Web セキュリティヘッダのチェッカー比較｜どのツールを使うべきか

この記事でわかること

• 主要 Web セキュリティヘッダチェッカー 3 つの違い
• 各ツールのスコア基準と追加チェック項目
• 「海外標準で grade A+ を取りたい」 vs 「日本語で全体把握したい」目的別の選択
• Web 担当者のおすすめワークフロー

主要チェッカー 3 つの違い

securityheaders.com（Scott Helme 氏運営）

• 強み: シンプルな A+〜F グレード、世界中のセキュリティエンジニアが目安にする業界標準
• 弱み: 英語のみ、解説リンクも英語、設定例は少ない
• チェック対象: HTTP セキュリティヘッダのみ（CSP / HSTS / X-Frame-Options / Referrer-Policy / Permissions-Policy / X-Content-Type-Options 等）

Mozilla Observatory

• 強み: Mozilla 運営の信頼性、ヘッダだけでなく SSL/TLS / Cookie / Subresource Integrity まで広範
• 弱み: 英語のみ、技術詳細が深くWeb 担当者・情シスには敷居が高い
• チェック対象: ヘッダ + SSL/TLS スコア（developer.mozilla.org/en-US/observatory）+ HTTP リダイレクト等

ドメイン番人 Web セキュリティヘッダ単発チェック

• 強み: 日本語 UI / 日本語の解説 / スポット設定支援への動線
• 弱み: 海外で受け入れられた grade ブランド表記なし（独自スコア）
• チェック対象: ヘッダ全 5 種 + HSTS preload 適格性 + SSL 期限 + CT log + HTTP/2-3

目的別の使い分け

「セキュリティ部門の評価で grade A+ を求められている」

→ securityheaders.com または Mozilla Observatory。海外標準のグレードがそのまま使える。海外取引先や監査向け。

「Web 担当者・情シス者として全体を把握したい」

→ ドメイン番人の Web セキュリティヘッダ単発チェック。日本語で「何が要対応か」「どう直すか」が把握できる。設定が分からない場合のスポット相談動線も用意。

「SSL 証明書周りも含めてまとめて見たい」

→ ドメイン番人の SSL 単発チェック（SSL 番人）。証明書期限・HSTS preload 適格性・CT log の発行履歴・HTTP/2-3 まで一括。

「メール認証や DNS まで含めて総合的に診断」

→ ドメイン番人の総合ドメイン診断（無料）。SPF / DKIM / DMARC / SSL / DNS / ブランド保護の 5 領域を一度にスコア化。

スコア基準の独立性

ドメイン番人のスコアは securityheaders.com の grade と直接対応させていません。理由は:

• securityheaders.com は CSP / HSTS の重み付けが日本のセキュリティ実務とズレることがある
• A+ 取得のために 'unsafe-inline' を含む CSP を「設定すれば OK」とする傾向は、実際の防御効果と乖離する
• 「設定有無」と「設定の質」を分けて評価すべき

そのため、独自の重み付け（CSP=15、HSTS=15、X-Frame-Options=10、X-Content-Type-Options=5、Referrer-Policy=5、Permissions-Policy=5）で 100 点満点に正規化しています。'unsafe-inline' を含む CSP は「設定済み」ではなく warn 扱いで減点する設計です。

Web 担当者のおすすめワークフロー

1. まず日本語で全体把握: ドメイン番人の Web セキュリティヘッダ単発チェック
2. 要対応項目を特定: 「要対応」「注意」のラベルが付いた項目から着手
3. 設定方法を学ぶ: 当ブログの個別解説記事（CSP / HSTS / X-Frame / Referrer / Permissions-Policy）
4. 設定後の検証: ドメイン番人で再チェック + 必要に応じて securityheaders.com で grade も確認
5. 困ったら相談: スポット 3 万円〜の設定支援

英語が苦にならない方は securityheaders.com / Mozilla Observatory も併用すると、海外標準と日本語解説の両方が得られて理解が深まります。

まとめ

• 海外標準の grade が必要 → securityheaders.com / Mozilla Observatory
• 日本語で全体把握 + 設定支援 が必要 → ドメイン番人の単発チェック
• SSL も含めて見たい → SSL 単発チェック
• メール認証や DNS まで → 無料の総合ドメイン診断
• スコア基準は独立性を保ち、'unsafe-inline' 等の質的問題を見落とさない設計

まずは現状を把握しましょう

ドメイン番人の Web セキュリティヘッダ 単発チェック で 30 秒の現状診断ができます。CSP / HSTS / X-Frame-Options / Referrer-Policy / Permissions-Policy をまとめてスコアリングします。

設定支援が必要な場合は Web セキュリティヘッダ診断＋設定支援（3 万円〜）でご相談ください。各ヘッダの個別解説は次の記事を参照:

• CSP（Content-Security-Policy）とは？Web 担当者のための入門
• HSTS の設定方法｜Cloudflare / Nginx / WordPress 別の手順
• クリックジャッキング対策｜X-Frame-Options と CSP frame-ancestors
• Referrer-Policy のおすすめ設定値
• Permissions-Policy とは？Web 担当者向けの入門と推奨設定

総合点検は 無料のドメイン診断、SSL 単独は SSL 単発チェック をご利用ください。