ホーム > 情報処理安全確保支援士試験 > 2022年 春期
情報処理安全確保支援士試験 2022年 春期 午前2 問14
HTTP Strict Transport Security(HSTS)の動作はどれか。
ア:HTTP over TLS(HTTPS)によって接続しているときEV SSL証明書であることを利用者が容易に識別できるようにWebブラウザのアドレス表示部分を緑色に表示する。
イ:Webサーバからコンテンツをダウンロードするときどの文字列が秘密情報かを判定できないように圧縮する。
ウ:WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて一度確立したセッションとは別の新たなセッションを確立するとき既に確立したセッションを使って改めてハンドシェイクを行う。
エ:WebサイトにアクセスするとWebブラウザは以降の指定された期間当該サイトには全てHTTPSによって接続する。(正解)
解説
HTTP Strict Transport Security(HSTS)は、ウェブの安全性を高めるための重要な仕組みです。問題の選択肢の中で、HSTSの動作として正しいのは「エ」の「WebサイトにアクセスするとWebブラウザは以降の指定された期間当該サイトには全てHTTPSによって接続する」です。
HSTSとは何か?
HSTSは「HTTP Strict Transport Security」の略で、ウェブサイトが明示的に「今後このサイトは必ずHTTPS(暗号化通信)でアクセスしてください」とブラウザに通知するための仕組みです。
これはウェブサイトからブラウザに対して、HTTPレスポンスヘッダーの中に
Strict-Transport-Security: max-age=期間; includeSubDomains
という指示を送ることで実現されます。
- max-age=期間: ブラウザがHTTPSを強制する期間(秒単位)を指定します。
- includeSubDomains(オプション): サイトの全てのサブドメインにも適用するかを設定します。
なぜHSTSが必要か?
インターネット上の通信は、暗号化されないHTTP通信だと中間者攻撃(マン・イン・ザ・ミドル攻撃)などの危険にさらされます。
例えば、ユーザーが「http://example.com」にアクセスした場合、
- ネットワーク上で通信が盗聴や改ざんされる可能性があります。
- 攻撃者がHTTPの応答を書き換えてHTTPS接続を妨害し、「中間者攻撃」を仕掛ける恐れがあります。
HSTSを利用すると、一度でもそのサイトにHTTPSでアクセスし、サーバーからHSTSヘッダーを受け取ると、
- 以降はブラウザが自動的に「http://example.com」へのアクセスを「https://example.com」に書き換えます。
- つまり、ユーザーがhttpでアクセスしても強制的にhttps接続となるため、安全性が高まります。
他の選択肢について
- ア: EV SSL証明書の識別はブラウザによるUIの演出ですが、HSTSとは直接関係ありません。
- イ: コンテンツの圧縮による秘密情報の判定はHTTP圧縮の問題であり、HSTSとは異なります。
- ウ: TLSのハンドシェイクでのセッション再確立はTLSの仕組みの一部ですが、HSTSの機能とは関係ありません。
まとめ
HSTSは一度サイトから送信された「この期間は必ずHTTPSでアクセスしてください」という指示をブラウザが覚えて強制する仕組みです。これにより、HTTP通信に起因する様々な攻撃リスクを軽減できます。
したがって、問題の正解は
エ: WebサイトにアクセスするとWebブラウザは以降の指定された期間当該サイトには全てHTTPSによって接続する。
となります。