2025年9月14日日本語

Webコンテンツセキュリティポリシー（CSP）の包括的なガイド。原則、実装、ディレクティブ、およびウェブアプリケーションでのクロスサイトスクリプティング（XSS）攻撃の防止とスクリプト実行の制御のためのベストプラクティスについて説明します。

Webコンテンツセキュリティポリシー：XSSからウェブサイトを強化し、スクリプト実行を制御する

今日の相互接続されたデジタル環境では、ウェブセキュリティが最も重要です。ウェブサイトやウェブアプリケーションは絶え間ない脅威に直面しており、クロスサイトスクリプティング（XSS）攻撃は依然として大きな懸念事項です。Webコンテンツセキュリティポリシー（CSP）は強力な防御メカニズムを提供し、開発者がブラウザがロードできるリソースを制御できるようにすることで、XSSのリスクを軽減し、ウェブセキュリティ全体を強化します。

Webコンテンツセキュリティポリシー（CSP）とは？

CSPは、ウェブサイト管理者が特定のページでユーザーエージェントがロードできるリソースを制御できるようにするセキュリティ標準です。本質的に、ブラウザが信頼できるソースのホワイトリストを提供し、信頼できないソースからのコンテンツをブロックします。これにより、XSSの脆弱性やその他の種類のコードインジェクション攻撃の攻撃対象領域が大幅に削減されます。

CSPをウェブページのファイアウォールと考えてください。ロードを許可するリソースの種類（スクリプト、スタイルシート、画像、フォント、フレームなど）とその場所を指定します。ブラウザが定義されたポリシーと一致しないリソースを検出すると、リソースのロードをブロックし、潜在的に悪意のあるコードの実行を防ぎます。

CSPが重要な理由

XSS攻撃の軽減： CSPは主にXSS攻撃を防ぐように設計されています。XSS攻撃は、攻撃者が悪意のあるスクリプトをウェブサイトに注入し、ユーザーデータを盗んだり、セッションをハイジャックしたり、サイトを改ざんしたりするのを可能にする場合に発生します。
脆弱性の影響の軽減： ウェブサイトにXSSの脆弱性がある場合でも、CSPは悪意のあるスクリプトの実行を防ぐことで、攻撃の影響を大幅に軽減できます。
ユーザープライバシーの強化： ブラウザがロードできるリソースを制御することで、CSPはトラッキングスクリプトやその他のプライバシー侵害コンテンツの注入を防ぎ、ユーザーのプライバシーを保護するのに役立ちます。
ウェブサイトのパフォーマンスの向上： CSPは、不要または悪意のあるリソースのロードを防ぎ、帯域幅の消費を削減し、ページロード時間を改善することにより、ウェブサイトのパフォーマンスも向上させることができます。
多層防御の提供： CSPは多層防御戦略の不可欠なコンポーネントであり、さまざまな脅威から保護するための追加のセキュリティ層を提供します。

CSPはどのように機能するか？

CSPは、ウェブサーバーからブラウザにHTTPレスポンスヘッダーを送信することによって実装されます。ヘッダーには、さまざまな種類のリソースに対して許可されるソースを指定するポリシーが含まれています。次に、ブラウザはこのポリシーを適用し、準拠しないリソースをブロックします。

CSPポリシーは、ディレクティブのセットを使用して定義されます。各ディレクティブは、特定の種類のリソースに対して許可されるソースを指定します。たとえば、script-srcディレクティブはJavaScriptコードに対して許可されるソースを指定し、style-srcディレクティブはCSSスタイルシートに対して許可されるソースを指定します。

以下は、CSPヘッダーの簡略化された例です。

            Content-Security-Policy: default-src 'self'; script-src 'self' https://example.com; style-src 'self' 'unsafe-inline';

このポリシーでは、同じオリジン（'self'）、同じオリジンおよびhttps://example.comからのスクリプト、同じオリジンおよびインラインスタイル（'unsafe-inline'）からのスタイルが許可されます。

