コンテンツセキュリティポリシー（CSP）：XSS対策の包括的ガイド

今日のデジタル環境において、ウェブセキュリティは最重要です。クロスサイトスクリプティング（XSS）攻撃は、世界中のウェブアプリケーションにとって依然として蔓延しており、危険な脅威です。コンテンツセキュリティポリシー（CSP）は、強力なHTTPレスポンスヘッダーであり、追加のセキュリティレイヤーを提供し、XSS脆弱性のリスクを軽減するのに役立ちます。このガイドでは、CSP、その実装、およびXSS攻撃からウェブアプリケーションを保護するためのベストプラクティスについて包括的に解説します。

クロスサイトスクリプティング（XSS）とは？

クロスサイトスクリプティング（XSS）は、悪意のあるスクリプトが無害で信頼されているウェブサイトに注入されるインジェクション攻撃の一種です。XSS攻撃は、攻撃者がウェブアプリケーションを使用して、一般的にブラウザサイドスクリプトの形式で、悪意のあるコードを別のエンドユーザーに送信する場合に発生します。これらの攻撃を成功させる脆弱性は非常に広く、ウェブアプリケーションがユーザーからの入力を、検証またはエンコードせずに生成する出力に使用する場所であればどこでも発生します。

XSS攻撃には主に3つのタイプがあります。

• 保存型（永続型）XSS：悪意のあるスクリプトは、ターゲットサーバー（例：データベース、メッセージフォーラム、ビジターログ、コメントフィールドなど）に永続的に保存されます。ユーザーが影響を受けるページを訪問すると、保存されたスクリプトが実行されます。
• 反射型（非永続型）XSS：悪意のあるスクリプトは、エラーメッセージ、検索結果、またはリクエストの一部としてサーバーに送信された入力の一部またはすべてを含むその他の応答など、ウェブサーバーから反射されます。ユーザーは、悪意のあるリンクをクリックするか、悪意のあるスクリプトを含むフォームを送信するように誘導される必要があります。
• DOMベースXSS：脆弱性はクライアントサイドコード自体に存在します。ブラウザのDOM環境が攻撃者のスクリプトを含めるように操作されるため、悪意のあるスクリプトが実行されます。

XSS攻撃は、以下のような深刻な結果をもたらす可能性があります。

• ユーザー資格情報（Cookie、セッショントークン）の盗難。
• ウェブサイトの改ざん。
• ユーザーを悪意のあるサイトへのリダイレクト。
• マルウェアのインストール。
• 機密データへの不正アクセスの獲得。

コンテンツセキュリティポリシー（CSP）とは？

コンテンツセキュリティポリシー（CSP）は、クロスサイトスクリプティング（XSS）やデータインジェクション攻撃など、特定の種類の攻撃を検出および軽減するのに役立つ追加のセキュリティレイヤーです。CSPは、HTTPレスポンスヘッダーを使用して実装され、特定のページに対してブラウザが読み込むことを許可されるリソース（例：スクリプト、スタイルシート、画像、フォント、フレーム）を制御できます。厳格なCSPを定義することで、ウェブアプリケーションの攻撃対象領域を大幅に削減し、攻撃者が悪意のあるコードを注入することをより困難にすることができます。

CSPは、ブラウザがリソースを読み込むことを許可されるソースのホワイトリストを定義することによって機能します。CSPで明示的に許可されていないソースから読み込まれたリソースは、ブラウザによってブロックされます。これにより、不正なスクリプトの実行が防止され、XSS攻撃のリスクが低減されます。

CSPの仕組み：ディレクティブとソース

CSPは一連のディレクティブを使用して構成され、各ディレクティブは特定の種類のリソースのポリシーを指定します。各ディレクティブは、名前とその後に許可されるソースのリストで構成されます。以下は、最も一般的に使用されるCSPディレクティブの一部です。

