Defaults.Exposed › レポート
HTTPセキュリティヘッダー通信簿:2026年のWebの成績
公開日 2026-06-29
数値は 2026-06-29 時点 · 方法論 v7。 261 百万件の採点済みドメインにわたる集計センサスデータです。ヘッダーのチェックは、到達できたレスポンスについて観測しています。採点方法をご覧ください。
HTTP セキュリティヘッダーはウェブ上で最も安価な防御策の一つであり——数行の設定だけで、費用もかかりません——にもかかわらず、データはそれらがほぼ普遍的に省略されていることを示しています。 261 百万件のドメインのうち、すべての中核ヘッダーを正しく設定しているのはわずか 4.03% です。各ヘッダーは特定の現実的な攻撃——クリックジャッキング、コンテンツインジェクション、プロトコルのダウングレード、リファラーの漏えい——をブロックしますが、いずれも大多数のサイトで欠落しています。
成績表
高いほど良い——各ヘッダーを正しく設定しているドメインの割合です。2026-06-29 時点:
| ヘッダー | 何を防ぐか | 設定しているドメイン |
|---|---|---|
| HSTS (Strict-Transport-Security) | HTTPS から HTTP へのダウングレード | HTTPS サイトの 22.91% |
| Content-Security-Policy | クロスサイトスクリプティング / コンテンツインジェクション | 8.87% |
| X-Frame-Options / frame-ancestors | クリックジャッキング | 14.48% |
| X-Content-Type-Options (nosniff) | MIME タイプ混同攻撃 | 16.65% |
| Referrer-Policy | 訪問者の URL を第三者に漏らすこと | 10.10% |
| 上記すべて(「デフォルトで安全」) | フルセット | 4.03% |
Content-Security-Policy——クロスサイトスクリプティングに対する最強の防御——が最大の失敗点です。効果的なものを提供しているドメインはわずか 8.87% にすぎません。そしてフルセットを正しく設定しているのはわずか 4.03% です。
無料なのに、なぜこれほど低いのか?
ほとんどのサーバーやプラットフォームはヘッダーをデフォルトでは導入しないため、誰かが意図的に追加したときにのみ現れます。欠落していても恐ろしい警告は出ません——期限切れの証明書とは異なり、欠落したヘッダーはサイト所有者にも訪問者にも、悪用されるその瞬間まで見えません。その見えなさこそが、最も重要なヘッダーの導入率が一桁台にとどまっている理由です。
どのヘッダーを優先すべきか?
ほとんどのサイトでは、次の順番で:
- HSTS——HTTPS に移行したら、それを固定しましょう。HSTS を修正。
- クリックジャッキング対策——あなたのページがフレームに埋め込まれるのを防ぐ一行のヘッダーです。クリックジャッキングを修正。
- X-Content-Type-Options: nosniff と Referrer-Policy——追加は簡単です。MIME スニッフィング · Referrer-Policy。
- Content-Security-Policy——最も強力で最も手間がかかります。慎重に取り組む価値があります。CSP を修正。
よくある質問
HTTP セキュリティヘッダーとは何ですか? サーバーが各ページとともに送信し、保護を強制するようブラウザに指示する命令です——フレーム化のブロック、混在コンテンツの拒否、スクリプトの制限など。これらは無料の設定であり、ソフトウェアではありません。
なぜウェブのわずか 4.03% しかすべてを設定していないのですか? オプトインで目に見えないからです。欠落しても何も壊れず、警告も出ないため、ほとんどのサイトは追加しません——攻撃がそのすき間を突くまでは。
最も重要なヘッダーはどれですか? HSTS と Content-Security-Policy が最も大きな保護をもたらします。CSP はクロスサイトスクリプティングに対する最強の防御ですが、展開には最も注意を要します。
自分のサイトに欠けているヘッダーをどうやって確認しますか? 無料のプライベートなチェック(下記)を実行してください——各ヘッダーと、それを設定しているかどうかを一覧表示します。
セキュリティヘッダーを無料でチェック
ヘッダーの完全な成績表——そして何を追加すべきか——を、プライベートかつ所有者限定で確認できます。
ドメインをチェック → · CSP を修正 → · HSTS を修正 → · 採点方法 → · 集計データのみ。データは EU 内で保存・処理されます。