メインコンテンツにスキップ
ホーム
HubSpot ナレッジベース
お客さまへの大切なお知らせ:膨大なサポート情報を少しでも早くお客さまにお届けするため、本コンテンツの日本語版は人間の翻訳者を介さない自動翻訳で提供されております。正確な最新情報については本コンテンツの英語版をご覧ください。

HubSpotでのSSLとドメインセキュリティー

更新日時 2023年 5月 31日

以下の 製品でご利用いただけます(別途記載されている場合を除きます)。

すべての製品とプラン

HubSpot は、ドメインをアカウントに接続する際に、Google Trust Services を通じて標準 SAN SSL 証明書を自動的にプロビジョニングします .これは通常は数分で終わりますが、最大で4時間かかる場合があります。

カスタムSSL追加オプションを購入した場合、カスタムSSL証明書をHubSpotにアップロードすることができます。TLSバージョンやセキュリティーヘッダーなど、接続されているドメインごとにセキュリティー設定を構成することもできます。

ご注意: SSLプロビジョニングプロセス中にエラーが発生した場合は、SSL証明書のエラーのトラブルシューティングについて詳細をご確認ください。

SSL

HubSpotを通じて提供される標準SAN SSLは無料で、自動で有効期限の30日前に更新されます。証明書を更新するには、次の両方の条件を満たす必要があります。

  • HubSpotのお客様である。
  • ドメインCNAMEが、初期プロセスで設定されたセキュアサーバーを参照している。
異なるプロバイダーや証明書の種類を使用したい場合は、カスタムSSLアドオンを購入することで、、アカウントにカスタムSSL証明書を追加することができます。証明書のセキュリティーが損なわれるため、既存のSSL証明書は使用しないでください。

注:Google Trust Servicesは、ドメインの証明書をプロビジョニングする認証機関です。ドメインに認証機関承認(CAA)レコードが含まれている場合は、「pki.goog」がリストされており、SSLをプロビジョニングまたは更新できることを確認します。

SSL 証明書を事前にプロビジョニングする

既存のサイトをHubSpotに移動している場合は、SSLのダウンタイムが発生しないようにSSL証明書を事前にプロビジョニングしておく必要があります。ドメインを HubSpotに接続する際に、SSL 証明書を事前にプロビジョニングすることができます。

SSL証明書を事前にプロビジョニングするには、次の手順を実行します。

  • サイトに既存のSSL証明書がある場合は、ドメイン接続プロセスの[DNSのセットアップ]ページにバナーが表示されます。ここをクリックプロビジョニングプロセスを開始します。

    pre-provision-ssl-certificate

  • ダイアログボックスの指示に従います。
    • GoDaddy、Namecheapなど、ご使用のDNSプロバイダーのアカウントにログインします。
    • DNSプロバイダーで、DNSレコードを管理する[DNS設定]画面に移動します。
    • ダイアログボックスで入力された[ホスト(名前)]と[値]の値を使用して、ダイアログボックスに基づいて新しいDNSレコードを作成します。

注:Network SolutionsNamecheap、またはGoDaddyを使用している場合は、ルートドメインをコピーする必要はありません。プロバイダーは、ルートドメインをDNSレコードの最後に自動的に追加します。

  • [認証]をクリックします。プロセスの変更には最大で4時間かかる場合があります。[確認]をクリックしたときにエラーが発生した場合は、数分待ってからもう一度[確認]をクリックしてチェックしてください。

証明書が事前にプロビジョニングされている場合は、ドメイン接続画面に確認バナーが表示されます。その後、ドメインの接続を続けることができます。

ssl-pre-provision-success-banner

ドメインセキュリティー設定

HubSpot に接続されている各サブドメインのセキュリティー設定をカスタマイズできます。セキュリティー設定には、ウェブサイトのプロトコル(HTTP と HTTPS)、TLS バージョン、およびウェブサイトのセキュリティーヘッダーが含まれます。

ドメインのセキュリティー設定を更新するには、次の手順を実行します。

  • HubSpotアカウントにて、メインのナビゲーションバーに表示される設定アイコンsettingsをクリックします。
  • 左のサイドバーメニューで[ウェブサイト]>[ドメインとURL]の順に移動します。
  • ドメインの横にある[編集]をクリックし、[ドメインセキュリティー設定を更新]を選択します。
update-domain-security-settings


