コンテンツまでスキップ
日本語
Secure SketCH トップへ移動
  • 検索フィールドが空なので、候補はありません。

安全でないサブリソース完全性の実装

対象プラン PREMIUMプラン GROUPSプラン 3rd PARTYプラン

 

本記事では、自動診断機能の発見課題「安全でないサブリソース完全性の実装/Unsafe Implementation of Subresource Integrity (SRI)」について、SecurityScorecard社が公開している解説記事を一部日本語訳したのものに加えて、当課題についてのSecure SketCHの見解も記載しています。

本課題の理解や解決にご活用ください。

「安全でないサブリソース完全性の実装」について | 重要度とスコア | 解決方法 | Secure SketCHの見解

 

1.「安全でないサブリソース完全性の実装」について

「サブリソース完全性(SRI)」は、外部から読み込まれるリソース(スクリプト、スタイルシート、フォントなど)が改ざんされていないことを保証するためのセキュリティ機能です。これは、開発者が期待されるコンテンツの暗号学的ハッシュ値を指定することで機能します。ブラウザがリソースを取得すると、そのハッシュを検証してから実行します。

ハッシュが欠落している、誤っている、または一致しない場合、ブラウザはリソースの完全性を検証できず、アプリケーションはサプライチェーン攻撃や悪意のあるスクリプトの挿入に対して脆弱になります。

SRIを使用しない場合:

  • 外部リソースが改ざんされても検知できません。
  • 攻撃者は、侵害されたCDNやサードパーティのスクリプトを通じて悪意のあるコードを注入する可能性があります。
  • これにより、クロスサイトスクリプティング(XSS)、データの流出、その他のセキュリティ侵害が発生する恐れがあります。

 

2.重要度とスコア

当課題は以前より自動診断で検出されていましたが、サプライチェーンリスクの複雑化と脅威の高まりにより、重要度が劇的に上がりました。
具体的には、SRI関連の被害事例やCVEが発行されたことなどがあります。
[事例]  Polyfillサプライチェーン攻撃https://www.itmedia.co.jp/enterprise/articles/2406/29/news057.html
[CVE-2025-57936] WordPress Subresource Integrity (SRI) Manager Plugin <= 0.4.0 - Broken Access Control Vulnerabilityhttps://www.cve.org/CVERecord?id=CVE-2025-57936

これらの状況を踏まえて、SecurityScorecard社は、2025年10月下旬頃、当課題の侵害リスクと脅威レベルを以下のように変更しました。
  • 侵害リスク:低 → 
  • 脅威レベル:参考 → 
これにより、同時期に自動診断のスコアが急激に下がっている場合がございます。

 

3.解決方法

SRIに関しては、以下のような手法で対策していくことが理想的です。

  • 外部リソースの特定
    サードパーティのドメインからアセットを読み込むすべての <script><link> タグを確認します。

  • 有効なハッシュの生成
    リソースのコンテンツに対して SHA-256 / SHA-384 / SHA-512 ハッシュを作成するために、専用ツールを使用します。

  • HTMLタグの更新
    integritycrossorigin 属性を追加します

方で、Google Tag ManagerやAdobe Tag Managerなど、CDNやスクリプトがバージョン管理をサポートしていないことでSRIを実装できないケースもございます。

SRIを実装できない場合には、信頼できるソースを制限する厳格なCSP(Contents Security Policy)を設定することが、代替策として有効です。代替策を実施した旨を解決申請で伝えて受理されれば、低下していたスコアがもとに戻る可能性がございます。

CSPを設定して解決申請を行う場合は、以下の手順で実施してください。

Tips

解決申請の詳しい手順については、別ページに記載がありますので、ご参照ください。

参考:発見事項の詳細を確認する/解決申請を提出する

 

①「解決方法で代替管理策で対処済み」を選択する

解決申請時、解決した方法として「解決方法で代替管理策で対処済み」を選択してください。安全でないサブリソース完全性の実装-001

 

② CSP設定で代替管理策を打った旨を申請する 

SRI設定できない理由と、CSPを適用した旨を英語で記載し、提出してください。
※以下は、申請時の例文です。安全でないサブリソース完全性の実装-002

 

 

4.Secure SketCHの見解

昨今のサプライチェーンリスクの高まり、サブリソース完全性(SRI)が求められるようになったインシデントの発生やCVEが公開されたことなど、当課題の侵害リスクや重要度が大幅に引き上げられた背景には一定の理解を示します。

その一方で、サイバーセキュリティの専門家が多数所属しているSecure SketCHチームとしては、当課題を「現時点(2025年12月)では最優先対策事項として扱うべき発見事項とは断言できない」と考えています。
リスク・脅威の観点だけでなく、対策実施の難易度、サイト表示における可用性への懸念などがあるためです。

なお、本検出事項によって、スコアが下がってしまっている場合は当課題を解決していただく必要がございますので、本質的な対策もしくは代替策(CDN側でSRIがサポートされていないことの説明)が必須となります。
SecurityScorecard社は、本課題に限らず、定期的に検出項目やスコア影響の改善・見直しを行っているため、Secure SketCHチームの現状見解をSecurityScorecard社にフィードバック・共有していきます。