プロジェクトマネージャ 試験情報＆徹底解説

IPAで公開されているセキュアプログラミング講座では、セッション乗っ取りの機会を低減させるための予防策として「セッションタイムアウト」と「明示的なログアウト機能」を挙げています。

セッションタイムアウト

Webアプリケーションにはセッションタイムアウト機能を設ける。ユーザーはログアウト操作をすることを忘れてしまうことがある。

明示的なログアウトの機能

Webアプリケーションには明示的なログアウトの機能を設ける。できれば、各ページでログアウト操作が行えると良い。

そして利用者がログアウトを要求した場面では、Webアプリケーションは次のような操作を行うべきとしています。

• Webサーバ側でセッションIDを確実に無効にする。その後同じセッションIDがクライアントから送られてきても受け付けない
• Webブラウザ側のセッションIDを消去する

一般的なWebページのセッション管理方式では、WebブラウザとWebサーバでセッションIDを共有することで同じ利用者かどうかを判断しています。セッションIDさえ一致すれば、第三者からのアクセスを正規のアクセスとして判断してしまう可能性があるということですから、不要なセッションIDを有効なままにしておくのはセキュリティ上のリスクになります。
セッションIDを必要とするのはログイン中だけですから、ログアウトが要求された（セッションIDが不要になった）時点でWebサーバ側（可能であればWebブラウザも）のセッションIDを無効化し、それ以降は無効化されたセッションIDを拒否することで、セッション乗っ取りの機会を最小限に減らせます。

したがって適切な処理は「イ」です。