IT用語
(
ひよぺん
)
Home
コラム
用語集
About
検索
Ctrl K
Esc
見つかりませんでした
調べたいIT用語を入力してね
HSTS
えいちえすてぃーえす
セキュリティ
用語集
› 🔒 セキュリティ › HSTS
【えいちえすてぃーえす】
HSTS とは?
最終更新:
2026年3月25日
💡 「このサイトには必ずHTTPSでアクセスして」とブラウザに覚えさせる仕組み
📌 このページのポイント
Strict-Transport-Securityヘッダをサーバが返すことで、
ブラウザ
に
HTTPS
接続を強制する
max-ageで有効期間を指定し、その間は
ブラウザ
が自動的に
HTTP
を
HTTPS
に変換する
includeSubDomainsで
サブドメイン
にも適用、
preload
で
ブラウザ
に事前登録できる
SSL
ストリッピング攻撃(
HTTPS
を
HTTP
に落とす
中間者攻撃
)への有効な対策
HSTS(HTTP Strict Transport Security)の仕組み
HSTSなし(危険)
ブラウザ
http://
平文で通信
盗聴リスク
リダイレクト
https://
HSTSあり(安全)
ブラウザ
HSTS記憶済み
自動でhttps://に変換
最初からHTTPS
安全な通信
レスポンスヘッダー例:
Strict-Transport-Security: max-age=31536000; includeSubDomains
HSTS:ブラウザにHTTPS接続を強制する仕組み
ひよこ
HTTPS
に
リダイレクト
するだけじゃダメなの?
ペンギン先生
HTTP
から
HTTPS
への
リダイレクト
は大事だけど、最初の1回は
HTTP
でアクセスするよね。この最初の
HTTP
通信が
中間者攻撃
の隙になるんだ。HSTSを設定すると、2回目以降は
ブラウザ
が最初から
HTTPS
でアクセスするようになるから、
HTTP
の通信自体が発生しなくなるよ。
ひよこ
SSL
ストリッピング攻撃って何?
ペンギン先生
中間者がユーザーとサーバの間に入って、ユーザーには
HTTP
で通信しつつ、サーバには
HTTPS
で通信する攻撃だよ。ユーザーは
HTTP
で通信していることに気づかず、通信内容が盗聴されてしまうんだ。HSTSがあれば、
ブラウザ
が
HTTP
通信を拒否するからこの攻撃を防げるよ。
ひよこ
preload
って何?
ペンギン先生
HSTSは最初のアクセスでヘッダを受け取る必要があるよね。
preload
を設定してHSTS Preload Listに登録すると、
ブラウザ
に最初から
HTTPS
必須のサイトとして組み込まれるんだ。初回アクセスから
HTTPS
強制になるから、最も安全な方法だよ。
ひよこ
HSTSの設定で注意することは?
ペンギン先生
max-ageの値を短くし過ぎないこと(最低でも1年=31536000秒が推奨)、
HTTPS
の証明書管理を確実にすること。HSTSを設定したのに証明書が切れると、
ブラウザ
が
HTTPS
を強制するけど接続できないからサイトに全くアクセスできなくなるんだ。
preload
の登録を解除するのにも時間がかかるから、慎重に設定しようね。
まとめ:ざっくりこれだけ覚えればOK!
「HSTS」って出てきたら「
ブラウザ
に
HTTPS
接続を強制するセキュリティヘッダだな」と思えればだいたいOK!
📖 おまけ:英語の意味
「HTTP Strict Transport Security」
= HTTP厳格トランスポートセキュリティ
💬 「厳格に(Strict)」安全な通信(Transport Security)を使うよう強制する仕組みだよ
🔗 あわせて読みたい
CSP(コンテンツセキュリティポリシー) とは?
暗号化 とは?
中間者攻撃(MITM) とは?
シェアする
X
URLコピー
← 用語集にもどる