メインコンテンツにスキップ
HubSpot ナレッジベース
お客さまへの大切なお知らせ:膨大なサポート情報を少しでも早くお客さまにお届けするため、本コンテンツの日本語版は人間の翻訳者を介さない自動翻訳で提供されております。正確な最新情報については本コンテンツの英語版をご覧ください。

HubSpotでのSSLとドメインセキュリティー

更新日時 2026年5月20日

以下の 製品でご利用いただけます(別途記載されている場合を除きます)。

HubSpotは、ドメインをアカウントに接続する際、 Google Trust Servicesを通じて標準SAN SSL証明書を自動的にプロビジョニングします。標準のSSLプロビジョニングは通常数分で終わりますが、最大で4時間かかる場合があります。

始める前に

HubSpotでSSLとドメインセキュリティーの操作を開始する前に、要件と考慮事項を確認してください。

アクセス権限が必要 セキュリティー設定設定 ドメインには、 スーパー管理者 または ドメイン設定権限 が必要です。

制限事項と考慮事項を理解する

SSLを理解する

HubSpotを通じて提供される標準のSAN SSLが含まれており、有効期限の30日前に 自動的に 更新されます。証明書を更新するには、ドメイン CNAMEが初期プロセスで設定したセキュア・サーバーを参照する必要があります。

別のプロバイダーを使用したり別の証明書タイプを使用したりする場合は、 カスタムSSL追加オプションを購入することにより、 カスタムSSL証明書をアカウントに追加する ことができます。既存のSSL証明書を使用すると証明書のセキュリティーが損なわれるので、使用できません。
 
注:
  • 注:Google Trust Servicesは、ドメインの証明書をプロビジョニングする認証機関です。ドメインにCertification Authority Authorization(CAA)レコードが含まれている場合は、SSLをプロビジョニングまたは更新できるように、 pki.goog がリストされていることを確認してください。
  • Let's Encrypt SSL証明書を使用している場合は、CAAレコードを削除してから、Google Trust ServicesをサポートするCAAレコードを追加することをお勧めします。これにより、古いAndroidデバイスで貴社のウェブサイトが正常に機能するようになります。 

SSL証明書を事前にプロビジョニングする

既存のサイトをHubSpotに移動している場合は、SSLのダウンタイムが発生しないようにSSL証明書を事前にプロビジョニングしておく必要があります。ドメインをHubSpotに接続中に、SSL証明書を事前にプロビジョニングできます。

  1. サイトに既存のSSL証明書がある場合は、ドメインの 接続プロセス中に バナーが表示されます。[事前プロビジョニング]をクリックし、ダイアログボックスの手順に従ってプロビジョニングプロセスを開始します。

  1. 別のブラウザーウィンドウまたはタブで、ドメインプロバイダーのサイト(GoDaddyやNamecheapなど)にサインインします。
  2. ドメインプロバイダーのサイトで、DNSレコードを管理するためのDNS設定に移動します。
  3. HubSpotの[SSL証明書を事前プロビジョニング]ダイアログボックスに従って、新しいDNSレコードを作成します。[ホスト]と[必須のデータ]の値をコピーします。
  4. 完了したら、[SSL証明書を事前プロビジョニング]ダイアログボックスの[確認]をクリックします。プロセスの変更には最大で4時間かかる場合があります。[確認]をクリックしたときにエラーが発生した場合は、数分待ってからもう一度[確認]をクリックしてチェックしてください。

注:Network SolutionsNamecheap、またはGoDaddyをご使用の場合は、ルートドメインをコピーする必要はありません。プロバイダーは、ルートドメインをDNSレコードの最後に自動的に追加します。

  1. 証明書が正常に事前プロビジョニングされると、ドメイン接続画面に確認バナーが表示されます。その場合は、ドメインの接続を続行します。

ドメインコントロール検証(DCV)レコードの設定

「ウェブサイトの中断を回避するには、リバース プロキシー ドメインへの対応を行う必要があります」というエラーがドメイン設定に表示される場合は、SSL証明書が最新状態に保たれるようにドメインコントロール検証(DCV)レコードを追加することをお勧めします。

  1. HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
  2. 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
  3. [対応が必要]ラベルが付いている各ドメインについて、[アクション]ドロップダウンメニューをクリックして、[DNSレコードを表示]を選択します。
  4. 別のブラウザーウィンドウまたはタブで、ドメインプロバイダーのサイトにサインインし、DNSレコードにアクセスします。詳しくは、一般的なプロバイダーのDNS設定をご覧ください。
  5. ドメインプロバイダーのサイトで、DNSレコードを管理する DNS設定に移動します。
  6. HubSpotのダイアログボックスに従って、新しいDNSレコードを作成します。DCVレコードの値をコピーし、DNS設定内のドメインプロバイダーのサイトにある新しいレコードにそれらを貼り付けます。
  7. 新しいDCVレコードをDNSアカウントに追加すると、DNS変更による更新が完了するまでに最大24時間かかる場合があります。

