Cookie(クッキー)とは何か? 仕組み、種類、セキュリティ属性まで徹底解説

IT用語
2026.02.06

Webサイトの運用や開発において、避けて通れない技術要素が「Cookie(クッキー)」です。 「ログイン状態を保持する仕組み」として広く知られていますが、実務レベルではそのセッション管理の構造や、セキュリティを守るための各種属性、プライバシー保護の動向まで正確に把握しておく必要があります。

また、基本情報技術者(FE)や応用情報技術者(AP)の試験においても、セキュリティやWebプロトコルの理解を問う頻出テーマです。今回は、Cookieの基礎から実務上の注意点までを網羅的に解説します。

Cookieは「Webサイトが発行する識別データ」

Cookieとは、WebサーバーがWebブラウザを通じて、ユーザーの端末(PCやスマートフォン)に一時的に保存させる小さなテキストファイルのことです。

Web通信の標準であるHTTP/HTTPSプロトコルは、本来「ステートレス(状態を保持しない)」な仕組みです。そのため、ページを移動するたびにサーバーは「先ほどと同じユーザーかどうか」を判別できません。この制約を補完し、通信に連続性(ステートフルな状態)を持たせるためにCookieが利用されます。

  • 技術的定義: RFC 6265で規定される仕組み。サーバーが Set-Cookie ヘッダーを送ることでブラウザに保存を命じ、ブラウザは以降のアクセス時に Cookie ヘッダーとして自動的にサーバーへ送信します。
  • 実務での例え: 受付で渡される「番号札」や、会員制施設の「入館証」のような役割を果たします。

実務におけるCookieの主要な用途

Cookieは主に以下の3つの目的で利用されます。システムの動作不良を調査する際などは、どの用途に問題があるのかを切り分けることが重要です。

① セッション管理

最も一般的な用途です。ユーザーがログインに成功すると、サーバーは「セッションID」を発行し、それをCookieとしてブラウザに保存させます。以降、ブラウザがこのIDを提示し続けることで、サーバーはログイン済みであることを認識し、全ページでログイン状態が維持されます。

② パーソナライズ(設定保持)

ユーザーごとのカスタマイズ情報を記憶します。例えば、ショッピングサイトの「カートに入れた商品」、サイトの言語設定、ダークモードの選択状態など、「前回の操作状態」を復元するために使用されます。

③ トラッキング(行動追跡)

ユーザーがサイト内でどのページを閲覧し、どのような経路で流入したかといった行動履歴を記録します。主にアクセス解析や広告配信の最適化に利用されます。

実務スキル:ブラウザでのCookie確認手順

開発や保守の現場では、Cookieが正しく発行・送信されているかを直接確認するスキルが求められます。Google Chromeの「デベロッパーツール」を用いた確認手順を以下に示します。

  1. 確認対象のページで F12キー(または右クリック > 検証)を押し、デベロッパーツールを開く。
  2. 上部タブの 「Application(アプリケーション)」 を選択。
  3. 左側メニューの「Storage」内にある 「Cookies」 を展開し、該当するドメインを選択。
  4. 右側のパネルに、保存されているCookieの名前(Name)、値(Value)、ドメイン、有効期限などが一覧表示されます。

例えば、ログインが勝手に切れてしまうような不具合がある場合、ここに有効期限(Expires)が正しく設定されているかを確認するといった調査が行われます。

試験(FE/AP)に頻出する重要キーワード

資格試験においても、Cookieの仕様やセキュリティに関する知識は必須です。特に以下の用語は確実に押さえておきましょう。

ファーストパーティ vs サードパーティ

  • ファーストパーティCookie: 訪問中のサイト(ドメイン)が直接発行するもの。利便性向上に直結します。
  • サードパーティCookie: 広告配信業者など、訪問中のサイトとは異なるドメインが発行するもの。クロスサイトトラッキング(サイトをまたいだ追跡)に使用されますが、近年はプライバシー保護の観点からブラウザ側での制限が強化されています。

セキュリティを強化する「属性」

Cookieには、脆弱性をカバーするための「属性」を設定できます。

  • HttpOnly属性: JavaScriptによるCookieの読み取りを禁止します。これにより、クロスサイトスクリプティング(XSS)によって悪意のあるスクリプトにセッションIDを盗まれるリスクを大幅に低減できます。
  • Secure属性: HTTPSによる暗号化通信が行われている場合のみ、Cookieを送信するよう制限します。フリーWi-Fi環境下などでの盗聴リスクを回避します。
  • SameSite属性: クロスサイトリクエストフォージェリ(CSRF)対策として、他サイトからのリクエスト時にCookieを送信するかどうかを制御します。

セキュリティリスクと運用の注意点

Cookieは利便性を高める一方で、適切に扱わなければ重大なセキュリティホールになります。

  • セッションハイジャック 盗まれたセッションIDを悪用し、攻撃者が本人になりすましてシステムを操作する攻撃です。
  • Cookieへの直接保存の禁止: パスワードや個人情報をCookie内に直接保存してはいけません。保存するのはあくまで「一時的な識別子(セッションID)」に留め、実データはサーバー側のデータベースで管理するのが基本原則です。

よくある混同:キャッシュとの違い

Cookieと並んでよく耳にする「キャッシュ」ですが、その目的は明確に異なります。

  • Cookie: 「誰がアクセスしているか」という 個人の識別・状態管理 が目的。
  • キャッシュ 「同じデータを二度ダウンロードしない」という表示の高速化・負荷軽減 が目的。

システムトラブル時に「キャッシュとCookieをクリアする」という操作は、いわばブラウザ側に残った古い「記憶」と「データ」を一度リセットし、サーバーと最新の状態でやり取りし直すことを意味します。

まとめ

Cookieは、現代のWebアプリケーションを支える基盤技術の一つです。 単なる「自動ログインの仕組み」として捉えるのではなく、HttpOnly属性やSecure属性といったセキュリティ仕様、そしてデベロッパーツールでの確認方法まで含めて理解することで、エンジニアとしての実務能力と試験対策の両面を強化できます。

次回は、今回も比較対象として登場した、Webサイトのパフォーマンス向上に欠かせない「キャッシュ」の仕組みについて詳しく解説します。

コメント