【登録セキスペ2問】HSTS(情報処理安全確保支援士試験)
このNoteでは、SC10回分から「HSTS」の問題を搔き集めました。
HSTSは2012年にgoogleによって提案されたHTTPヘッダーに書かれる設定で、比較的新しい技術です。
出題は平成30年秋からなのでほぼ令和。私が合格した時に勉強した覚えがなかったので、今回の分析少し驚きました。
令和03, 04, 06年に出題されているので、頻度は高い方です。SCは流用サイクルが4回(2年)以上と長めですから。
たった2問なので是非読んで行ってくださいね。
それでは始めましょう!
HSTS(HTTP Strict Transport Security)は、PCがWebサーバにHTTPで接続されたら、Webサーバが暗号化されたHTTPS接続に切り替えるよう強制する技術です。
Webサーバが「いまHTTPで盗聴されると丸見えだから、暗号通信のHTTPSに切り替えましょう!」と言ってくるわけです。
HSTS(HTTP Strict Transport Security)の説明はどれか。
ア:WebブラウザがHTTPアクセスした時、Webサーバ側が強制的にHTTPS通信に切り替える。
イ:WebブラウザがHTTPアクセスした時、Webページの文書やスクリプトのオリジンを見て、他のオリジンのものにアクセスしないようにする。
ウ:HTTPS通信の時だけ、cookieの属性に依らずcookieを送信する。
エ:サーバ証明書を有するWebサイトとのHTTPS通信で、Webブラウザに鍵マークを表示する。
正答はア。
ウ以外の動作自体は正しいですが、HSTSではないので誤答。特段覚えるべきことはないので、どうしても気になる方は過去問道場さんへ。
ウについて、過去問道場さんの解説が少し不足しているので。
「cookieの属性に依らず」が引っ掛かる表現ですよね。
Secure属性を設定しているとHTTPSの時だけcookieを送信しますが、設定していないとHTTPS以外でも送信します。
HSTS(HTTP Strict Transport Security)の動作はどれか。
ア:HTTPS接続しているとき、サーバ証明書がEV SSL証明書である場合とない場合で、Webブラウザのアドレス表示部を緑色に変える。
イ:Webサーバからダウンロードするとき、機密情報を判別できないように圧縮する。
ウ:WebサーバとWebブラウザで一度TLSセッションを確立した後に、別の新たなセッションを確立するとき、既に確立していたセッションをもう一度確立しなおす。
エ:WebブラウザがWebサイトにアクセスすると、指定された期間だけ当該サイトにはHTTPSで接続する。
令和04年春AMII問14より改変
正答はエ。
他の選択肢も動作自体は正しいですが、HSTSの説明ではないので誤答。特段覚えるべき内容はないので、解説は割愛します。
どうしても気になる方は、過去問道場さんへ。
お疲れ様でした!
たったHSTSはHTTPSに切り替え強制。たった2問だけで、もう正解できるようになりました。
もし本試験で出たら超絶手軽なサービス問題として、さくっと正解してくださいね。
ぜひ「情報セキュリティスペシャリスト」に合格してくださいね。
\私がお世話になったテキストのレビュー/
\私の3ヶ月の学習履歴/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
いいなと思ったら応援しよう!