ドメインセキュリティー設定を更新

HubSpotに接続されている各サブドメインのセキュリティー設定を更新してください。セキュリティー設定には、ウェブサイトのプロトコル(HTTP と HTTPS)、TLS バージョン、およびウェブサイトのセキュリティーヘッダーが含まれます。

  1. HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
  2. 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
  3. [アクション]ドロップダウンメニューをクリックし、[ ドメインセキュリティー設定を更新]を選択します。

HTTPS プロトコル

サイトの全てのページをHTTPSで安全に読み込むことを必須にします。この設定が有効になっている場合は、HTTP経由で読み込まれるコンテンツ(画像やスタイルシートなど)がサイト上で読み込まれなくなります。HTTPS サイト上の HTTP 経由で読み込まれるコンテンツは、混在コンテンツと呼ばれます。ページ上の 混在コンテンツエラーを解決する 方法をご確認ください。

  1. HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
  2. 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
  3. [アクション]ドロップダウンメニューをクリックし、[ ドメインセキュリティー設定を更新]を選択します。
  4. 右側のパネルで[HTTPSが必須]チェックボックスをオンにすると、ドメイン上の全てのページをHTTPではなくHTTPSで安全に読み込むことが必須になります。
  5. 完了したら、[保存]をクリックします。

TLS バージョン

デフォルトで、HubSpotサーバーはTLS 1.2以降を使用した接続を受け入れます。最低設定より低い TLS バージョンを使用しようとする接続は失敗します。

注: セキュリティースキャンによっては、HubSpotでホスティングされるコンテンツの配信に使用されるCloudflare IPアドレスに、古いTLSバージョン(TLS 1.0など)が表示される場合があります。これはサイトのセキュリティーには影響しません。サイトの提供には、ドメインに設定されたTLSバージョン( TLS 1.2など)が使用されます。

  1. HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
  2. 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
  3. [アクション]ドロップダウンメニューをクリックし、[ ドメインセキュリティー設定を更新]を選択します。
  4. 右側のパネルで[TLSバージョン]ドロップダウンメニューをクリックし、オプションを1つ選択します。
  5. 完了したら、[保存]をクリックします。

セキュリティーヘッダー

ドメインのセキュリティーを設定し、ドメインごとにセキュリティーヘッダーを有効にします。

HTTP Strict Transport Security(HSTS)

HTTP Strict Transport Security(HSTS)を有効にして、ウェブサイトに余分なセキュリティーのレイヤーを追加します。HSTS は、すべての HTTP リクエストを HTTPS リクエストに変換するようにブラウザーに指示します。HSTSを有効にすると、サブドメイン上のURLに対して行われるリクエストのレスポンスにHSTSヘッダーが追加されます。HSTSヘッダーについて詳しくご確認ください。

  1. HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
  2. 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
  3. [アクション]ドロップダウンメニューをクリックし、[ドメインセキュリティー設定を更新]を選択します。
  4. 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
  5. HSTSを有効にするには、[HTTP Strict Transport Security (HSTS)]チェックボックスをオンにします。 
    • ブラウザーがHTTPをHTTPSリクエストに変換することを記憶しておく時間を編集するには、[ 期間(max-age)] ドロップダウンメニューをクリックして 期間を選択します。
    • ドメインの HSTS ヘッダーにプレロードディレクティブを含めるには、[プレロードを有効にする] チェックボックスを有効にします。HSTS をプレロードする方法について説明します。
    • 選択されたドメインに属する全てのサブドメインにHSTSヘッダーを含めるには、[サブドメインを含める]チェックボックスをオンにします。例えば、「www.examplewebsite.com」のHSTSが有効になっており、[サブドメインを含める]チェックボックスがオンになっている場合は、「cool.www.examplewebsite.com」でもHSTSが有効になります。
  6. 完了したら、[保存]をクリックします。

追加のドメインセキュリティー設定

追加のドメイン セキュリティー ヘッダーを設定して、ブラウザーによるコンテンツの読み込み方法、リクエストの処理方法を制御し、ドメインに対する保護を適用します。これらの設定は、クロスサイトスクリプティングや不正なコンテンツの埋め込みといった一般的な脆弱性の防止に役立ちます。

