヘッダー一覧＋スコア評価が出ます。

---

よくある社内システムでの見落としパターン

• 開発環境やテスト環境でCSP未設定
• 内部システムだからといってセキュリティヘッダーなし
• 外部サービス連携時に設定が緩すぎる

---

チェックリストまとめ

• [ ] Content-Security-Policy が適切に設定されているか？
• [ ] X-Frame-Options など基本的なセキュリティヘッダーがあるか？
• [ ] 不要に緩すぎる設定（* や allow-all）がないか？
• [ ] 本番環境・テスト環境両方で確認したか？

---

注意事項

• 本番環境の設定変更は必ず情報システム部門や開発担当と相談
• オンラインチェックサービスを使う場合も、公開範囲や影響範囲を事前確認

---

まとめ

• CSPやセキュリティヘッダーはWebシステムの「安全ルール表」
• F12＋オンラインチェックサービスで非エンジニアでも確認可能
• 定期的なチェック習慣をつけることでリスクを早期に発見

Best regards, (^^ゞ