SameSite属性(セイムサイトアツトリブート)とは | 意味や読み方など丁寧でわかりやすい用語解説

SameSite属性は、Webアプリケーションのセキュリティを向上させるための重要なCookie属性の一つである。これは、ブラウザがCookieをどのリクエストに付与して送信するかを制御するメカニズムを提供し、特にクロスサイトリクエストフォージェリ（CSRF）と呼ばれる種類の攻撃からユーザーを保護することを主な目的としている。HTTPレスポンスヘッダのSet-Cookieフィールドで指定され、ウェブサーバーがブラウザにCookieを送信する際に設定する。

この属性の基本的な役割は、Cookieがファーストパーティコンテキストまたはサードパーティコンテキストのどちらで送信されるべきかを指定することにある。ファーストパーティコンテキストとは、ユーザーが現在アクセスしているウェブサイトのドメインと、Cookieが発行されたドメインが一致する状況を指す。例えば、example.comにアクセスしていて、example.comが発行したCookieが送信される場合がこれにあたる。一方、サードパーティコンテキストとは、ユーザーがアクセスしているウェブサイトのドメインと、Cookieが発行されたドメインが異なる状況を指す。例えば、example.comにアクセスしているが、そのページ内に埋め込まれたanothersite.comのリソースがanothersite.comのCookieを要求する場合などである。ここでいう「サイト」は、一般的にドメイン名（例：example.com）とスキーム（httpまたはhttps）の組み合わせで定義され、特にトップレベルドメイン（TLD）とそれ以下のサブドメイン（例：www.example.comとblog.example.comは同じサイトと見なされることが多いが、厳密な定義はブラウザによって異なる場合がある）に基づいて判断される。

SameSite属性には主に三つの値がある。Strict、Lax、そしてNoneである。これらの値によって、ブラウザがCookieを送信する際の挙動が厳格に制御される。

まず、SameSite=Strictは最も厳格な設定である。この設定がされたCookieは、現在のリクエストがCookieを発行したサイトと同じサイトからのものである（ファーストパーティコンテキスト）場合にのみブラウザによって送信される。もしユーザーが別のサイトからリンクをクリックして移動したり、フォームを送信して移動したりするなど、クロスサイトのリクエストを通じて元のサイトにアクセスしようとした場合、そのCookieはブラウザによって送信されない。これにより、CSRF攻撃に対して非常に強力な保護が提供される。例えば、悪意のあるサイトがユーザーを騙して正規のサイトへのリクエストを送信させようとしても、Strict設定のCookieはそのリクエストには付与されないため、ユーザーのセッションは保護される。しかし、この厳格さはユーザーエクスペリエンスに影響を与える可能性がある。例えば、シングルサインオン（SSO）システムや、外部の認証プロバイダを介したログインフローにおいて、認証後に元のサイトへリダイレクトされた際に、セッションCookieが送信されず、ユーザーが再度ログインを求められるといった問題が発生する場合がある。

次に、SameSite=LaxはStrictよりも緩やかな設定である。現代の主要なブラウザでは、SameSite属性が明示的に指定されていないCookieに対して、このLaxがデフォルト値として扱われることが多い。この設定のCookieは、ファーストパーティコンテキストでのリクエストにはもちろん送信されるが、特定の「安全な」クロスサイトリクエストでも送信が許可される。具体的には、GETメソッドを使用するトップレベルのナビゲーション（例：<a>タグによるリンククリック、<form method="GET">によるフォーム送信で新しいページに遷移する場合）の場合にはCookieが送信される。しかし、それ以外のクロスサイトリクエスト、例えばPOSTメソッドのフォーム送信、<img>タグや<iframe>タグを使った埋め込みコンテンツからのリクエスト、XMLHttpRequestやFetch APIを使ったJavaScriptからのリクエストなどでは、Cookieは送信されない。このLax設定は、CSRF保護とユーザーエクスペリエンスのバランスを取ることを目的としている。多くのCSRF攻撃はPOSTリクエストを利用するため、Lax設定はこれらの攻撃からユーザーを保護しつつ、ユーザーが外部サイトからのリンクを通じて簡単にアクセスできるような一般的なWebの利用シナリオを阻害しないように設計されている。

最後に、SameSite=Noneは、Cookieをすべてのコンテキストで送信することを許可する設定である。つまり、クロスサイトのリクエストであってもCookieが送信される。これは、StrictやLaxでは実現できないクロスサイトでの機能、例えばソーシャルメディアの埋め込みウィジェット、サードパーティの広告、または異なるドメイン間で共有される認証情報といったケースで必要となる。しかし、SameSite=Noneを設定する場合には、必ずSecure属性も同時に指定しなければならない。 Secure属性は、CookieがHTTPS接続を介してのみ送信されることを強制するものであり、これによりCookieの盗聴や改ざんのリスクを軽減する。もしSecure属性が指定されていない場合、多くのブラウザはSameSite=Noneの設定を無視するか、Cookieを拒否する。これは、SameSite=NoneがCSRF攻撃に対して保護を提供しないため、少なくとも通信路の安全性を確保することが必須であるというセキュリティ上の要請に基づいている。SameSite=Noneを使用する場合、開発者はCSRF攻撃から保護するために、CSRFトークンの検証など、別途追加のセキュリティ対策を実装する必要がある。

SameSite属性は、ウェブアプリケーションのセキュリティモデルにおいて不可欠な要素となっている。ウェブサーバーは、アプリケーションの要件とセキュリティリスクを考慮して、適切なSameSite属性の値を設定することが求められる。特に、ユーザーのセッション管理や認証に関わる重要なCookieには、StrictまたはLaxを適用することが強く推奨される。これにより、開発者はCSRF攻撃の脅威を効果的に軽減し、より安全なWeb環境をユーザーに提供できる。