サブスクリプションが必要 追加のセキュリティー設定(Xフレームオプションなど)をオンにするには、 Content Hub StarterProfessional 、または Enterprise サブスクリプションが必要です。

X-Frame-Options

ブラウザーが <frame>タグ、 <iframe>タグ、 <embed>タグ、または <object> タグでページをレンダリングできるかどうかを表示するには、X-Frame-Options応答ヘッダーを有効にします。X-Frame-Optionsヘッダーの詳細をご確認ください。

  1. HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
  2. 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
  3. [アクション]ドロップダウンメニューをクリックし、[ ドメインセキュリティー設定を更新]を選択します。
  4. 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
  5. X-Frame-Optionsを有効にするには、[X-Frame-Optionsチェックボックスをオンにし、[ディレクティブ]ドロップダウンメニューをクリックしてオプションを1つ選択します。
    • ドメイン上のページが上記タグ内のページに読み込まれないようにするには、[deny]を選択します。
    • 貴社ドメイン上のページが貴社のドメインでのみ上記タグ内に読み込まれるようにするには、[sameorigin](同じオリジン)を選択します。
  6. 完了したら、[保存]をクリックします。

X-XSS-Protection

X-XSS-Protectionヘッダーを有効にして、古いウェブブラウザーのユーザーのセキュリティーレイヤーを追加します。X-XSS-Protectionを有効にすると、クロスサイトスクリプティングが検出された場合にページが読み込まれなくなります。X-XSS-Protectionヘッダーの詳細をご確認ください。

  1. HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
  2. 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
  3. [アクション]ドロップダウンメニューをクリックし、[ ドメインセキュリティー設定を更新]を選択します。
  4. 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
  5. X-XSS-Protectionヘッダーを有効にするには、[X-XSS-Protection]チェックボックスをオンにしてから、[XSS設定]ドロップダウンメニューをクリックし、オプションを1つ選択します。
    • XSSフィルタリングを無効にするには、[0]を選択します。
    • クロスサイトスクリプティング攻撃が検出された場合にページの安全でない部分を除去するには、[1]を選択します。
    • 攻撃が検出された場合にページのレンダリングを防止するには、[1; mode=block]を選択します。
  6. 完了したら、[保存]をクリックします。

X-Content-Type-Options

MIMEタイプスニフィングからページをオプトアウトするには、X-Content-Type-Optionsヘッダーを有効にします。この設定を有効にすると、ブラウザーはContent-TypeヘッダーでアドバタイズされたMIMEタイプに従うように指示されます。X-Content-Type-Optionsヘッダーの詳細をご確認ください。

  1. HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
  2. 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
  3. [アクション]ドロップダウンメニューをクリックし、[ ドメインセキュリティー設定を更新]を選択します。
  4. 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
  5. MIMEタイプスニフィングからページをオプトアウトするには、[X-Content-Type-Options]チェックボックスをオンにします。
  6. 完了したら、[保存]をクリックします。

Content-Security-Policy

ユーザーエージェントがページに読み込むことができるリソースを制御するには、Content-Security-Policyヘッダーを有効にします。このヘッダーはクロスサイトスクリプティング攻撃を防止するために役立ちます。

  1. HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
  2. 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
  3. [アクション]ドロップダウンメニューをクリックし、[ ドメインセキュリティー設定を更新]を選択します。
  4. 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
  5. ユーザーエージェントが読み込むことができるリソースを制御するには、[Content-Security-Policy]チェックボックスをオンにします。
    • [ポリシーディレクティブ ]フィールドに ディレクティブ を入力します。
    • ウェブバージョンのマーケティングEメールでContent-Security-Policyヘッダーを使用するには、 ここで説明するキーワードとして 「unsafe-inline 」と入力します。そうしない場合、Eメールからのスタイル設定はブロックされます。
    • ランダムに生成されたヘッダー値と一致するノンス属性が含まれている場合にのみ <script> 要素の実行を許可するには、[ノンスを有効にする]チェックボックスをオンにします。
  6. 完了したら、[保存]をクリックします。

:HubSpotは、HubSpotからの全てのスクリプトと、HubSpotでホスティングされている全てのスクリプトについて、リクエストごとにランダムな値を自動的に生成します。

