ホーム > 情報処理安全確保支援士試験 > 2021年 春期
情報処理安全確保支援士試験 2021年 春期 午前2 問15
HSTS(HTTP Strict Transport Security)の説明はどれか。
ア:HSTS を利用する Webサイトに Webブラウザが HTTP でアクセスした場合、Webブラウザから当該サイトへのその後のアクセスを強制的に HTTPS にする。(正解)
イ:HSTS を利用する Webサイトに Webブラウザが HTTP でアクセスした場合、Webページの文書やスクリプトについて、あるオリジンから読み込まれたリソースから他のオリジンのリソースにアクセスできないように制限する。
ウ:HTTPS で通信が保護されている場合にだけ cookie の属性によらず強制的に cookie を送信する。
エ:信頼性が高いサーバ証明書を有する Web サイトとの HTTPS 通信では Web ブラウザに鍵マークを表示する。
解説
HSTS(HTTP Strict Transport Security)の説明はどれか【午前2 解説】
要点まとめ
- 結論:HSTSはHTTPアクセス時にブラウザが強制的にHTTPSへ切り替える仕組みです。
- 根拠:HSTSはWebサイトのセキュリティ向上のため、通信の安全なHTTPS接続を強制するHTTPヘッダーです。
- 差がつくポイント:HTTPアクセス時の自動リダイレクトではなく、ブラウザ側で以降のアクセスをHTTPSに限定する点を理解しましょう。
正解の理由
選択肢アは「HSTSを利用するWebサイトにHTTPでアクセスした場合、ブラウザがその後のアクセスを強制的にHTTPSにする」とあります。これはHSTSの本質的な機能であり、HTTP通信の脆弱性を防ぐためにブラウザが以降のアクセスをHTTPSに限定する仕組みです。したがって、正解はアです。
よくある誤解
HSTSは単なるHTTPからHTTPSへのリダイレクトではなく、ブラウザが記憶して以降のアクセスを強制的にHTTPSにする仕組みです。単なる証明書の表示やCookieの送信制御とは異なります。
解法ステップ
- HSTSの目的を確認する(通信の安全性向上)。
- HTTPアクセス時のブラウザの挙動を理解する(HTTPSへの強制切替)。
- 選択肢の説明とHSTSの定義を照合する。
- 他の選択肢がHSTSの機能と異なることを確認する。
- 正しい説明を選択肢から特定する。
選択肢別の誤答解説
- ア: 正解。HTTPアクセス時にブラウザがHTTPSに強制切替する説明でHSTSの本質を示す。
- イ: 誤り。これは同一オリジンポリシーやCORSの説明に近く、HSTSとは無関係。
- ウ: 誤り。Cookieの送信制御はSecure属性やSameSite属性の役割であり、HSTSの機能ではない。
- エ: 誤り。鍵マークの表示は証明書の信頼性を示すブラウザのUIであり、HSTSの説明ではない。
補足コラム
HSTSはHTTPレスポンスヘッダー
Strict-Transport-Securityで指定され、ブラウザは指定期間(max-age)そのサイトへのアクセスをHTTPSに限定します。これにより中間者攻撃(MITM)やSSLストリッピング攻撃を防止できます。HSTSプリロードリストに登録されたサイトは初回アクセスからHTTPSが強制されます。FAQ
Q: HSTSはどのように設定されますか?
A: WebサーバーがHTTPレスポンスヘッダー
A: WebサーバーがHTTPレスポンスヘッダー
Strict-Transport-Securityを送信し、ブラウザがそれを受け取ることで設定されます。Q: HSTSはすべてのブラウザでサポートされていますか?
A: 主要なモダンブラウザはすべてHSTSをサポートしていますが、古いブラウザでは対応していない場合があります。
A: 主要なモダンブラウザはすべてHSTSをサポートしていますが、古いブラウザでは対応していない場合があります。
Q: HSTSを設定するとHTTPアクセスは完全に禁止されますか?
A: 初回アクセスはHTTPでも可能ですが、ブラウザがHSTSヘッダーを受け取ると以降のアクセスはHTTPSに強制されます。
A: 初回アクセスはHTTPでも可能ですが、ブラウザがHSTSヘッダーを受け取ると以降のアクセスはHTTPSに強制されます。
関連キーワード: HSTS, HTTPS強制, セキュリティヘッダー, SSLストリッピング防止, HTTPレスポンスヘッダー