• `default-src`：他のリソース固有のディレクティブが存在しない場合に、リソースのフェッチに関するデフォルトポリシーを指定します。
• `script-src`：JavaScriptコードの許可されるソースを指定します。
• `style-src`：スタイルシート（CSS）の許可されるソースを指定します。
• `img-src`：画像の許可されるソースを指定します。
• `font-src`：フォントの許可されるソースを指定します。
• `connect-src`：ネットワークリクエスト（例：AJAX、WebSockets）の許可されるソースを指定します。
• `media-src`：ビデオおよびオーディオリソースの読み込みの許可されるソースを指定します。
• `object-src`：Flashなどのプラグインの許可されるソースを指定します。
• `frame-src`：フレーム（iframe）の埋め込みの許可されるソースを指定します。
• `base-uri`：ドキュメントの<base>要素で使用できるURLを制限します。
• `form-action`：フォームの送信先URLを制限します。
• `upgrade-insecure-requests`：安全でない（HTTP）リクエストを安全な（HTTPS）リクエストに自動的にアップグレードするようにブラウザに指示します。
• `block-all-mixed-content`：HTTPSでページが読み込まれたときに、HTTPを使用してリソースが読み込まれるのを防ぎます。
• `report-uri`：CSP違反のレポートをブラウザが送信すべきURLを指定します。`report-to`の代わりに推奨されなくなりました。
• `report-to`：CSP違反のレポートをブラウザが送信すべき名前付きエンドポイントを指定します。

一般的に使用されるソース値には以下のようなものがあります。

• `*`：任意のソースからのリソースを許可します（本番環境では推奨されません）。
• `'self'`：保護されたドキュメントと同じオリジン（スキーム、ホスト、ポート）からのリソースを許可します。
• `'none'`：任意のソースからのリソースの読み込みを禁止します。
• `data:`：`data:`スキーム（例：インライン画像）を介したリソースの読み込みを許可します。
• `'unsafe-inline'`：インラインJavaScriptおよびCSSの使用を許可します（強く推奨されません）。
• `'unsafe-eval'`：`eval()`および類似の関数の使用を許可します（強く推奨されません）。
• `'strict-dynamic'`：マークアップに存在するスクリプトに、nonceまたはハッシュを付随させることによって明示的に与えられた信頼が、そのルートスクリプトによって読み込まれたすべてのスクリプトに伝播されることを指定します。
• `'nonce-'`：一致するnonce属性を持つスクリプトまたはスタイルを許可します。
• `'sha256-'`, `'sha384-'`, `'sha512-'`：一致するSHAハッシュを持つスクリプトまたはスタイルを許可します。
• `https://example.com`：特定のドメインからのリソースを許可します。

CSPの実装

CSPは、主に2つの方法で実装できます。

1. HTTPヘッダー：推奨される方法は、ウェブサーバーを構成して`Content-Security-Policy` HTTPレスポンスヘッダーを送信することです。これにより、ウェブサイト上の各ページまたはリソースのCSPを定義できます。
2. <meta>タグ：CSPは、HTMLドキュメントの<head>セクションの<meta>タグを使用して定義することもできます。ただし、この方法は柔軟性が低く、HTTPヘッダーを使用する場合と比較して制限があります。例えば、`frame-ancestors`、`sandbox`、`report-uri`ディレクティブはHTMLメタタグでは使用できません。

HTTPヘッダーの使用

HTTPヘッダーを使用してCSPを実装するには、ウェブサーバーを構成して`Content-Security-Policy`ヘッダーをレスポンスに含める必要があります。具体的な構成手順は、使用しているウェブサーバーによって異なります。

一般的なウェブサーバーの例を以下に示します。

• Apache：`.htaccess`ファイルまたは仮想ホスト構成に次の行を追加します。

Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://example.com; style-src 'self' https://example.com; img-src 'self' data:;"

• Nginx：サーバーブロック構成に次の行を追加します。

add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://example.com; style-src 'self' https://example.com; img-src 'self' data:";

• Node.js（Express）：ミドルウェアを使用してヘッダーを設定します。

app.use(function(req, res, next) {
  res.setHeader("Content-Security-Policy", "default-src 'self'; script-src 'self' https://example.com; style-src 'self' https://example.com; img-src 'self' data:;");
  next();
});

<meta>タグの使用

メタタグを使用してCSPを実装するには、HTMLドキュメントの<head>セクションに次のタグを追加します。

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://example.com; style-src 'self' https://example.com; img-src 'self' data:;">

重要な考慮事項：

• `http-equiv`属性は "Content-Security-Policy" に設定する必要があります。
• `content`属性にはCSPディレクティブが含まれます。
• 前述のように、<meta>タグの使用には制限があることを忘れないでください。

CSPの例

以下に、説明付きのいくつかのCSPの例を示します。

1. 基本的なCSP：

Content-Security-Policy: default-src 'self';

このポリシーは、同じオリジンからのリソースのみを許可します。

2. 特定のドメインからのスクリプトの許可：

Content-Security-Policy: default-src 'self'; script-src 'self' https://example.com;