CSPディレクティブ：詳細な概要

CSPディレクティブは、CSPポリシーの構成要素です。これらは、さまざまな種類のリソースに対して許可されるソースを指定します。以下は、最も一般的に使用されるディレクティブの内訳です。

default-src: 特定のディレクティブが定義されていない場合、すべてのリソースタイプに対してデフォルトのソースを指定します。これは、ベースラインセキュリティ体制を設定するための重要なディレクティブです。
script-src: JavaScriptコードのロード元を制御します。これは、XSS攻撃を防ぐための最も重要なディレクティブの1つです。
style-src: CSSスタイルシートのロード元を制御します。このディレクティブは、XSS攻撃を防ぐのに役立ち、CSSインジェクション攻撃のリスクを軽減できます。
img-src: 画像のロード元を制御します。
font-src: フォントのロード元を制御します。
media-src: メディアファイル（オーディオやビデオなど）のロード元を制御します。
object-src: プラグイン（Flashなど）のロード元を制御します。注：プラグインの使用は、セキュリティ上の懸念から一般的に推奨されません。
frame-src: フレームとiframeのロード元を制御します。このディレクティブは、クリックジャッキング攻撃を防ぎ、フレーム内のXSS攻撃の範囲を制限するのに役立ちます。
connect-src: スクリプトがXMLHttpRequest、WebSocket、EventSourceなどを使用して接続できるURLを制御します。このディレクティブは、ウェブアプリケーションからのアウトバウンドネットワーク接続を制御するために不可欠です。
base-uri: <base>要素で使用できるURLを制限します。
form-action: フォームの送信先URLを制限します。
upgrade-insecure-requests: 安全でないHTTPリクエストをHTTPSに自動的にアップグレードするようにブラウザに指示します。これにより、ブラウザとサーバー間のすべての通信が暗号化されることが保証されます。
block-all-mixed-content: 混合コンテンツ（HTTPSページ上のHTTPコンテンツ）をブラウザがロードするのを防ぎます。これにより、すべてのリソースがHTTPS経由でロードされることが保証され、セキュリティがさらに強化されます。
report-uri: CSP違反が発生したときにブラウザがレポートを送信するURLを指定します。これにより、CSPポリシーを監視し、潜在的な脆弱性を特定できます。注：このディレクティブは、report-toに推奨されなくなりました。
report-to: CSP違反レポートの送信先を定義するReport-Toヘッダーで定義されたグループ名を指定します。これは、CSP違反レポートを受信する推奨される方法です。

ソースリスト値

各ディレクティブは、許可されるソースを指定するためにソースリストを使用します。ソースリストには、次の値を含めることができます。

'self': 同じオリジン（スキームとホスト）からのリソースを許可します。
'none': どのソースからのリソースも許可しません。
'unsafe-inline': インラインJavaScriptとCSSの使用を許可します。注： XSS攻撃のリスクを高める可能性があるため、可能な限り避ける必要があります。
'unsafe-eval': eval()や同様の関数の使用を許可します。注： XSS攻撃のリスクを高める可能性があるため、これも可能な限り避ける必要があります。
'strict-dynamic': マークアップに存在するスクリプトに明示的に与えられた信頼（nonceまたはハッシュを添付することによって）が、その祖先によってロードされたすべてのスクリプトに伝播されることを指定します。
'nonce-{random-value}': 一致するnonce属性を持つスクリプトを許可します。{random-value}は、リクエストごとに生成される暗号的にランダムな文字列である必要があります。
'sha256-{hash-value}', 'sha384-{hash-value}', 'sha512-{hash-value}': 一致するハッシュを持つスクリプトを許可します。{hash-value}は、スクリプトのbase64エンコードされたSHA-256、SHA-384、またはSHA-512ハッシュである必要があります。
https://example.com: 特定のドメインからのリソースを許可します。
*.example.com: 特定のドメインのすべてのサブドメインからのリソースを許可します。

