情報処理安全確保支援士 2020年秋期午前2 問12

問題文

WebサーバがHTTP over TLS(HTTPS) 通信の応答で cookieにSecure属性を設定するときの Webサーバ及び Webブラウザの処理はどれか。

選択肢

ア：Webサーバでは、cookie 発行時に“Secure=”に続いて時間を設定し、Webブラウザでは、指定された時間を参照し、指定された時間を過ぎている場合にその cookie を削除する。

イ：Webサーバでは、cookie 発行時に“Secure=”に続いてホスト名を設定し、Webブラウザでは、指定されたホスト名を参照し、指定されたホストにその cookie を送信する。

ウ：Webサーバでは、cookie 発行時に“Secure” を設定し、Webブラウザでは、それを参照し、HTTPS 通信時にだけその cookie を送信する。（正解）

エ：Webサーバでは、cookie 発行時に“Secure” を設定し、Webブラウザでは、それを参照し、Webブラウザの終了時に cookie の他の属性によらず、その cookie を削除する。

WebサーバがHTTP over TLS(HTTPS)通信の応答でcookieにSecure属性を設定するときのWebサーバ及びWebブラウザの処理【午前2 解説】

要点まとめ

結論：Secure属性はWebサーバがcookieに設定し、WebブラウザはHTTPS通信時のみそのcookieを送信します。
根拠：Secure属性はcookieの送信を安全な通信路（HTTPS）に限定するための仕様であり、HTTP通信時には送信されません。
差がつくポイント：Secure属性は時間やホスト名ではなく、通信の安全性（HTTPSかどうか）に基づいてcookie送信を制御する点を正確に理解すること。

正解の理由

選択肢ウは、Webサーバがcookie発行時に「Secure」属性を設定し、Webブラウザはその属性を認識してHTTPS通信時にのみcookieを送信するという仕様を正しく説明しています。Secure属性はcookieの送信を暗号化された通信に限定し、盗聴や改ざんのリスクを低減するために用いられます。これにより、HTTP通信時にはcookieが送信されず、セキュリティが強化されます。

よくある誤解

Secure属性は時間やホスト名を指定するものではなく、通信経路の安全性を示す属性です。これを誤解して時間管理やホスト制限と混同しやすい点に注意が必要です。

解法ステップ

cookieのSecure属性の意味を確認する。
Secure属性は通信経路がHTTPSである場合にのみcookieを送信することを理解する。
選択肢の説明がSecure属性の仕様に合致しているかを検証する。
時間やホスト名を設定する説明はSecure属性の仕様にないため除外する。
HTTPS通信時にcookieを送信する説明がある選択肢を選ぶ。

選択肢別の誤答解説

ア: Secure属性は時間を設定しないため誤り。cookieの有効期限はExpiresやMax-Age属性で管理する。
イ: Secure属性はホスト名を指定しない。ホスト制限はDomain属性で行うため誤り。
ウ: 正解。Secure属性はHTTPS通信時にのみcookieを送信することを示す。
エ: Secure属性はブラウザ終了時の削除とは無関係で、セッション管理はSession属性やExpires属性で制御するため誤り。

補足コラム

Secure属性はcookieのセキュリティ強化に重要な役割を果たします。これに加えて、HttpOnly属性を設定するとJavaScriptからのアクセスを防ぎ、クロスサイトスクリプティング（XSS）攻撃のリスクを減らせます。さらに、SameSite属性を利用するとクロスサイトリクエストフォージェリ（CSRF）対策にも効果的です。

FAQ

Q: Secure属性が設定されたcookieはHTTP通信時に送信されますか？
A: いいえ。Secure属性が設定されたcookieはHTTPS通信時にのみ送信され、HTTP通信時には送信されません。

Q: Secure属性はcookieの有効期限を設定しますか？
A: いいえ。有効期限はExpiresやMax-Age属性で設定し、Secure属性は通信の安全性を示すためのものです。

関連キーワード: cookie, Secure属性、HTTPS, HTTP over TLS, Webサーバ、Webブラウザ、セキュリティ、クッキー送信制御

← 前の問題へ次の問題へ →

\ せっかくなら /

情報処理安全確保支援士を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！