情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和2年度 午前Ⅱ 問12: Web サーバが HTTP over TLS（HTTPS）通信の応答で cookie に Secure 属性を設定するときの Web サーバ及び Web ブラウ

問題本文

Web サーバが HTTP over TLS（HTTPS）通信の応答で cookie に Secure 属性を設定するときの Web サーバ及び Web ブラウザの処理はどれか。

選択肢

• ア.Web サーバでは，cookie 発行時に“Secure=”に続いて時間を設定し，Web ブラウザでは，指定された時間を参照し，指定された時間を過ぎている場合にその cookie を削除する。
• イ.Web サーバでは，cookie 発行時に“Secure=”に続いてホスト名を設定し，Web ブラウザでは，指定されたホスト名を参照し，指定されたホストにその cookie を送信する。
• ウ.Web サーバでは，cookie 発行時に“Secure”を設定し，Web ブラウザでは，それを参照し，HTTPS 通信時にだけその cookie を送信する。
• エ.Web サーバでは，cookie 発行時に“Secure”を設定し，Web ブラウザでは，それを参照し，Web ブラウザの終了時に cookie の他の属性によらず，その cookie を削除する。

正解

ウ. Web サーバでは，cookie 発行時に“Secure”を設定し，Web ブラウザでは，それを参照し，HTTPS 通信時にだけその cookie を送信する。

解説

cookieのSecure属性は、そのcookieをHTTPS(暗号化された)通信時にのみ送信させる指定。サーバは値を持たない属性Secureを付与し、ブラウザはこれを参照して平文HTTPでは送らないことで、盗聴によるcookie窃取を防ぐ。ウが正しい。実務ではセッションcookieにSecureとHttpOnlyを併用するのが基本対策となる。

選択肢ごとの解説

• ア.有効期限を時間で指定し過ぎたら削除するのはExpires/Max-Age属性の動作で、Secureの説明ではない。
• イ.cookieの送信先ホストやドメインを指定するのはDomain属性の役割で、Secure属性とは異なる。
• ウ.サーバがSecureを設定するとブラウザがそれを参照しHTTPS通信時にだけcookieを送るという動作で正しい。
• エ.ブラウザ終了時に削除されるのは有効期限未指定のセッションcookieの挙動で、Secureの機能ではない。