HTTPSプロトコル

サイトのすべてのページをHTTPSで安全に読み込むよう求めることができます。この設定が有効になっている場合は、画像やスタイルシートなどのHTTP経由で読み込まれるコンテンツがサイト上で読み込まれなくなります。HTTPS サイト上の HTTP 経由で読み込まれるコンテンツは、混在コンテンツと呼ばれます。あなたのページの混合コンテンツエラーを解決する方法を紹介します。

HTTPSプロトコルを有効にするには、[HTTPSが必須]チェックボックスを選択します。


require-https


TLS バージョン

既定で、HubSpot サーバーは TLS 1.0 以降を使用した接続を受け入れます。

サポートされているTLSバージョンを変更するには、[TLSバージョン]ドロップダウンメニューをクリックして、サポートする最低のTLSバージョンを選択します。最低設定より低い TLS バージョンを使用しようとする接続は失敗します。

TLS-version

セキュリティーヘッダー

ドメインセキュリティーを設定し、ドメインごとにセキュリティーヘッダーを有効にすることができます。

HTTP Strict Transport Security(HSTS)

HTTP Strict Transport Security(HSTS)を有効にすることで、ウェブサイトに余分なセキュリティーのレイヤーを追加できます。HSTS は、すべての HTTP リクエストを HTTPS リクエストに変換するようにブラウザーに指示します。HSTSを有効にすると、サブドメイン上のURLに対して行われるリクエストのレスポンスにHSTSヘッダーが追加されます。

  • HSTSを有効にするには、[セキュリティーヘッダー]タブをクリックしてから、[HTTP Strict Transport Security(HTSS)]チェックボックスを有効にします。


security-HSTS-setting

  • ブラウザーがHTTPをHTTPSリクエストに変換することを記憶しておく時間を設定するには、[期間(max-age)]ドロップダウンメニューをクリックして期間を選択します。
  • ドメインの HSTS ヘッダーにプレロードディレクティブを含めるには、[プレロードを有効にする] チェックボックスを有効にします。HSTS をプレロードする方法について説明します。
  • 選択されたサブドメインに属しているすべてのサブドメインに HSTS ヘッダーを含めるには、[サブドメインを含める] チェックボックスを有効にします。例えば、「www.examplewebsite.com」のHSTSが有効になっており、[サブドメインを含める]チェックボックスがオンになっている場合は、「cool.www.examplewebsite.com」でもHSTSが有効になります。

HSTS ヘッダーの詳細を確認してください。

追加のドメインセキュリティー設定(CMS Hubのみ)

「CMS Hub Starter」、「Professional」、または「Enterprise」アカウントを所有している場合は、以下の追加のセキュリティー設定を有効にできます。

X-Frame-Options

ブラウザーが<frame>、<iframe>、<embed>、または<object>タグでページをレンダリングできるかどうかを示すには、X-Frame-Options応答ヘッダーを有効にします。

X-Frame-Optionsを有効にするには、[X-Frame-Options]チェックボックスを有効にしてから、ドロップダウンメニューから[ディレクティブ]を選択します。

  • ドメイン上のページが上記タグ内のページに読み込まれないようにするには、[deny]を選択します。
  • あなたのドメイン上のページが、あなたのドメイン全体で上記のタグで読み込まれるようにするには、sameoriginを選択します。

    x-frame-options-setting

X-Frame-Optionsヘッダーの詳細を確認してください。

X-XSS-Protection

クロスサイトスクリプティングが検出されたときにページが読み込まれないようにすることによって、古いウェブブラウザーのユーザーのセキュリティーレイヤーを追加するには、X-XSS-Protectionヘッダーを有効にします。

このヘッダーを有効にするには、[X-XSS-Protection]チェックボックスをオンにしてから、ドロップダウンメニューから[XSS設定]を選択します。

  • XSSフィルタリングを無効にするには、[0]を選択します。
  • クロスサイトスクリプティング攻撃が検出されたときにページの安全でない部分を削除するには、[1]を選択します。
  • 攻撃が検知された場合にページのレンダリングを行わないようにするには、1; mode=blockを選択します。

    x-xss-protection-header

X-XSS-Protectionヘッダーの詳細を確認してください。

X-Content-Type-Options

MIMEタイプスニフィングからページをオプトアウトするには、X-Content-Type-Optionsヘッダーを有効にします。この設定を有効にすると、ブラウザーはContent-TypeヘッダーでアドバタイズされたMIMEタイプに従うように指示されます。

x-content-type-options

X-Content-Type-Optionsヘッダーの詳細を確認してください。

Content-Security-Policy

ユーザーエージェントがページに読み込むことができるリソースを制御するには、Content-Security-Policyヘッダーを有効にします。このヘッダーはクロスサイトスクリプティング攻撃を防止するために役立ちます。

