T
security cors csp xss csrf web-dev

Webセキュリティヘッダーと攻撃:CORS、CSP、XSS、CSRF

Webアプリケーションを一般的な脅威から保護。CSPやHSTSなどのセキュリティヘッダーを実装し、XSSやCSRF攻撃を防ぐ方法を学びます。

2026-04-11

Webセキュリティヘッダーと一般的な攻撃:包括的ガイド

現代のWebアプリケーションを保護するには、多層的なアプローチが必要です。トラフィックをフィルタリングするネットワーク層のファイアウォールから、ブラウザの動作を制御するアプリケーション層のセキュリティヘッダーまで、各層が重要な役割を果たします。このガイドでは、最も一般的なWeb攻撃を防ぐために必要な主要なツールとヘッダーについて詳しく解説します。

1. ネットワーク層の防御:ファイアウォールと侵入防止

防御の第一線は、多くの場合サーバーレベルにあります。ファイアウォールや侵入防止システムなどのツールは、着信トラフィックを監視し、悪意のある攻撃者がアプリケーションに到達する前にブロックします。

ファイアウォールツール:iptables、nftables、ufw

  • iptables: IPv4パケットフィルタリングとNATを管理するための伝統的なLinuxファイアウォールツールです。「チェーン」と「ルール」を使用して、着信パケットの処理を決定します。
  • nftables: iptablesの現代的な後継であり、より効率的で柔軟な構文を提供します。IPv4とIPv6の両方に統合されたフレームワークを提供します。
  • ufw (Uncomplicated Firewall): iptables/nftablesを管理するためのユーザーフレンドリーなインターフェースです。Ubuntuのデフォルトのファイアウォール設定ツールであり、シンプルで管理しやすいルールを求める開発者に最適です。

fail2ban

fail2banは、ブルートフォース攻撃からサーバーを保護する侵入防止ソフトウェアです。ログファイルをスキャンして繰り返されるログイン失敗を検出し、指定された期間、該当するIPアドレスを「禁止」するようにファイアウォールルールを更新します。

2. 不可欠なWebセキュリティヘッダー

セキュリティヘッダーは、ブラウザにサイトのコンテンツをどのように処理すべきかを伝えるHTTPレスポンスヘッダーです。これらは、多くの種類の攻撃を軽減するための強力で低コストな方法です。

CSP (Content Security Policy)

CSPは、最も重要なセキュリティヘッダーの一つです。信頼できるコンテンツ(スクリプト、スタイル、画像)のソースを指定できます。スクリプトの読み込み元を制限することで、CSPは**XSS (クロスサイトスクリプティング)**に対する主要な防御策となります。

HSTS (HTTP Strict Transport Security)

HSTSは、ウェブサイトへのアクセスをHTTPS経由のみに制限するようブラウザに指示します。これにより、「SSLストリッピング」攻撃を防ぎ、すべての通信が暗号化されることを保証します。

SRI (Subresource Integrity)

SRIは、ブラウザが取得したリソース(例:CDNからのリソース)が予期せぬ改ざんなしに配信されたかどうかを検証できるようにする機能です。暗号化ハッシュを使用してファイルの整合性を確認します。

CORS (Cross-Origin Resource Sharing)

厳密には「セキュリティを強化する」ためのヘッダーではありませんが、CORSは、あるドメインのWebページから別のドメインの制限されたリソースにアクセスすることを許可する仕組みです。CORSを適切に構成することは、不正なデータアクセスを防ぐために不可欠です。

3. 一般的な攻撃の理解と対策

XSS (クロスサイトスクリプティング)

XSSは、攻撃者が信頼できるWebサイトに悪意のあるスクリプトを注入したときに発生します。これは、Cookieやセッショントークン、機密情報の盗難に使用される可能性があります。

  • 対策: CSPの使用、ユーザー入力のサニタイズ、ブラウザでレンダリングする前のデータのエンコード。

CSRF (クロスサイトリクエストフォージェリ)

CSRFは、認証済みのユーザーに対して、現在ログインしているWebアプリケーション上で意図しない操作を強制的に実行させる攻撃です。

  • 対策: アンチCSRFトークンの使用、SameSite Cookie属性、およびOriginまたはRefererヘッダーの検証。

SSRF (サーバーサイドリクエストフォージェリ)

SSRF攻撃では、攻撃者がサーバー上の機能を悪用して、内部リソースを読み取ったり更新したりします。攻撃者は、サーバー側アプリケーションがリクエストを送信するURLを指定します。

  • 対策: ユーザーが提供したURLの検証、外部へのリクエストに対する許可リストの使用、アプリケーションサーバーからの内部ネットワークへのアクセス制限。

結論

Webセキュリティは、継続的な改善と監視のプロセスです。ufwfail2banなどの堅牢なネットワークレベルのツールと、CSPHSTSなどの強力なアプリケーションレベルのヘッダーを組み合わせることで、アプリケーションの攻撃面を大幅に減らすことができます。常に最新情報を入手し、ツールをアップデートし、ユーザーデータのセキュリティを最優先に考えてください。

ブログに戻る