Defaults.Exposed

Defaults.Exposed › レポート

HTTPセキュリティヘッダー通信簿:2026年のWebの成績

公開日 2026-06-29

数値は 2026-06-29 時点 · 方法論 v7。 261 百万件の採点済みドメインにわたる集計センサスデータです。ヘッダーのチェックは、到達できたレスポンスについて観測しています。採点方法をご覧ください。

HTTP セキュリティヘッダーはウェブ上で最も安価な防御策の一つであり——数行の設定だけで、費用もかかりません——にもかかわらず、データはそれらがほぼ普遍的に省略されていることを示しています。 261 百万件のドメインのうち、すべての中核ヘッダーを正しく設定しているのはわずか 4.03% です。各ヘッダーは特定の現実的な攻撃——クリックジャッキング、コンテンツインジェクション、プロトコルのダウングレード、リファラーの漏えい——をブロックしますが、いずれも大多数のサイトで欠落しています。

成績表

高いほど良い——各ヘッダーを正しく設定しているドメインの割合です。2026-06-29 時点:

ヘッダー何を防ぐか設定しているドメイン
HSTS (Strict-Transport-Security)HTTPS から HTTP へのダウングレードHTTPS サイトの 22.91%
Content-Security-Policyクロスサイトスクリプティング / コンテンツインジェクション8.87%
X-Frame-Options / frame-ancestorsクリックジャッキング14.48%
X-Content-Type-Options (nosniff)MIME タイプ混同攻撃16.65%
Referrer-Policy訪問者の URL を第三者に漏らすこと10.10%
上記すべて(「デフォルトで安全」)フルセット4.03%

Content-Security-Policy——クロスサイトスクリプティングに対する最強の防御——が最大の失敗点です。効果的なものを提供しているドメインはわずか 8.87% にすぎません。そしてフルセットを正しく設定しているのはわずか 4.03% です。

無料なのに、なぜこれほど低いのか?

ほとんどのサーバーやプラットフォームはヘッダーをデフォルトでは導入しないため、誰かが意図的に追加したときにのみ現れます。欠落していても恐ろしい警告は出ません——期限切れの証明書とは異なり、欠落したヘッダーはサイト所有者にも訪問者にも、悪用されるその瞬間まで見えません。その見えなさこそが、最も重要なヘッダーの導入率が一桁台にとどまっている理由です。

どのヘッダーを優先すべきか?

ほとんどのサイトでは、次の順番で:

  1. HSTS——HTTPS に移行したら、それを固定しましょう。HSTS を修正
  2. クリックジャッキング対策——あなたのページがフレームに埋め込まれるのを防ぐ一行のヘッダーです。クリックジャッキングを修正
  3. X-Content-Type-Options: nosniffReferrer-Policy——追加は簡単です。MIME スニッフィング · Referrer-Policy
  4. Content-Security-Policy——最も強力で最も手間がかかります。慎重に取り組む価値があります。CSP を修正

よくある質問

HTTP セキュリティヘッダーとは何ですか? サーバーが各ページとともに送信し、保護を強制するようブラウザに指示する命令です——フレーム化のブロック、混在コンテンツの拒否、スクリプトの制限など。これらは無料の設定であり、ソフトウェアではありません。

なぜウェブのわずか 4.03% しかすべてを設定していないのですか? オプトインで目に見えないからです。欠落しても何も壊れず、警告も出ないため、ほとんどのサイトは追加しません——攻撃がそのすき間を突くまでは。

最も重要なヘッダーはどれですか? HSTS と Content-Security-Policy が最も大きな保護をもたらします。CSP はクロスサイトスクリプティングに対する最強の防御ですが、展開には最も注意を要します。

自分のサイトに欠けているヘッダーをどうやって確認しますか? 無料のプライベートなチェック(下記)を実行してください——各ヘッダーと、それを設定しているかどうかを一覧表示します。

セキュリティヘッダーを無料でチェック

ヘッダーの完全な成績表——そして何を追加すべきか——を、プライベートかつ所有者限定で確認できます。

ドメインをチェック → · CSP を修正 → · HSTS を修正 → · 採点方法 → · 集計データのみ。データは EU 内で保存・処理されます。