CSPの実装：ステップバイステップガイド

CSPの実装には、ポリシーを定義してからウェブサーバーにデプロイすることが含まれます。以下は、ステップバイステップガイドです。

ウェブサイトの分析： まず、ウェブサイトを分析して、スクリプト、スタイルシート、画像、フォント、フレームなど、ロードするすべてのリソースを特定します。CDNやソーシャルメディアウィジェットなどのサードパーティリソースに特に注意してください。
ポリシーの定義： 分析に基づいて、必要なリソースのみを許可するCSPポリシーを定義します。制限的なポリシーから始めて、必要に応じて徐々に緩めます。上記で説明したディレクティブを使用して、各リソースタイプに対して許可されるソースを指定します。
ポリシーのデプロイ： ウェブサーバーからContent-Security-Policy HTTPヘッダーを送信して、CSPポリシーをデプロイします。<meta>タグを使用してポリシーを定義することもできますが、安全性が低くなる可能性があるため、通常はお勧めしません。
ポリシーのテスト： CSPポリシーを徹底的にテストして、ウェブサイトの機能が損なわれないようにします。ブラウザの開発者ツールを使用して、CSP違反を特定し、それに応じてポリシーを調整します。
ポリシーの監視： CSPポリシーを定期的に監視して、潜在的な脆弱性を特定し、効果的であることを確認します。report-uriまたはreport-toディレクティブを使用して、CSP違反レポートを受信します。

デプロイメント方法

CSPは、主に2つの方法を使用してデプロイできます。

HTTPヘッダー： 推奨される方法は、Content-Security-Policy HTTPヘッダーを使用することです。これにより、ブラウザはページがレンダリングされる前にポリシーを適用できるため、セキュリティが向上します。
<meta>タグ： HTMLドキュメントの<head>セクションで<meta>タグを使用することもできます。ただし、この方法は通常、ページの解析までポリシーが適用されないため、安全性が低くなります。

以下は、HTTPヘッダーを使用してCSPをデプロイする例です。

            Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self';

以下は、<meta>タグを使用してCSPをデプロイする例です。

            <meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self';">

レポート専用モードのCSP

CSPは、ポリシーを実際に適用せずにテストできるレポート専用モードもサポートしています。レポート専用モードでは、ブラウザはCSP違反を報告しますが、リソースのロードはブロックしません。これは、本番環境にデプロイする前にポリシーをテストおよび改良するための貴重なツールです。

レポート専用モードを有効にするには、Content-Security-Policy-Report-Only HTTPヘッダーを使用します。

            Content-Security-Policy-Report-Only: default-src 'self'; script-src 'self' https://cdn.example.com; report-uri /csp-report;

この例では、ブラウザはCSP違反レポートを/csp-reportエンドポイントに送信しますが、リソースのロードはブロックしません。

CSPを実装するためのベストプラクティス

CSPを実装するためのベストプラクティスを以下に示します。

制限的なポリシーから開始する： 制限的なポリシーから始めて、必要に応じて徐々に緩めます。これにより、潜在的な脆弱性を特定し、ポリシーを可能な限り効果的にすることができます。
可能な限り'self'を使用する： 可能な限り同じオリジンからのリソースを許可します。これにより、攻撃対象領域が減少し、ポリシーの管理が容易になります。
'unsafe-inline'と'unsafe-eval'を避ける： 絶対に必要な場合を除き、'unsafe-inline'と'unsafe-eval'を使用しないでください。これらのディレクティブは、XSS攻撃のリスクを大幅に高めます。
インラインスクリプトとスタイルのnonceまたはハッシュを使用する： インラインスクリプトまたはスタイルを使用する必要がある場合は、nonceまたはハッシュを使用して、承認されたコードのみが実行されるようにします。
ポリシーを定期的に監視する： CSPポリシーを定期的に監視して、潜在的な脆弱性を特定し、効果的であることを確認します。
CSPレポートツールを使用する： CSPレポートツールを使用して、CSP違反レポートを収集および分析します。これは、潜在的な脆弱性を特定し、ポリシーを改良するのに役立ちます。
CSPジェネレーターの使用を検討する： 多数のオンラインツールが、ウェブサイトのリソースに基づいてCSPポリシーを生成するのに役立ちます。
ポリシーを文書化する： CSPポリシーを文書化して、理解と保守を容易にします。