Content-Security-Policyヘッダーを有効にするには、[Content-Security-Policy]チェックボックスをオンにしてから、[ポリシー指示]を指定します。利用可能なディレクティブのリストについては、MozillaのContent-Security-Policyヘッダーガイドをご覧ください。

ランダムに生成されたヘッダー値と一致するノンス属性が含まれている場合にのみ<script>要素の実行を許可するには、[nonceを有効化]を選択します。

注意:HubSpotからのすべてのスクリプトとHubSpotでホスティングするすべてのスクリプトについて、リクエストごとにランダムな値を自動的に生成します。

HubSpotがホスティングするページで完全に機能するように、以下のドメインとディレクティブを含める必要があります:

ドメイン※1 ディレクティブ(s) ツール
*.hsadspixel.net スクリプトソース 広告
*.hs-analytics.net スクリプトソース  アナリティクス
*.hubapi.com コネクトソース APIコール(HubDB、フォーム送信)
js.hscta.net script-src、img-src、connect-src。 CTA(ボタン)
no-cache.hubspot.com イムグソースク CTA(ボタン)
*.hubspot.com script-src、img-src、connect-src、frame-src。 CTA(ポップアップ)、チャットフロー
*.hs-sites.com フレームサーク CTA(ポップアップ)
静的.hsappstatic.net スクリプトソース コンテンツ(スプロケットメニュー、動画埋め込み)
*.usemessages.com スクリプトソース コミュニケーション、チャットフロー
*.hs-banner.com script-src, connect-src Cookieバナー
*.hubspotusercontent##.net(##は00、10、20、30、40のいずれかになります。) script-src、img-src、style-src。 ファイル
*.hubspot.net script-src, img-src, frame-src ファイル
play.hubspotvideo.com フレームサーク ファイル(動画)
cdn2.hubspot.net img-src、style-src ファイル、スタイルシート
HubSpotに接続されているお客様のドメイン frame-src, style-src, script-src ファイル、スタイルシート
*.hscollectedforms.net script-src, connect-src フォーム(HubSpot以外のフォーム)
*.hsleadflows.net スクリプトソース フォーム(ポップアップフォーム)
*.hsforms.net script-src, img-src, frame-src フォーム、アンケート
*.hsforms.com script-src, img-src, frame-src, connect-src, child-src フォーム、アンケート
*.hs-scripts.com スクリプトソース HubSpotのトラッキングコード
*.hubspotfeedback.com スクリプトソース アンケート
feedback.hubapi.com スクリプトソース アンケート

Content-Security-Policy-Report-Only

ポリシーディレクティブを監視するには、Content-Security-Policy-Report-Onlyヘッダーを有効にします。ポリシーディレクティブは適用されませんが、影響は監視されるため、ポリシーを使用して実験する場合に便利です。

このヘッダーを有効にするには、[Content-Security-Policy-Report-Only]チェックボックスをオンにしてから、[ポリシー指示]を入力します。

ランダムに生成されたヘッダー値と一致するノンス属性が含まれている場合にのみ<script>要素の実行を許可するには、[nonceを有効化]を選択します。

content-security-policy-report-only-header

Content-Security-Policy-Report-Onlyヘッダーの詳細を確認してください。

Referrer-Policy

リファラー情報をリクエストに含める量を制御するには、Referrer-Policyヘッダーを有効にします。

このヘッダーを有効にするには、[Referrer-Policy]チェックボックスをオンにしてから、ドロップダウンメニューから[ディレクティブ]を選択します。

referrer-policy-header利用可能なディレクティブの定義については、MozillaのReferrer-Policyガイドをご覧ください。

Permissions-Policy

<iframe>要素コンテンツを含む、ページ上でのブラウザー機能の使用を制御するには、Permissions-Policyヘッダーを有効にします。

このヘッダーを有効にするには、[Permissions-Policy]チェックボックスをオンにしてから、[ディレクティブ]を入力します。ディレクティブのリストについては、MozillaのPermissions-Policyガイドをご覧ください。

permissions-policy-directives

 
この記事はお役に立ちましたか?
こちらのフォームではドキュメントに関するご意見をご提供ください。HubSpotがご提供しているヘルプはこちらでご確認ください。
New to HubSpot? Use these guides to get started.
/ja/domains-and-urls/ssl-and-domain-security-in-hubspot