平成22年度 秋期 ITパスポート試験 問59 解説 クッキーの性質と管理
クッキー(cookie)に関する記述 a〜c のうち,適切なものだけをすべて挙げたものはどれか。 a Web サイトを前回閲覧した際に入力した ID やパスワードなどは,別の PC を使用して閲覧する場合でもクッキーで引き継がれるので再入力が要らない。 b インターネットカフェなどで一時的に PC を借用して Web サイトを閲覧したときは,閲覧が終わったらクッキーを消去すべきである。 c クッキーに個人情報が保存されている場合,クロスサイトスクリプティングなどで,その個人情報が盗まれることがある。
- ア a, b
- イ a, b, c
- ウ a, c
- エ b, c ✓ 正答
解説
この問題は、クッキーという仕組みが「どの場所に保存されるものなのか」という基本特性を理解しているかが鍵となります。
クッキーの保存場所を知ればaは誤りとわかる
クッキーとは、Webサイトにアクセスした際、そのサイトからユーザーのブラウザ(PCやスマートフォン)に一時的に保存される小さなテキストファイルのことです。
この「ブラウザ側に保存される」という点が非常に重要です。aの選択肢では、別のPCを使ってもIDやパスワードが引き継がれるとありますが、これは誤りです。クッキーはあくまで「その端末内のブラウザ」に保存されているため、別の端末にログインしても、その端末の中に元のクッキーが存在することはありません。したがって、aは不適切です。
共用端末におけるセキュリティの鉄則
bについては、インターネットカフェのような共用PCを利用する場面を想定しています。クッキーには、サイトへのログイン状態を保持する情報などが含まれることがあります。もし利用後にクッキーを消去せずに席を立つと、次にそのPCを利用した他人が同じブラウザを開いたとき、自分がログインした状態のままWebサイトが表示されてしまうリスクがあります。そのため、共用PCを利用した際は、セッションの終了とともにクッキーや閲覧履歴を消去するのがセキュリティ上の鉄則です。したがって、bは適切です。
脆弱性を突く攻撃とクッキーのリスク
cについては、クロスサイトスクリプティング(XSS)という攻撃手法に関連します。XSSは、悪意のあるスクリプトをWebサイトに埋め込み、閲覧者のブラウザ上で実行させる攻撃です。このスクリプトによって、ブラウザに保存されているクッキー情報が外部に送信されてしまい、セッションハイジャックなどの被害に遭う可能性があります。クッキーに個人情報が含まれている場合、それらが盗まれるリスクは当然高まります。したがって、cは適切です。
以上の検討から、適切であるbとcを組み合わせた選択肢「エ」が正解となります。
知識を実務と安全なインターネット利用に活かす
この問題は、単なる知識の暗記を問うだけでなく、インターネットを利用する際の「自分自身を守るためのリテラシー」を問うています。
例えば、Webサイトの「ログインしたままにする」というチェックボックスは、まさにクッキーを活用した仕組みです。便利さの裏側には、クッキーに保存された情報が端末に残るという代償があります。個人所有のPCであれば利便性が優先されますが、公共の場所や仕事で共有しているPCでは「情報を残さない」という判断が求められます。
また、開発側の視点では、クッキーに重要な個人情報をそのまま保持させることの危険性を理解する必要があります。昨今では、セキュアな設計として「クッキーには識別子のみを保存し、個人情報はサーバー側で管理する」「通信の暗号化(HTTPS)を行う」といった対策が標準的です。
この問題を通じて、Webの利便性を支える仕組みと、それに伴うセキュリティリスクをセットで理解しておきましょう。
参考リンク
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
