CSPヘッダーへの "Frame-ancestors" 追加について

SMA100シリーズではCSPヘッダーに "Frame-ancestors" ではなく、"Frame-ancestors 'self'" と同様の意味の "X-Frame-Options: sameorigin" が使われています。そのため、セキュリティ監査でCSPヘッダー中の "Frame-ancestors" の有無のみをチェックしている場合、セキュリティ対応がなされていないと指摘される場合があります。

現在 "X-Frame-Options" は一部のブラウザでサポートされていない事から非推奨、レガシーなヘッダーとして判断され、業界におけるベストプラクティスではないと当社においても判断しました。そのため、SMA100シリーズのファームウェア10.2.1.11以降のバージョンではCSPヘッダーに "Frame-ancestors" を追加することとなりました。セキュリティ監査でCSPヘッダーにおいて指摘があった場合は、10.2.1.11以降のバージョンへアップグレードするようにしてください。