ホーム > 情報処理安全確保支援士試験 > 2024年 春期
情報処理安全確保支援士試験 2024年 春期 午前2 問13
HTTP Strict Transport Security(HSTS)の動作はどれか。
ア:HTTP over TLS (HTTPS) によって接続しているとき, 接続先のサーバ証明書がEV SSL 証明書である場合とない場合で, Web ブラウザのアドレス表示部分の表示を変える。
イ:Web サーバからコンテンツをダウンロードするとき, どの文字列が秘密情報かを判定できないように圧縮する。
ウ:Web サーバと Web ブラウザとの間のTLSのハンドシェイクにおいて, 一度確立したセッションとは別の新たなセッションを確立するとき 既に確立したセッションを使って改めてハンドシェイクを行う。
エ:Web ブラウザは, Web サイトにアクセスすると, 以降の指定された期間,当該サイトには全て HTTPS によって接続する。(正解)
解説
HTTP Strict Transport Security(HSTS)の動作はどれか【午前2 解説】
要点まとめ
- 結論:HSTSはブラウザに対し、指定期間すべてのアクセスをHTTPSに強制する仕組みです。
- 根拠:WebサーバがHTTPレスポンスヘッダでHSTSポリシーを送信し、ブラウザが以降の通信をHTTPSに限定します。
- 差がつくポイント:HSTSは証明書の種類や圧縮、TLSセッション再利用とは無関係で、通信の安全性を強制的に確保する点が重要です。
正解の理由
選択肢エは、HSTSの本質を正確に表しています。HSTSはWebサーバが
Strict-Transport-Securityヘッダを送信し、ブラウザがそのサイトへのアクセスを指定期間HTTPSに限定することで、中間者攻撃やダウングレード攻撃を防止します。これにより、ユーザは誤ってHTTPで接続してしまうリスクを回避できます。よくある誤解
HSTSは証明書の種類を判別したり、通信の圧縮やTLSセッションの再利用を制御するものではありません。これらは別の技術やプロトコルの役割です。
解法ステップ
- 問題文の「HTTP Strict Transport Security(HSTS)」の意味を確認する。
- HSTSの動作は「HTTPS接続を強制する」ことと理解する。
- 選択肢を一つずつHSTSの定義と照らし合わせる。
- 証明書の種類や圧縮、TLSセッション再利用はHSTSの機能外と判断。
- 「以降の指定期間、全てHTTPS接続を強制する」選択肢エを正解とする。
選択肢別の誤答解説
- ア: EV SSL証明書の有無でブラウザ表示を変えるのは証明書の種類に関する機能であり、HSTSとは無関係です。
- イ: コンテンツの圧縮や秘密情報の判定は圧縮アルゴリズムや情報漏洩対策の話で、HSTSの機能ではありません。
- ウ: TLSのセッション再利用はTLSプロトコルの性能向上機能であり、HSTSの動作とは異なります。
- エ: Webブラウザが指定期間すべてHTTPS接続を強制するのがHSTSの正しい動作です。
補足コラム
HSTSは2012年にRFC 6797で標準化され、HTTPSへの強制リダイレクトをサーバ側からブラウザに指示する仕組みです。これにより、ユーザがHTTPでアクセスしても自動的にHTTPSに切り替わり、通信の安全性が向上します。HSTSプリロードリストという仕組みもあり、主要ブラウザはあらかじめ安全なサイトをHTTPS強制リストに登録しています。
FAQ
Q: HSTSはどのようにブラウザに通知されますか?
A: WebサーバがHTTPレスポンスヘッダの
A: WebサーバがHTTPレスポンスヘッダの
Strict-Transport-Securityで通知し、ブラウザがそのポリシーを記憶します。Q: HSTSはすべてのブラウザでサポートされていますか?
A: 主要なブラウザ(Chrome、Firefox、Edge、Safariなど)はHSTSをサポートしています。
A: 主要なブラウザ(Chrome、Firefox、Edge、Safariなど)はHSTSをサポートしています。
Q: HSTSが設定されていないサイトにHTTPでアクセスするとどうなりますか?
A: ブラウザはHTTP接続を許可し、通信が暗号化されないため中間者攻撃のリスクがあります。
A: ブラウザはHTTP接続を許可し、通信が暗号化されないため中間者攻撃のリスクがあります。
関連キーワード: HSTS, HTTPS強制, セキュリティヘッダ, 中間者攻撃防止, TLS, Strict-Transport-Security