このポリシーは、同じオリジンおよび`https://example.com`からのスクリプトを許可します。

3. CDNからのスタイルの許可：

Content-Security-Policy: default-src 'self'; style-src 'self' https://cdn.example.com;

このポリシーは、同じオリジンおよび`https://cdn.example.com`からのスタイルを許可します。

4. 任意のソースからの画像の許可：

Content-Security-Policy: default-src 'self'; img-src *;

このポリシーは、同じオリジンおよび任意のソースからの画像を許可します（本番環境では推奨されません）。

5. CSP違反のレポート：

Content-Security-Policy: default-src 'self'; report-uri /csp-report-endpoint;

このポリシーは、同じオリジンからのリソースを許可し、違反レポートを`/csp-report-endpoint`に送信します。`report-uri`の代わりに`report-to`を使用することが推奨されます。

6. 互換性のために`report-to`と`report-uri`を一緒に使用：

Content-Security-Policy: default-src 'self'; report-uri /csp-report-endpoint; report-to csp-endpoint;
Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report-endpoint; report-to csp-endpoint;
Report-To: {"group":"csp-endpoint","max_age":10886400,"endpoints":[{"url":"/csp-report-endpoint"}]}

この例では、`report-uri`（古いブラウザ用）と`report-to`エンドポイントの両方を設定し、さらに`Report-To`ヘッダー自体を構成する方法を示しています。サーバーが`Report-To`ヘッダーを正しく処理し、`group`、`max_age`、`endpoints`を正しく設定していることを確認してください。

7. インラインスクリプトにNoncesを使用：

Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-rAnd0mN0nc3Str1nG';

このポリシーは、同じオリジンからのリソースおよび一致するnonce属性を持つインラインスクリプトを許可します。

<script nonce="rAnd0mN0nc3Str1nG">
  // ここにインラインスクリプトコード
</script>

CSPのレポートオンリーモード

CSPは2つのモードで実装できます。

• 強制モード：ブラウザはCSPに違反するリソースをブロックします。
• レポートオンリーモード：ブラウザは、リソースをブロックすることなく、指定されたエンドポイントにCSP違反をレポートします。

レポートオンリーモードは、CSPを強制する前にテストおよび改良するのに役立ちます。レポートオンリーモードを有効にするには、`Content-Security-Policy`ヘッダーの代わりに`Content-Security-Policy-Report-Only` HTTPヘッダーを使用します。

例：

Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report-endpoint;

この構成は、リソースをブロックせずに`/csp-report-endpoint`にレポートを送信します。

CSP実装のベストプラクティス

CSPを効果的に実装するためのベストプラクティスを以下に示します。

1. 厳格なポリシーから始める：まず、同じオリジンからのリソースのみを許可する制限的なポリシーから始め、必要に応じて徐々に緩和します。
2. インラインスクリプトおよびスタイルにはNoncesまたはハッシュを使用する：`'unsafe-inline'`の使用を避け、Noncesまたはハッシュを使用して特定のインラインスクリプトとスタイルを許可します。
3. `'unsafe-eval'`を避ける：可能であれば、`'unsafe-eval'`の使用はセキュリティリスクをもたらす可能性があるため避けてください。動的なコード実行には代替アプローチを検討してください。
4. HTTPSを使用する：中間者攻撃を防ぐために、すべてのリソースがHTTPS経由で読み込まれるようにします。`upgrade-insecure-requests`ディレクティブを使用して、安全でないリクエストを自動的にアップグレードします。
5. CSP違反を監視する：レポートエンドポイントを設定してCSP違反を監視し、潜在的なセキュリティ上の問題を特定します。
6. CSPを徹底的にテストする：さまざまなブラウザや環境でCSPをテストして、意図したとおりに機能していることを確認します。
7. 反復および改善：CSPの実装は反復的なプロセスです。アプリケーションの進化に合わせてCSPを継続的に監視および改善します。
8. `strict-dynamic`ディレクティブを検討する：信頼されたスクリプトによって読み込まれたスクリプトに信頼を伝播させることで、CSPの複雑さを軽減するために`strict-dynamic`を使用します。

CSPツール

CSPの生成、テスト、監視に役立ついくつかのツールがあります。

• CSPジェネレーター：ウェブサイトのリソースに基づいてCSPディレクティブを生成するオンラインツール。
• ブラウザ開発者ツール：ほとんどの最新ブラウザは、CSP違反の分析に役立つ開発者ツールを提供しています。
• CSP監視サービス：CSP違反レポートを収集および分析するサービス。

