ホーム > 情報処理安全確保支援士試験 > 2018年 秋期
情報処理安全確保支援士試験 2018年 秋期 午前2 問12
HTTP Strict Transport Security(HSTS)の動作はどれか。
ア:HTTP over TLS(HTTPS)によって接続しているとき、EV SSL証明書であることを利用者が容易に識別できるように、Webブラウザのアドレス表示部分を緑色に表示する。
イ:Webサーバからコンテンツをダウンロードするとき、どの文字列が秘密情報かを判定できないように圧縮する。
ウ:WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて、一度確立したセッションとは別の新たなセッションを確立するとき、既に確立したセッションを使って改めてハンドシェイクを行う。
エ:Webサイトにアクセスすると、Webブラウザは、以降の指定された期間、当該サイトには全てHTTPSによって接続する。(正解)
解説
HTTP Strict Transport Security(HSTS)の動作はどれか【午前2 解説】
要点まとめ
- 結論:HSTSは指定期間、Webブラウザが対象サイトへ必ずHTTPS接続を強制する仕組みです。
- 根拠:HTTP通信の安全性を高めるため、ブラウザがHTTP接続をHTTPSに自動変換し、中間者攻撃を防ぎます。
- 差がつくポイント:HSTSは証明書の種類や圧縮処理ではなく、通信経路の安全性維持に特化した機能である点を理解しましょう。
正解の理由
選択肢エは、HSTSの本質的な動作を正確に表しています。HSTSはWebサーバがレスポンスヘッダで「Strict-Transport-Security」を送信し、ブラウザに対して以降のアクセスをHTTPSに限定させる仕組みです。これにより、ユーザが誤ってHTTPでアクセスしても自動的にHTTPSにリダイレクトされ、通信の盗聴や改ざんリスクを低減します。
よくある誤解
HSTSは証明書の種類を識別したり、通信内容を圧縮したりする技術ではありません。TLSのセッション管理とも直接関係がありません。
解法ステップ
- HSTSの正式名称「HTTP Strict Transport Security」を確認する。
- 「Strict Transport Security」から通信の安全性強化を連想する。
- 選択肢の内容を「HTTPS接続の強制」「証明書の表示」「圧縮」「TLSセッション管理」で分類する。
- HSTSの定義に合致する「HTTPS接続の強制」を選ぶ。
選択肢別の誤答解説
- ア: EV SSL証明書の識別はブラウザのUI設計の話であり、HSTSの機能ではありません。
- イ: コンテンツ圧縮は通信効率化の技術であり、秘密情報の判定とは無関係です。
- ウ: TLSのセッション再確立はTLSプロトコルの動作で、HSTSとは別の話です。
- エ: HSTSの動作を正しく説明しており、HTTPS接続を強制する仕組みです。
補足コラム
HSTSは中間者攻撃(MITM)を防ぐために重要な技術です。特に初回アクセス時にHTTPでアクセスされるリスクを減らすため、事前にブラウザにHSTSポリシーを登録する「HSTSプリロードリスト」も存在します。これにより、初回アクセスからHTTPSが強制されます。
FAQ
Q: HSTSはどのようにブラウザに伝えられますか?
A: WebサーバがHTTPレスポンスヘッダ「Strict-Transport-Security」で期間や対象ドメインを指定して伝えます。
A: WebサーバがHTTPレスポンスヘッダ「Strict-Transport-Security」で期間や対象ドメインを指定して伝えます。
Q: HSTSはすべてのブラウザでサポートされていますか?
A: 主要なモダンブラウザはHSTSをサポートしており、セキュリティ強化に広く利用されています。
A: 主要なモダンブラウザはHSTSをサポートしており、セキュリティ強化に広く利用されています。
関連キーワード: HSTS, HTTPS強制, 中間者攻撃防止, Strict-Transport-Security, TLS