対象プラン 
本記事は、自動診断機能の発見課題「Content Security Policy(CSP)がありません」について、SecureScorecard社が公開している解説記事の日本語訳です。
本課題解決にご活用ください。
「Content Security Policy(CSP)がありません」について│CSPの修正方法│解決申請の流れ
1.「Content Security Policy(CSP)がありません」について
アプリケーションセキュリティ項目のContent Security Policy(CSP)が存在しないことに関する問題が検出された場合、「重大度が高い問題」として表示されます。
これらの問題が検出される際は、リダイレクトチェーン内の「最終URL」に対して調査結果を検出しています。
CSPを導入することは、クロスサイトスクリプティング攻撃(XSS)を防止するための適切な手段であることが示されています。
問題が検出された場合、Secure SketCH自動診断機能上では発見課題の「詳細」欄のご確認ください。
2.CSPの修正方法
1. 検証したいドメインのURLを確認する
2. 任意のブラウザで”https://cspvalidator.org/”にアクセスする
(上記サイトはレスポンスヘッダーとメタタグを確認します)
3. 1のURLを貼り付け”Go”ボタンをクリックし、結果を確認する
4. Webサーバ設定でCSPヘッダーを有効にする
※CSPの設定方法についてはこちらのページをご参照ください。
3.解決申請の流れ
解決申請する際、解決方法を以下の3つより選択して申請をしてください。
解決申請の提出方法は、こちらをご参照ください。
- 発生している課題に対処済み(I have fixed this)
・上記手順に基づき、有効なCSPヘッダが設定されいる(設定した)場合は、この選択肢を選択し、解決リクエストを提出してください - 代替管理策で対処済み(I have a compensating control)
・Webアプリケーションファイアウォール(WAF)や侵入検知システム(IDS)を導入している場合は、製品のベンダー名とXSS攻撃を遮断するシグネチャリストを証跡として提出してください
- 誤検知であった(I cannot repuroduce this issue and I think it's incorrect)
・問題を解決するために対策を講じていないが、上記手順で検証した結果、問題が存在しないと感じた場合は、この選択肢を選択してください。
・CSPヘッダが存在する最終サイトにリダイレクトされる前の初期URLの問題を観察している場合、この選択肢を選択してください
Tips
検出された発見課題に紐づいたドメイン/IPアドレスが自社保有の資産ではない場合、登録されているデジタルフットプリントに自社が保有していない(自社管理外の)資産が登録されている可能性があります。
以下資料の[ Step.2 デジタルフットプリントの精査 ]ご確認いただき、デジタルフットプリントの精緻化を推奨いたします。