情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度春期 午前Ⅱ 問13: HTTP Strict Transport Security（HSTS）の動作はどれか。

問題本文

HTTP Strict Transport Security（HSTS）の動作はどれか。

選択肢

• ア.HTTP over TLS（HTTPS）によって接続しているとき，接続先のサーバ証明書が EV SSL 証明書である場合とない場合で，Web ブラウザのアドレス表示部分の表示を変える。
• イ.Web サーバからコンテンツをダウンロードするとき，どの文字列が秘密情報かを判定できないように圧縮する。
• ウ.Web サーバと Web ブラウザとの間の TLS のハンドシェイクにおいて，一度確立したセッションとは別の新たなセッションを確立するとき，既に確立したセッションを使って改めてハンドシェイクを行う。
• エ.Web ブラウザは，Web サイトにアクセスすると，以降の指定された期間，当該サイトには全て HTTPS によって接続する。

正解

エ. Web ブラウザは，Web サイトにアクセスすると，以降の指定された期間，当該サイトには全て HTTPS によって接続する。

解説

HSTSは、サーバが応答ヘッダで指定した期間、当該サイトへのアクセスを必ずHTTPSで行うようWebブラウザに強制する仕組み。これにより平文HTTPへのダウングレードや、SSLストリッピングによる中間者攻撃を防ぐ。エが正しい。実務では初回以降のHTTP接続を自動でHTTPS化し、リダイレクト隙を突く盗聴・改ざんのリスクを低減する。プリロードでさらに強化できる。

選択肢ごとの解説

• ア.EV証明書有無で表示を変えるのはブラウザのUI挙動の話で、HSTSの動作ではない。
• イ.秘密情報を判定できないよう圧縮するのはCRIME対策等の話で、HSTSではない。
• ウ.既存セッションを使い再ハンドシェイクするのは再ネゴシエーションの説明でHSTSではない。
• エ.指定期間は当該サイトへ常にHTTPSで接続させるという記述で正しい。