Secureクッキー徹底解説: HttpOnly・SameSite・プレフィックス活用で実現する安全なセッション管理とHTTPS対策
エバープレイ編集部概要 — Secureクッキーとは何か
「Secure」属性を持つクッキー(Secureクッキー)は、ブラウザがそのクッキーをネットワーク上で送信する際に、安全なチャネル(一般的には HTTPS)でのみ送信することを保証するための属性です。つまり、HTTP(平文)での送信を防ぎ、ネットワーク上での盗聴(パケットスニッフィング)によるセッション乗っ取りなどのリスクを下げます。ただし「Secure」はクッキーの中身を暗号化するわけではなく、あくまで送信経路に関する制約です。
技術的な振る舞いとヘッダーの例
サーバーがクッキーを設定する際の典型的なレスポンスヘッダー例:
Set-Cookie: sessionId=abc123; Secure; HttpOnly; SameSite=Lax; Path=/; Max-Age=3600; Domain=example.com
- Secure: この属性が付与されたクッキーは、ブラウザが安全な接続(通常は HTTPS)を使っているときにのみリクエスト時に送信されます。
- HttpOnly: JavaScript の document.cookie からの読み取りを禁止し、XSS によるクッキー盗難リスクを低減します(ただし XSS 自体の発生を防ぐものではありません)。
- SameSite: クロスサイト送信の制御に使われ、CSRF の軽減に寄与します(SameSite=None を使う場合は Secure が必須とするブラウザ実装があります)。
Secure 属性の具体的効果と限界
- 効果
- HTTP 接続(例:http://site.example)ではクッキーが送信されないため、平文での漏洩を防ぐ。
- HTTPS を用いた通信経路では TLS によって通信が保護されるため、途中傍受から守られる。
- 限界
- Secure はクッキー値自体を暗号化しない。ブラウザ内・サーバー内での保存は平文であり、適切な保護(サーバー側の暗号化やアクセス制御)が必要。
- XSS によりページ内スクリプトが実行されると、HttpOnly を付けていない Secure クッキーは JavaScript から読み取れるため盗まれる可能性がある。
- 攻撃者が TLS を破らない限り(正当な証明書を奪取する、あるいはユーザーがフィッシングで偽証明書を受け入れる等のケースを除く)Secure クッキーの保護は有効だが、TLS 自体の安全性に依存する。
SameSite との関係
SameSite 属性は、クッキーがクロスサイトリクエストに対して送信されるかを制御します。モダンブラウザの扱いとして、SameSite=None を明示するクッキーは Secure 属性を伴うことを要求する実装が多数あります(Chrome のポリシー変更など)。そのため、サードパーティコンテクストでクッキーを使用する場合は、SameSite=None; Secure をセットする必要があるケースが増えています。
クッキーの設定方法(サーバー側・クライアント側)
- サーバー側(HTTP レスポンスヘッダー)
- 例:
Set-Cookie: id=xyz; Secure; HttpOnly; SameSite=Strict; Path=/; Max-Age=3600 - 実務ではセッション用のクッキーには Secure と HttpOnly を必ず付与するのが基本。
- 例:
- クライアント側(JavaScript)
- document.cookie で Secure を含めて設定することは可能だが、ページが HTTPS で配信されていない場合ブラウザは Secure 属性を無視するか設定を拒否する。
- ただし、HttpOnly を付与したクッキーは JavaScript からは読み書きできない。
Cookie プレフィックス(__Secure- と __Host-)
セキュリティの観点から、いくつかのクッキー名プレフィックス規約が採用されています。主なルール:
- __Secure-name: このプレフィックスを使う場合、クッキーは Secure 属性を持つ必要がある(ただし Domain 設定は許容)。
- __Host-name: より厳格。次の条件すべてを満たす必要がある — 名前が __Host- で始まる、Secure 属性を持つ、Path=/ が設定されている、Domain 属性が設定されていない(つまり発行元ホストに限定)。
- これらを使うことで、開発者はクッキーが安全に送信されるという前提を名前レベルで保証できるため、サーバー間連携やセッションの安全性が向上します。
推奨設定(セキュアなセッション管理のためのガイドライン)
- 常に HTTPS を使用し、クッキーに Secure を付与する。
- セッション系クッキーには HttpOnly を付与して JavaScript からの直接アクセスを防ぐ。
- 可能なら SameSite=Lax(あるいは業務要件次第で Strict)を設定して CSRF リスクを抑える。外部サードパーティ利用でない限り SameSite=None は避ける。
- 短い寿命(短い有効期限)を設定し、重要な権限変更時にはセッション ID を再生成する。
- __Host- プレフィックスの利用を検討する(ドメイン横断の誤設定を防ぐ)。
- HSTS(HTTP Strict Transport Security)を導入して HTTP へのダウングレード攻撃を防ぐ。
- サーバーはクッキーの内容を信頼せず、サーバー側でセッション検証やトークンの有効性チェックを行う。
よくある誤解
- 「Secure にするとクッキーの中身が暗号化される」 — これは誤り。Secure は送信経路の制限を行うだけで、保存される値は暗号化されない(サーバー側で機密情報を暗号化保存する必要がある)。
- 「Secure を付ければ XSS から完全に守れる」 — いいえ。XSS によって JavaScript が実行されると、HttpOnly が付いていないクッキーは盗まれ得る。XSS 対策(入力のエスケープ、Content Security Policy 等)も必須。
- 「localhost では Secure が不要」 — 開発中は localhost 上で HTTP を使うことがあるが、ブラウザによっては localhost でも Secure 要求が厳しくなる場合がある。可能ならローカルでも HTTPS を使うことを推奨。
診断とテスト方法
- ブラウザ開発者ツール(Application/Storage タブ)でクッキー属性(Secure、HttpOnly、SameSite、Path、Domain、Expires/Max-Age)を確認する。
- レスポンスヘッダーの Set-Cookie を確認して期待通りの属性が付与されているかチェックする。
- CSRF テストや XSS テスト、ネットワーク傍受(HTTPS を破らない範囲で)のシナリオで想定どおり送信制御が働いているかを確認する。
- 自動セキュリティツールや OWASP のガイドラインに従ったレビューを実施する。
実務上の注意点
- 第三者(サードパーティ)スクリプトや広告が不要にクッキーにアクセスしないよう、外部リソースの管理を厳格にする。
- サービス間の統合で SameSite 制約が影響することがあるため、外部 API やサブドメインを跨ぐ認証フローは設計段階で検討する。
- 古いブラウザとの互換性を考慮すると、SameSite のデフォルト挙動の差異に注意する(多くのモダンブラウザはデフォルトで SameSite=Lax 相当を適用)。
まとめ
Secure クッキーは、クッキーを安全な接続(主に HTTPS)でのみ送信するという重要なセキュリティ機能です。単体では万能ではないため、HttpOnly、SameSite、短い有効期限、HSTS、サーバー側のセッション管理強化、XSS・CSRF 対策と組み合わせることが重要です。また、__Host- や __Secure- といったプレフィックスを利用すると、設定ミスによるリスクを減らせます。実運用ではブラウザごとの挙動差にも注意し、テストと監査を欠かさないことが推奨されます。
参考文献
- RFC 6265 — HTTP State Management Mechanism
- MDN: Set-Cookie
- MDN: Secure and HttpOnly cookies
- MDN: SameSite cookies
- OWASP: Session Management Cheat Sheet
- web.dev: SameSite cookies explained
- Chromium Blog: SameSite updates
投稿者プロフィール