一般的なCSPの誤りとその回避方法

CSPの実装は困難な場合があり、セキュリティ体制を弱める可能性のある誤りを犯しやすいです。以下に、一般的な誤りとその回避方法を示します。

寛容すぎるポリシーの使用： どのソースからのリソースも許可する寛容すぎるポリシーの使用は避けてください。これはCSPの目的を無効にし、XSS攻撃のリスクを高める可能性があります。
重要なディレクティブを含めるのを忘れる： ウェブサイトがロードするすべてのリソースをカバーするために、必要なすべてのディレクティブを含めるようにしてください。
ポリシーを徹底的にテストしない： ポリシーを徹底的にテストして、ウェブサイトの機能が損なわれないようにします。
ポリシーを定期的に監視しない： CSPポリシーを定期的に監視して、潜在的な脆弱性を特定し、効果的であることを確認します。
CSP違反レポートを無視する： CSP違反レポートに注意を払い、それらを使用してポリシーを改良します。
推奨されなくなったディレクティブの使用： report-uriのような推奨されなくなったディレクティブの使用は避けてください。代わりにreport-toを使用してください。

CSPとサードパーティリソース

CDN、ソーシャルメディアウィジェット、分析スクリプトなどのサードパーティリソースは、侵害された場合、重大なセキュリティリスクをもたらす可能性があります。CSPは、これらのリソースのロード元を制御することで、このリスクを軽減するのに役立ちます。

サードパーティリソースを使用する場合は、次のことを確認してください。

信頼できるソースからのリソースのみをロードする： 強力なセキュリティ実績を持つ信頼できるソースからのリソースのみをロードしてください。
特定のURLを使用する： ポリシーの範囲を制限するために、ワイルドカードドメインではなく、特定のURLを使用してください。
Subresource Integrity（SRI）の使用を検討する： SRIを使用すると、予期されるコンテンツのハッシュを指定することで、サードパーティリソースの整合性を検証できます。

高度なCSPテクニック

基本的なCSPポリシーが確立されたら、より高度なテクニックを検討して、セキュリティ体制をさらに強化できます。

インラインスクリプトとスタイルのnonceの使用： Nonceは、リクエストごとに生成される暗号的にランダムな値です。これらを使用して、セキュリティを損なうことなくインラインスクリプトとスタイルを許可できます。
インラインスクリプトとスタイルのハッシュの使用： ハッシュを使用して、すべてのインラインコードを許可することなく、特定のインラインスクリプトとスタイルを許可できます。
'strict-dynamic'の使用： 'strict-dynamic'を使用すると、ブラウザによって信頼されているスクリプトは、それらのスクリプトがCSPポリシーで明示的にホワイトリストに登録されていない場合でも、他のスクリプトをロードできます。
nonceおよびhash属性を持つCSPメタタグの使用： nonceおよびhash属性をCSPメタタグコンテンツに直接適用すると、セキュリティが強化され、ポリシーが厳密に適用されるようになります。

CSPツールとリソース

CSPの実装と管理に役立ついくつかのツールとリソースを以下に示します。

CSPジェネレーター： ウェブサイトのリソースに基づいてCSPポリシーを生成するのに役立つオンラインツール。例としては、CSP GeneratorやReport URIのCSP Generatorなどがあります。
CSPアナライザー： ウェブサイトを分析し、潜在的なCSP脆弱性を特定するツール。
CSPレポートツール： CSP違反レポートを収集および分析するツール。Report URIは、一般的な例です。
ブラウザ開発者ツール： ブラウザの開発者ツールを使用して、CSP違反を特定し、ポリシーをデバッグできます。
Mozilla Observatory： CSPを含むウェブサイトのセキュリティ構成を分析するウェブベースのツール。

