HSTS(HTTP Strict Transport Security)とは?設定方法と注意点
ページ更新日:2026/05/12
HSTS(HTTP Strict Transport Security)は、Webサーバーがブラウザに対して「このサイトには常にHTTPSで接続してください」と指示するセキュリティ機能です。
一度アクセスしたブラウザは、指定期間中は自動的にHTTPSでのみ接続するようになり、中間者攻撃(MITM)やSSLストリッピング攻撃を防止します。
HSTSの仕組み
HSTSは、サーバーがHTTPSレスポンスに以下のようなヘッダーを付与することで機能します:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
| パラメータ | 説明 |
max-age=31536000 |
ブラウザがHTTPS強制を記憶する期間(秒)。31536000秒=1年。 |
includeSubDomains |
サブドメインにも同じポリシーを適用する。 |
preload |
HSTSプリロードリストへの登録を許可。ブラウザ出荷時からHTTPSを強制。 |
HSTSが有効になるまでの流れ
HSTSは「一度 HTTPS でアクセスしたブラウザのみ」に効力が及びます。初回アクセスがHTTPの場合は対象外です(プリロードリストに登録すれば初回から有効)。
- ユーザーが
https://example.comに初めてアクセス - サーバーが
Strict-Transport-Securityヘッダーを返す - ブラウザが「このドメインは
max-age秒間 HTTPS 必須」と記録 - 以降は
http://example.comを入力してもブラウザ側で自動的にhttps://に変換してリクエスト(サーバーへの HTTP リクエスト自体が発生しない)
HSTSのメリット
- SSLストリッピング攻撃の防止:攻撃者がHTTPS→HTTP接続に切り替えさせる手法を無効化します。
- 最初のリダイレクトを省略:一度訪問したブラウザはHTTPリクエスト自体をHTTPSに変換するため、サーバーへのHTTPアクセスが発生しません。
- SEO効果:一貫したHTTPS運用はGoogle等の検索エンジンの評価に好影響を与えます。
- プリロードリストへの登録:初回アクセスからHTTPS強制が可能になります。
各Webサーバーでの設定方法
Nginx
server {
listen 443 ssl;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
...
}
Apache
# mod_headers モジュールが必要 Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
IIS(web.config)
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains" />
</customHeaders>
</httpProtocol>
</system.webServer>
HSTSプリロードリストとは
Chrome・Firefox・Safari・Edgeなどの主要ブラウザは HSTSプリロードリスト(hstspreload.org)を持っており、リストに登録されたドメインには初回アクセスからHTTPSが強制されます。
登録するには以下の要件を満たす必要があります:
- 有効なSSL証明書が設定されていること
- HTTPからHTTPSへの301リダイレクトが設定されていること
- HSTSヘッダーに
max-age=31536000(1年以上)、includeSubDomains、preloadが含まれること - 全サブドメインもHTTPSで運用されていること
登録は hstspreload.org から申請できます。
段階的な導入手順(推奨)
HSTS は一度有効にすると簡単に解除できません。以下のステップで段階的に導入することを強く推奨します。
- HTTPS 環境を整備する:SSL証明書が正しくインストールされ、HTTP→HTTPS の301リダイレクトが動作していることを確認。
- 短い max-age でテスト:
max-age=300(5分)で設定し、ブラウザ・モバイル・SEOツールで問題がないか確認する。 - max-age を延長:問題なければ
max-age=2592000(30日)→max-age=31536000(1年)と段階的に延ばす。 - includeSubDomains を追加(任意):すべてのサブドメインが HTTPS に対応済みであることを確認してから追加。
- preload を追加してプリロード申請(任意):hstspreload.org で申請。一度登録すると削除に数ヶ月かかるため慎重に判断。
HSTSの確認方法
curl でヘッダーを確認
curl -I https://www.example.com
レスポンスに Strict-Transport-Security: max-age=31536000; ... が含まれていれば正しく設定されています。
Chrome でブラウザキャッシュを確認・削除
Chrome のアドレスバーに chrome://net-internals/#hsts と入力すると、HSTS キャッシュの確認・削除ができます。
開発・テスト環境でHSTSをクリアしたい場合は「Delete domain security policies」欄にドメインを入力して削除してください。
【ツール】SSL証明書インストールチェッカー(有効期限・HSTS・OCSP・HTTP/2・セキュリティスコア A+〜F を一括確認)
HSTSの注意点
- HTTPSが正しく動作してから設定すること:SSL証明書の期限切れや設定ミスがある状態でHSTSを有効にすると、ブラウザがHTTPSでしかアクセスしないためサイトにアクセスできなくなります。
→ 証明書が期限切れ・未取得の場合は先に SSL証明書を取得・更新 してください。 - includeSubDomainsの適用範囲:すべてのサブドメインがHTTPSに対応していない場合は
includeSubDomainsを省いてください。 - max-ageは段階的に増やす:最初は短い値(例:
max-age=300)でテストし、問題がなければ長期間に変更することを推奨します。 - 解除はすぐにはできない:HSTSを解除するには、まず HTTPS レスポンスで
Strict-Transport-Security: max-age=0を返す(ブラウザに「このドメインの HSTS を忘れてください」と指示)、その後ヘッダーを削除します。ただしすべてのユーザーへの反映は即座ではなく、旧設定のmax-ageが切れるまで強制が続くブラウザもあります。 - プリロードリストの削除は非常に困難:一度プリロードリストに登録されると、削除申請(hstspreload.org/removal/)から実際にブラウザへ反映されるまで数ヶ月〜1年以上かかります。安易にプリロード登録しないことを推奨します。
📌 関連ページ:
NginxのHSTSとTLS設定強化(SSL Labs A+ 達成設定例)
ApacheでHSTS(常時SSL)設定
TLSバージョンと暗号スイートの設定ガイド
NginxへのSSL証明書インストール手順
ApacheへのSSL証明書インストール手順
常時SSL(Always On SSL)について