ネットワークスペシャリスト 2018年午前2 問18

問題文

WebサイトがWebブラウザに対して、指定された期間において、当該Webサイトへのアクセスをhttpsで行うように指示するHTTPレスポンスヘッダフィールドはどれか。

選択肢

ア：Content-Security-Policy

イ：Strict-Transport-Security（正解）

ウ：X-Content-Type-Options

エ：X-XSS-Protection

WebサイトがWebブラウザに対して、指定された期間において、当該Webサイトへのアクセスをhttpsで行うように指示するHTTPレスポンスヘッダフィールドはどれか【午前2 解説】

要点まとめ

結論：指定期間中にWebサイトへのアクセスをHTTPSに限定する指示は「Strict-Transport-Security」ヘッダで行う。
根拠：このヘッダはHSTS（HTTP Strict Transport Security）ポリシーをブラウザに伝え、HTTPアクセスを自動的にHTTPSにリダイレクトさせる。
差がつくポイント：他の選択肢はセキュリティ強化に関わるが、HTTPS強制はStrict-Transport-Securityのみが担う役割である。

正解の理由

イ: Strict-Transport-Securityは、Webサーバーがブラウザに対して「今後指定期間は必ずHTTPSでアクセスしてください」と指示するHTTPレスポンスヘッダです。これにより、ブラウザはHTTPアクセスを受け付けず、自動的にHTTPSへリダイレクトします。これがHSTSの仕組みであり、通信の安全性を高める重要な手段です。

よくある誤解

「Content-Security-Policy」はクロスサイトスクリプティング対策、「X-Content-Type-Options」はMIMEタイプの誤解釈防止、「X-XSS-Protection」はブラウザのXSSフィルタ設定であり、HTTPS強制とは直接関係ありません。

解法ステップ

問題文の「指定期間にHTTPSでアクセスを強制する」点に注目する。
各選択肢の役割を整理する。
HTTPS強制に関わるヘッダは「Strict-Transport-Security」であることを確認する。
他の選択肢は別のセキュリティ対策であるため除外する。
正解はイと判断する。

選択肢別の誤答解説

ア: Content-Security-Policy
Webページのリソース読み込み制限やスクリプト実行制御を行うが、HTTPS強制はしない。
イ: Strict-Transport-Security
HTTPSアクセスを強制し、指定期間ブラウザに記憶させるため正解。
ウ: X-Content-Type-Options
MIMEタイプの誤解釈を防止し、コンテンツの安全性を高めるがHTTPS強制ではない。
エ: X-XSS-Protection
ブラウザのXSSフィルタ機能を制御するヘッダであり、HTTPS強制とは無関係。

補足コラム

Strict-Transport-SecurityヘッダはHSTSポリシーの実装に不可欠です。これにより中間者攻撃（MITM）を防ぎ、通信の暗号化を強制します。設定例は以下の通りです。

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

```
max-age
```
は有効期間（秒）
```
includeSubDomains
```
はサブドメインにも適用
```
preload
```
はブラウザのHSTSプリロードリストに登録するオプション

FAQ

Q: Strict-Transport-Securityはどのタイミングで送信されますか？
A: HTTPS接続時のHTTPレスポンスヘッダとして送信され、ブラウザが受け取ることで有効になります。

Q: HTTPアクセスは完全に遮断されますか？
A: ブラウザはHSTSポリシーを記憶し、HTTPアクセスを自動的にHTTPSにリダイレクトしますが、サーバー側でもHTTPからHTTPSへのリダイレクト設定が推奨されます。

関連キーワード: HSTS, HTTPS強制、HTTPレスポンスヘッダ、セキュリティヘッダ、中間者攻撃対策

← 前の問題へ次の問題へ →

\ せっかくなら /

ネットワークスペシャリストを
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！