CSPとフレームワーク/ライブラリ

フレームワークやライブラリを使用する場合、互換性を確保し、セキュリティ問題を防止するためにCSPを正しく構成することが重要です。以下にいくつかの考慮事項を示します。

• JavaScriptフレームワーク（例：React、Angular、Vue.js）：これらのフレームワークは、インラインスタイルや動的なコード生成を頻繁に使用するため、特別なCSP構成（例：Nonces、ハッシュ、`'unsafe-eval'`）が必要になる場合があります。
• CSSフレームワーク（例：Bootstrap、Tailwind CSS）：これらのフレームワークは、インラインスタイルや外部スタイルシートを使用する可能性があり、これらはCSPで許可する必要があります。
• サードパーティライブラリ：使用しているサードパーティライブラリがCSPと互換性があり、セキュリティ上の脆弱性を導入しないことを確認してください。

CSPとCDN（コンテンツデリバリーネットワーク）

CDNは、JavaScriptファイル、CSSスタイルシート、画像などの静的アセットをホストするために一般的に使用されます。CDNからリソースをCSPに含めるには、CDNドメインを明示的にホワイトリストに登録する必要があります。

例：

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.jsdelivr.net; style-src 'self' https://cdnjs.cloudflare.com;

このポリシーは、jsDelivrからのスクリプトとCloudflareのcdnjsからのスタイルを許可します。

避けるべき一般的なCSPの誤り

避けるべき一般的なCSPの誤りを以下に示します。

• ソースとして`*`を使用する：任意のソースからのリソースを許可すると、CSPの利点が損なわれる可能性があります。
• 正当な理由なく`'unsafe-inline'`および`'unsafe-eval'`を使用する：これらのディレクティブはセキュリティリスクを導入する可能性があり、可能な限り避けるべきです。
• CSP違反を監視しない：CSP違反を監視しないと、セキュリティ上の問題を特定および対処できなくなります。
• CSPを徹底的にテストしない：不十分なテストは、予期しない動作やセキュリティ上の脆弱性につながる可能性があります。
• Noncesおよびハッシュの誤った構成：Noncesおよびハッシュの誤った構成は、正当なスクリプトおよびスタイルの読み込みを妨げる可能性があります。

高度なCSPの概念

基本的な概念を超えて、ウェブセキュリティをさらに強化できるいくつかの高度なCSPの概念があります。

• `frame-ancestors`ディレクティブ：フレーム（iframe）をページに埋め込むことができる許可される親を指定します。クリックジャッキング攻撃から保護します。
• `sandbox`ディレクティブ：要求されたリソースにサンドボックスを有効にし、その機能に制限を適用します（例：スクリプト実行、フォーム送信の防止）。
• `require-sri-for`ディレクティブ：外部ソースから読み込まれたスクリプトまたはスタイルにサブオリジンインテグリティ（SRI）を要求します。SRIは、ファイルが改ざんされていないことを保証します。
• Trusted Types API：DOMシンクに対する型安全性を強制することにより、DOMベースのXSSを防ぐのに役立ちます。

CSPの未来

CSPは、新しいセキュリティ上の課題に対処するために常に進化しています。将来の開発には、以下が含まれる可能性があります。

• ブラウザサポートの改善：CSP機能のブラウザサポートの継続的な改善。
• 新しいディレクティブと機能：新たなセキュリティ脅威に対処するための新しいディレクティブと機能の導入。
• セキュリティツールとの統合：CSP管理と監視を自動化するためのセキュリティツールおよびプラットフォームとのより深い統合。

結論

コンテンツセキュリティポリシー（CSP）は、XSS攻撃を軽減し、ウェブセキュリティを強化するための強力なツールです。厳格なCSPを定義することで、ウェブアプリケーションの攻撃対象領域を大幅に削減し、ユーザーを悪意のあるコードから保護できます。CSPを効果的に実装するには、慎重な計画、徹底的なテスト、および継続的な監視が必要です。このガイドに概説されているベストプラクティスに従うことで、CSPを活用してウェブアプリケーションのセキュリティ体制を改善し、グローバルなデジタルエコシステムでオンラインプレゼンスを保護することができます。

進化するセキュリティ脅威に適応し、ウェブアプリケーションが引き続き保護されるように、CSPを定期的にレビューおよび更新することを忘れないでください。