情報処理安全確保支援士 2022年 春期 午前2 問14
問題文
HTTP Strict Transport Security(HSTS)の動作はどれか。
選択肢
ア:HTTP over TLS(HTTPS)によって接続しているときEV SSL証明書であることを利用者が容易に識別できるようにWebブラウザのアドレス表示部分を緑色に表示する。
イ:Webサーバからコンテンツをダウンロードするときどの文字列が秘密情報かを判定できないように圧縮する。
ウ:WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて一度確立したセッションとは別の新たなセッションを確立するとき既に確立したセッションを使って改めてハンドシェイクを行う。
エ:WebサイトにアクセスするとWebブラウザは以降の指定された期間当該サイトには全てHTTPSによって接続する。(正解)
HTTP Strict Transport Security(HSTS)の動作はどれか【午前2 解説】
要点まとめ
- 結論:HSTSはWebブラウザに指定期間、常にHTTPS接続を強制させる仕組みです。
- 根拠:HTTP接続をHTTPSに自動的にリダイレクトし、中間者攻撃を防止します。
- 差がつくポイント:証明書の種類や圧縮、TLSセッションの再確立とは異なり、通信の安全性を継続的に保証する点に注目しましょう。
正解の理由
選択肢エは「WebサイトにアクセスするとWebブラウザは以降の指定された期間当該サイトには全てHTTPSによって接続する」とあります。これはHSTSの本質的な動作であり、HTTPでのアクセスを強制的にHTTPSに切り替え、通信の安全性を確保します。HSTSはHTTPレスポンスヘッダに
Strict-Transport-Securityを含めることでブラウザに指示を出し、指定期間中はHTTP接続を許さず、常にTLS通信を行うようにします。
よくある誤解
HSTSは証明書の種類を識別したり、通信圧縮を行う技術ではありません。またTLSのセッション再確立とは無関係で、通信の安全性を継続的に保証する仕組みです。
解法ステップ
- HSTSの正式名称「HTTP Strict Transport Security」を確認する。
- 「Strict Transport Security」の意味から通信の強制的な安全化を連想する。
- 選択肢の内容をTLS通信の強制や証明書の識別、圧縮、セッション管理と比較する。
- HTTPS接続を強制する説明が正しいことを確認し、選択肢エを選ぶ。
選択肢別の誤答解説
- ア: EV SSL証明書の識別はブラウザのUI表示の話であり、HSTSの機能ではありません。
- イ: コンテンツ圧縮と秘密情報の判定はHSTSとは無関係です。
- ウ: TLSのセッション再確立はTLSプロトコルの話で、HSTSの動作とは異なります。
- エ: HSTSの本質であるHTTPS接続の強制を正しく説明しています。
補足コラム
HSTSは中間者攻撃(MITM)を防ぐために重要な技術です。初回アクセス時にHTTPで接続しても、サーバがHSTSヘッダを返すことでブラウザは以降のアクセスをHTTPSに限定します。これにより、通信の盗聴や改ざんリスクを大幅に減らせます。HSTSプリロードリストという仕組みもあり、主要ブラウザはあらかじめ安全なサイトをHTTPS限定に登録しています。
FAQ
Q: HSTSはどのようにブラウザに指示を出すのですか?
A: HTTPレスポンスヘッダの
A: HTTPレスポンスヘッダの
Strict-Transport-Securityで期間や対象ドメインを指定します。
Q: HSTSはすべてのブラウザでサポートされていますか?
A: 主要なブラウザはほぼ全て対応しており、セキュリティ強化に広く利用されています。
A: 主要なブラウザはほぼ全て対応しており、セキュリティ強化に広く利用されています。
関連キーワード: HSTS, HTTPS強制、中間者攻撃防止、TLS, セキュリティヘッダ
\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!