情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ 問12: HTTP Strict Transport Security（HSTS）の動作はどれか。

問題本文

HTTP Strict Transport Security（HSTS）の動作はどれか。

選択肢

• ア.HTTP over TLS（HTTPS）によって接続しているとき，EV SSL 証明書であることを利用者が容易に識別できるように，Web ブラウザのアドレス表示部分を緑色に表示する。
• イ.Web サーバからコンテンツをダウンロードするとき，どの文字列が秘密情報かを判定できないように圧縮する。
• ウ.Web サーバと Web ブラウザとの間の TLS のハンドシェイクにおいて，一度確立したセッションとは別の新たなセッションを確立するとき，既に確立したセッションを使って改めてハンドシェイクを行う。
• エ.Web サイトにアクセスすると，Web ブラウザは，以降の指定された期間，当該サイトには全て HTTPS によって接続する。

正解

エ. Web サイトにアクセスすると，Web ブラウザは，以降の指定された期間，当該サイトには全て HTTPS によって接続する。

解説

HSTSは、Webサーバが応答ヘッダで「以後この期間は必ずHTTPSで接続せよ」とブラウザに指示する仕組み。これによりHTTPへの接続やSSLストリッピングによる中間者攻撃を防げる。エが指定期間中は全てHTTPSで接続すると正しく述べておりエが正解。実務では平文HTTPへのダウングレードを封じ、初回接続も含めるにはプリロードリストの併用が効果的。

選択肢ごとの解説

• ア.アドレスバーを緑色に表示するのはEV SSL証明書の表示挙動の説明で、HTTPS強制を担うHSTSの動作ではない。
• イ.秘密情報を判定させないよう圧縮を制御する話はTLS圧縮攻撃対策等の文脈で、HSTSの動作とは無関係で誤り。
• ウ.確立済みセッションを使い再ハンドシェイクするのは再ネゴシエーションの説明で、HSTSの動作ではないので誤り。
• エ.指定期間中はそのサイトへ常にHTTPSで接続させるのがHSTSの動作で、平文への降格を防ぐこの記述が正解。