HubSpotがホスティングするページを完全に機能させるには、次のドメインとディレクティブを含める必要があります。

ドメイン* ディレクティブ ツール
*.hsadspixel.net script-src 広告
*.hs-analytics.net script-src  アナリティクス(分析)
*.hubapi.com connect-src API呼び出し(HubDB、フォーム送信)
js.hscta.net script-src、img-src、connect-src CTA(ボタン)
js-eu1.hscta.net(ヨーロッパのデータホスティングのみ script-src、img-src、connect-src CTA(ボタン)
no-cache.hubspot.com img-src CTA(ボタン)
*.hubspot.com script-src、img-src、connect-src、frame-src CTA(ポップアップ)、チャットフロー
*.hs-sites.com frame-src CTA(ポップアップ)
*.hs-sites-eu1.comヨーロッパのデータのホスティングのみ frame-src CTA(ポップアップ)
static.hsappstatic.net script-src コンテンツ(スプロケットメニュー、動画の埋め込み)
*.usemessages.com script-src コミュニケーション、チャットフロー
*.hs-banner.com script-src、connect-src Cookieバナー
*.hubspotusercontent##.net(##は00、10、20、30、40のいずれか) script-src、img-src、style-src ファイル
*.hubspot.net script-src、img-src、frame-src ファイル
play.hubspotvideo.com frame-src ファイル(ビデオ)
play-eu1.hubspotvideo.com(ヨーロッパのデータのホスティングのみ frame-src ファイル(ビデオ)
cdn2.hubspot.net img-src、style-src ファイル、スタイルシート
HubSpotに接続されている貴社ドメイン frame-src、style-src、script-src ファイル、スタイルシート
*.hscollectedforms.net script-src、connect-src フォーム(HubSpot以外のフォーム)
*.hsleadflows.net script-src フォーム(ポップアップフォーム)
*.hsforms.net script-src、img-src、frame-src フォーム、アンケート
*.hsforms.com script-src、img-src、frame-src、connect-src、child-src フォーム、アンケート
*.hs-scripts.com script-src HubSpotトラッキングコード
*.hubspotfeedback.com script-src アンケート
feedback.hubapi.com script-src アンケート
feedback-eu1.hubapi.com(ヨーロッパのデータホスティングのみ script-src アンケート

Content-Security-Policy-Report-Only

ポリシーディレクティブを監視するには、Content-Security-Policy-Report-Onlyヘッダーを有効にします。ポリシーディレクティブは適用されませんが、その影響が監視されるので、ポリシーを使った実験を行う際に便利です。 Content-Security-Policy-Report-Onlyヘッダーの詳細をご確認ください。

  1. HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
  2. 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
  3. [アクション]ドロップダウンメニューをクリックし、[ ドメインセキュリティー設定を更新]を選択します。
  4. 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
  5. このヘッダーを有効にするには、[Content-Security-Policy-Report-Only]チェックボックスをオンにしてから、[ポリシー指示]を入力します。
  6. ランダムに生成されたヘッダー値と一致するノンス属性が含まれている場合にのみ <script> 要素の実行を許可するには、[ノンスを有効にする]チェックボックスをオンにします。
  7. 完了したら、[保存]をクリックします。

Referrer-Policy

リファラー情報をリクエストに含める量を制御するには、Referrer-Policyヘッダーを有効にします。利用可能なディレクティブの定義については、MozillaのReferrer-Policyガイドをご覧ください。

  1. HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
  2. 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
  3. [アクション]ドロップダウンメニューをクリックし、[ ドメインセキュリティー設定を更新]を選択します。
  4. 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
  5. リクエストに含めるリファラー情報の量を制御するには、[ Referrer-Policy ]チェックボックスをオンにしてから、[ディレクティブ ]ドロップダウンメニューをクリックして、 オプションを選択します
  6. 完了したら、[保存]をクリックします。

Permissions-Policy

<iframe> 要素コンテンツを含む、ページ上でのブラウザー機能の使用を制御するには、Permissions-Policyヘッダーを有効にします。

  1. HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
  2. 左のサイドバーメニューで、[コンテンツ]>[ドメインとURL]の順に移動します。
  3. [アクション]ドロップダウンメニューをクリックし、[ ドメインセキュリティー設定を更新]を選択します。
  4. 右側のパネルで、[セキュリティーヘッダー]タブをクリックします。
  5. ブラウザー機能の使用を制御するには、[ Permissions-Policy ]チェックボックスをオンにしてから、[ ディレクティブ]を入力します。ディレクティブのリストについては、 MozillaのPermissions-Policyガイドをご覧ください。
  6. 完了したら、[保存]をクリックします。
この記事はお役に立ちましたか?
こちらのフォームではドキュメントに関するご意見をご提供ください。HubSpotがご提供しているヘルプはこちらでご確認ください。

関連記事

目次 /ja/domains-and-urls/ssl-and-domain-security-in-hubspot メニュー

関連記事

New to HubSpot? Use these guides to get started.