質問

⚠️ この事例は公開されてから1年以上経過しています。 情報が古い可能性がありますので、ご注意ください。

🕓 事例公開日 : 2024-08-13

【背景】

社内で定められたセキュリティチェックリストに基づき、現在の環境のセキュリティ設定状況を確認する必要がある。

---

Q1. セキュリティ設定の対応状況について

以下のセキュリティ対策が実装されているか教えてください。 ・HSTSによる暗号化通信の強制
・CookieへのHttpOnly属性の付与

---

Q2. 現在のセキュリティヘッダとディレクティブの確認方法について

現時点で設定されているセキュリティヘッダとディレクティブの全容を把握したい。チェックリストでは特定の設定を求めているわけではなく、現状の設定内容を確認することが目的となっている。どのように確認すればよいか教えてください。

---

回答

A1. セキュリティ設定の対応状況について

お問い合わせいただいた各項目について、以下の通り対応済みです。 ・HSTSによる暗号化通信の強制：実装済み
・CookieへのHttpOnly属性の付与：実装済み

---

A2. 現在のセキュリティヘッダとディレクティブの確認方法について

現在設定されているセキュリティヘッダとディレクティブの内容は、ブラウザの開発者ツールを使用してレスポンスヘッダーを確認することで把握できます。

確認手順は以下の通りです。

1. ご利用環境にブラウザでアクセス
2. ブラウザの開発者ツールを起動（F12キーなど）
3. ネットワークタブを開く
4. ページをリロードしてレスポンスヘッダーを表示
5. 表示されたヘッダー情報からセキュリティヘッダとディレクティブの設定内容を確認

確認した内容をもとに、セキュリティ要件を満たしているかご判断ください。

なお、追加でレスポンスヘッダーを設定する必要がある場合は、intra-martの設定ファイルで対応可能です。詳細は以下のドキュメントをご参照ください。

https://document.intra-mart.jp/library/iap/public/configuration/im_configuration_reference/texts/im_servlets/response-header-config/index.html