Cookie(クッキー)とは:仕組み・種類・セキュリティ対策と最新動向(SameSite・GDPR対応)
エバープレイ編集部cookieとは — 基礎から最新動向まで
「cookie(クッキー)」は、ウェブサイトと利用者のブラウザ間で情報をやり取り・保存するための仕組みです。技術的にはサーバーがHTTPレスポンスのヘッダー(Set-Cookie)でブラウザに名前=値のペアと属性を渡し、以降の同一サイトへのリクエスト時にブラウザがその情報を送信(Cookieヘッダー)します。主な用途はセッション管理、認証、ユーザー設定の保持、および広告や解析のためのトラッキングです。
仕組み(HTTPレベルの流れ)
基本的な流れは次の通りです。
- サーバーがレスポンスヘッダーで Set-Cookie: name=value; 属性 を送る。
- ブラウザは受け取ったcookieを保存(属性に応じてメモリか永続保存)する。
- 次回以降、そのcookieが条件(ドメイン、パス、Secure、SameSiteなど)に合致するリクエストに対して自動的に Cookie ヘッダーとして送信される。
代表的な属性と意味
- Domain: cookieがどのドメインへ送信されるか(サブドメインを含める/含めない)。
- Path: 送信対象となるURLパスのスコープ。
- Expires / Max-Age: cookieの有効期限。指定がなければセッションcookie(ブラウザ終了で消える)。
- Secure: HTTPS接続時のみ送信される。
- HttpOnly: JavaScriptからのアクセスを禁止し、XSSによる窃取を防ぐ。
- SameSite: クロスサイトリクエスト時のcookie送信を制御(Strict / Lax / None)。現在ManyブラウザでデフォルトはLaxに近く、SameSite=Noneを使う場合はSecureが必須。
cookieの種類
- セッションcookie:ブラウザのセッション中のみ有効(通常はメモリ保存)。ログイン状態の管理など。
- 永続cookie(Persistent):Expires/Max-Ageが設定されると永続的に保存され、期間中は再利用される。言語設定や「ログインを保持」などに使われる。
- ファーストパーティcookie:ユーザーが見ているサイト(ドメイン)によってセットされるcookie。
- サードパーティcookie:表示しているページとは異なるドメイン(広告ネットワーク、解析サービスなど)がセットするcookie。クロスサイト追跡に利用されやすい。
サイズや保存上限(ブラウザ依存)
RFCが厳密に規定するわけではありませんが、実装上の制限があり、多くのブラウザは1 cookie あたり約4,096バイト(およそ4KB)程度を上限として扱います。またドメインごとのcookie数や総容量にも上限があり、具体値はブラウザによって異なります。そのため、cookieは小さなデータ(トークンやフラグ等)を保存する用途に限定するのが安全です。
セキュリティとプライバシーの懸念
- セッションハイジャック:ログインセッションの識別子(セッションID)を盗まれると不正アクセスにつながる。HttpOnlyやSecure、適切な有効期限設定でリスクを下げる。
- XSS(クロスサイトスクリプティング):JavaScript経由でcookieが窃取される。HttpOnly属性の活用や出力の適切なエスケープが有効。
- CSRF(クロスサイトリクエストフォージェリ):ユーザーが意図しないリクエストにcookieが自動送信されることで被害が発生する。SameSite属性の利用やCSRFトークンの導入が対策になる。
- トラッキングとプライバシー:サードパーティcookieはユーザーのサイト横断追跡に使われ、プライバシー上の問題を引き起こす。多くのブラウザや規制がこれに対応している。
法規制と利用上の注意
EUのGDPRやePrivacy指令(Cookie指令)では、個人データを扱う場合やトラッキング目的のcookieについてユーザーの明示的な同意を求めることが多くのケースで要求されます。米国でも州ごとのプライバシー法(例:CCPA)があり、利用目的の明確化やオプトアウトに対応する必要があります。法人としては cookie の目的・第三者への共有・保存期間・取得方法を明示し、必要な同意管理を実装することが重要です。
サーバー・アプリケーション側での取り扱い(実践)
- セッションIDは長くランダムなトークンにし、サーバー側で有効性を管理(セッションストア)。
- トークンはHttpOnlyかつSecureで送信し、可能ならSameSiteを設定してクロスサイト送信を制限。
- 認証情報をcookieに平文で置かない。JWTなども盗難リスクがあるため、保護層を設ける。
- 必要以上に大きなデータをcookieに入れない。アプリケーション状態はサーバー側やlocalStorage等を用途に応じて使い分ける。
代替技術とトレンド
- localStorage / sessionStorage:フロントエンドで大きめのデータを保持できるが、HttpOnlyが使えないためXSSに弱い。
- ブラウザ単位の制限強化:SafariのITP、Firefoxの強化トラッキング防止、そしてGoogleのPrivacy Sandbox(Chromeでのサードパーティcookie段階的廃止と代替APIの検討)など、サードパーティcookieへの規制は進行中です。
- Fingerprinting:cookie封じても代替でトラッキングする試み(ブラウザフィンガープリント)があり、プライバシー対策は単一技術の制限だけでは不十分です。
デバッグと確認方法
- ブラウザのデベロッパーツール → Application / Storage タブで現在のcookieや属性を確認可能。
- ネットワークタブで Set-Cookie ヘッダーや Cookie ヘッダーの送受信を確認して、属性が期待通りに機能しているかチェックする。
実務でのベストプラクティス(まとめ)
- 最小権限の原則:cookieには必要最小限の情報のみを保存する。
- 必須属性の設定:認証系cookieは HttpOnly、Secure、SameSite(適切に)を設定する。
- 法令遵守:データ保護法に従い同意管理と利用目的の開示を行う。
- サードパーティ依存の見直し:追跡用途のcookieに依存しない設計・代替手段の検討。
- 定期的な監査:cookieと関連するセキュリティ設定やサードパーティスクリプトの挙動を監査する。
まとめ
cookieはウェブの利便性(ログイン維持やユーザー設定の永続化)に不可欠な技術ですが、同時にセキュリティやプライバシー上のリスクも抱えています。開発者は属性の正しい設定、不要データの保存を避けること、法令遵守、そしてブラウザ側の仕様変更(サードパーティcookie廃止など)に対応した設計が求められます。
参考文献
- MDN Web Docs — HTTP cookies(日本語)
- RFC 6265 — HTTP State Management Mechanism
- OWASP — Session Management Cheat Sheet
- GDPR(概説)
- ePrivacy Directive(Cookie指令)
- California Consumer Privacy Act (CCPA)
- Google Chrome — Privacy Sandbox
投稿者プロフィール