CSPと最新のウェブフレームワーク

最新のウェブフレームワークは、CSPの組み込みサポートを提供することが多く、ポリシーの実装と管理が容易になります。以下は、いくつかの一般的なフレームワークでCSPを使用する方法の簡単な概要です。

React： Reactアプリケーションは、適切なHTTPヘッダーまたはメタタグを設定することでCSPを使用できます。styled-componentsや同様のCSS-in-JSソリューションを使用する場合は、インラインスタイルのnonceを生成するのに役立つライブラリの使用を検討してください。
Angular： Angularは、CSPメタタグを設定するために使用できるMetaサービスを提供します。ビルドプロセスで、適切なnonceまたはハッシュなしにインラインスタイルまたはスクリプトが導入されないようにしてください。
Vue.js： Vue.jsアプリケーションは、サーバーサイドレンダリングを利用してCSPヘッダーを設定できます。シングルページアプリケーションの場合、メタタグを使用できますが、慎重に管理する必要があります。
Node.js（Express）： Express.jsミドルウェアを使用して、CSPヘッダーを動的に設定できます。helmetなどのライブラリは、ポリシーの簡単な構成を支援するためにCSPミドルウェアを提供します。

CSPの実際の例

世界中の多くの組織が、ウェブサイトやウェブアプリケーションを保護するためにCSPを実装することに成功しています。以下にいくつかの例を示します。

Google： Googleは、GmailやGoogle検索など、さまざまなウェブプロパティを保護するためにCSPを広範囲に使用しています。彼らは、CSPポリシーと経験を公に共有しています。
Facebook： Facebookも、プラットフォームをXSS攻撃から保護するためにCSPを使用しています。彼らは、CSPの実装に関するブログ投稿とプレゼンテーションを公開しています。
Twitter： Twitterは、悪意のあるスクリプトやその他のセキュリティの脅威からユーザーを保護するためにCSPを実装しています。
政府機関： 世界中の多くの政府機関が、ウェブサイトやウェブアプリケーションを保護するためにCSPを使用しています。
金融機関： 金融機関は、機密性の高い顧客データを保護するために、全体的なセキュリティ戦略の一環としてCSPを使用することがよくあります。

CSPの将来

CSPは進化し続ける標準であり、新しい機能とディレクティブが絶えず追加されています。CSPの将来は、おそらく次のようになります。

ブラウザサポートの向上： CSPの普及が進むにつれて、ブラウザサポートは引き続き向上します。
より高度なディレクティブ： 新しいディレクティブが、新たなセキュリティの脅威に対処するために追加されます。
より優れたツール： CSPポリシーの実装と管理を支援するために、より洗練されたツールが開発されます。
他のセキュリティ標準との統合： CSPは、Subresource Integrity（SRI）やHTTP Strict Transport Security（HSTS）などの他のセキュリティ標準とますます統合されます。

結論

Webコンテンツセキュリティポリシー（CSP）は、ウェブアプリケーションでのクロスサイトスクリプティング（XSS）攻撃を防ぎ、スクリプト実行を制御するための強力なツールです。CSPポリシーを慎重に定義することにより、ウェブサイトの攻撃対象領域を大幅に削減し、ウェブセキュリティ全体を強化できます。CSPの実装は困難な場合がありますが、メリットは努力する価値があります。このガイドで概説されているベストプラクティスに従うことで、ウェブサイトとユーザーをさまざまなセキュリティの脅威から効果的に保護できます。

制限的なポリシーから始めて、徹底的にテストし、定期的に監視し、最新のCSPの開発状況を常に把握するようにしてください。これらの手順を実行することで、CSPポリシーが効果的であり続け、ウェブサイトに可能な限り最高の保護を提供できます。

結局のところ、CSPは万能薬ではありませんが、包括的なウェブセキュリティ戦略の不可欠なコンポーネントです。CSPを、入力検証、出力エンコード、定期的なセキュリティ監査などの他のセキュリティ対策と組み合わせることで、広範囲のウェブセキュリティの脅威に対する堅牢な防御を構築できます。