令和7年度科目A問8テクノロジ系

基本情報令和7年度科目A 問8：テクノロジ系に関する問題

HTTP とHTTPS を比較した場合において，HTTPS だけがもつ特徴を示したものはどれか。

acookie に保存されている情報を用いたセッション管理が可能である。
bID とパスワードによって利用者の認証を行うことが可能である。
cWeb ブラウザでキャッシュさせることによって通信量を減らすことが可能である。
d通信相手先サーバをサーバ証明書によって確認することが可能である。正答

正答：D通信相手先サーバをサーバ証明書によって確認することが可能である。

AI解説（初心者・標準・上級）

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは d です。

HTTP は普通のWeb通信、HTTPS は その通信に「鍵」をかけて安全にしたもの。URL の最初が `https://` のサイトは、ブラウザに「鍵マーク」が出ますよね。あの状態です。

HTTPS だけの特徴は「このサイトが本物かどうかを、サーバ証明書で確認できる」こと。証明書は「身分証明書」のようなもので、信頼できる発行元（認証局）が「このサーバは確かに本物の Amazon ですよ」と保証してくれます。

👉 覚え方：S は Secure（安全）の S。鍵マーク＝身分証付き＋暗号化。

ほかの選択肢：a Cookie でのセッション管理／b ID パスワード認証／c キャッシュ、はぜんぶ HTTP でもできることです。HTTPS だけの特徴とは言えません。

標準試験対策の基準レベル

なぜこれが正解か

正解は d。HTTPS は HTTP に TLS（旧 SSL） による暗号化を組み合わせたプロトコル。TLS は3つのセキュリティ機能を提供：

1. 暗号化（通信内容の盗聴防止）

2. 完全性（改ざん検知）

3. サーバ認証（サーバ証明書で通信相手が本物か確認）

選択肢 d の「サーバ証明書による相手先確認」はまさにこの3番目に該当し、HTTP には存在しない HTTPS 固有の特徴。

各選択肢の解説

a：Cookie によるセッション管理は HTTP/HTTPS どちらでも実装可能（HTTP の状態管理は Cookie＋セッション ID が基本）。
b：BASIC 認証・FORM 認証など ID/パスワード認証は HTTP でも可能（ただし HTTP では平文で流れて危険）。
c：キャッシュ制御も `Cache-Control` ヘッダで HTTP/HTTPS どちらでも可能。
d：サーバ証明書（X.509 形式）の検証は TLS ハンドシェイクの中で行われ、HTTPS 固有。正解。

覚え方・ひっかけ注意

HTTPS = HTTP + TLS = 暗号化＋完全性＋サーバ認証。クライアント認証（クライアント証明書）はオプションだが、サーバ認証は必須。a/b/c は「HTTPS でもできる」が「HTTP でもできる」ので HTTPS 固有ではない。設問の「HTTPS だけがもつ特徴」を見落とすと b（パスワードを安全に送れる）を選びがちなので注意。

上級誤答論破・背景理論まで深掘り

理論的背景

TLS ハンドシェイク（TLS 1.3 では1-RTT）の流れ：

1. ClientHello（対応暗号スイート・乱数送信）

2. ServerHello（暗号スイート決定・サーバ証明書送付）

3. クライアントが証明書チェーン検証：ルート CA → 中間 CA → サーバ証明書の署名を OS／ブラウザ内蔵のトラストストアと照合

4. 鍵交換（ECDHE 等の楕円曲線 Diffie-Hellman で前方秘匿性 PFS を確保）

5. セッション鍵で対称暗号通信開始（AES-GCM 等）

X.509 証明書には公開鍵・所有者情報・有効期限・発行 CA の電子署名が含まれ、PKI（公開鍵基盤）の信頼の連鎖で正当性を保証。

実務での使われ方

Let's Encrypt：無料・自動更新の証明書発行サービス（ACME プロトコル）。HTTPS 化を爆発的に普及させた。
証明書の種類：DV（ドメイン認証）／OV（組織認証）／EV（拡張認証・かつての緑バー）。商用 CA：DigiCert、GlobalSign、セコムトラスト等。
HSTS（HTTP Strict Transport Security）：HTTP アクセスを強制的に HTTPS にリダイレクトさせるヘッダ。プリロードリストでブラウザ内蔵化。
証明書の透明性（CT, Certificate Transparency）：不正発行検知のため全証明書を公開ログに記録。
CRL／OCSP／OCSP Stapling：失効確認の仕組み。OCSP Stapling はサーバ側で失効情報を添付しクライアントの負荷を削減。

試験での位置づけ

科目A「セキュリティ」の必出領域。基本情報・高度試験では：

TLS のバージョン（1.2 と 1.3 の差：ハンドシェイク短縮、レガシー暗号削除）
暗号スイート（鍵交換＋認証＋対称暗号＋ハッシュの組み合わせ）
中間者攻撃（MITM）対策：証明書ピンニング、HPKP（非推奨）、HSTS
公開鍵基盤（PKI）、認証局（CA）、登録局（RA）、リポジトリの役割分担
mTLS（相互 TLS、ゼロトラストの構成要素）

まで問われる。

選択肢の発展補足

HTTPS で守られるのは アプリ層の通信内容のみ。SNI（Server Name Indication）はホスト名が平文で漏れる（ESNI/ECH で対策中）。DNS 通信も別途 DoH/DoT で暗号化が必要。
Cookie のセキュリティ属性：`Secure`（HTTPS のみ送信）・`HttpOnly`（JavaScript から不可視）・`SameSite`（CSRF 対策）。HTTPS と組み合わせて初めて堅牢。
HTTP/2・HTTP/3 は事実上 HTTPS 前提（HTTP/3 は QUIC＋TLS 1.3 統合）。
関連攻撃：BEAST、POODLE、Heartbleed、Logjam 等の歴史的脆弱性は TLS バージョン淘汰の理由になった。

出典・引用について

出典：IPA（情報処理推進機構）公式基本情報技術者試験令和7年度科目A 問8／公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。