情報セキュリティ講座(29) クッキー(Cookie)

Webアプリケーションでクライアントとサーバが通信をする際に使用される情報です。

HTTPのレスポンスヘッダのSet-Cookieに、サーバがクッキーの値をセットします。次にクライアントが、リクエストを送るときにクッキーを返すことで、サーバは通信が連続していると判断できます。

Web通信をする際に、クライアントとサーバの一連のやり取りが行われている間、通信が途切れなく繋がっているとは限りません。例えば、入力に何時間もかかる場合、入力の最中に途中で移動して接続が切れてしまうことがあります。それでも登録するタイミングで接続すれば、入力完了できたりします。これはクッキーの仕組みがあるからです。

Web発注するときの買い物カゴも、クッキーの値の有効期限を極端に長くすることで、数日前の買い物の続きができたりします。

クッキーは便利な仕組みですが、クライアントにサーバ情報が残るという意味で、情報セキュリティ上はリスクがあります。

クッキーの属性をSecurityとすることで、セキュアなプロトコルであるHTTPSに限定することもできますが、クッキーを介したサイバー攻撃があることは覚えておいて良いと思います。

投稿者プロフィール

小笠原 裕
小笠原 裕中小企業診断士 行政書士
バラの咲く街、八千代市緑が丘で、コンサルティング事務所を運営しています。