🛡️ セキュアヘッダー＆ SSL設定ジェネレーター

対象Webサーバー

Nginx

Apache

HTTP セキュアヘッダー

Strict-Transport-Security (HSTS) HTTP接続を強制的にHTTPSへアップグレード。ダウングレード攻撃を防ぎます。

X-Frame-Options (SAMEORIGIN) 他サイトの iframe への埋め込みを禁止し、クリックジャッキング攻撃を防ぎます。

X-Content-Type-Options (nosniff) ブラウザによるMIMEタイプの推測（スニッフィング）を禁止します。

Referrer-Policy 外部サイトへのリンク時に、不要なURLパス情報（リファラ）を漏洩させません。

SSL / TLS プロトコル＆暗号スイート

サポートする互換性レベル (Mozilla準拠)

生成された Config 構文

nginx.conf (serverブロック内)

💡 メンターからの現場知識：脆弱性診断で「必ず」指摘されるポイント

企業システムのインフラ構築において、Webサーバーのデフォルト設定のまま本番公開すると、セキュリティベンダーの脆弱性診断（ペネトレーションテスト）で確実に「クリックジャッキングの恐れあり（X-Frame-Options欠如）」や「古い暗号化方式（TLS 1.1やCBCモード）が許可されている」とLow〜Mediumレベルの指摘を受けます。

これを診断後に慌てて修正すると、アプリケーション側の動作確認（iframeを使っていないか等）のやり直しが発生します。インフラエンジニアとしては、このツールで生成される「モダンで安全なヘッダーと暗号スイート」を初期構築の段階でテンプレートとして組み込んでおくのが、手戻りを防ぐプロの仕事術です。

← 道具箱一覧へ戻る

🛡️ セキュアヘッダー ＆ SSL設定ジェネレーター

💡 メンターからの現場知識：脆弱性診断で「必ず」指摘されるポイント

🛡️ セキュアヘッダー＆ SSL設定ジェネレーター