セッション

2つのホスト間で行なわれる通信において、その開始から終了までの一連の処理をセッションといいます。狭義には、TCPによるコネクションが確立してから解放されるまでが1つのセッションです。広義では、Webサイトのユーザーがログインしてからログアウトするまでの一連の行動もセッションと呼ばれます。

Webサイト向けのプロトコルであるHTTPには、本来セッションの概念がありません。例えば、ショッピングサイトで商品をカートに入れたあと購入ボタンで次のページに進むと、ページ遷移の前後でユーザーを識別できなくなってしまうのです。そこで、セッションを必要とするWebサイトはログイン時に「セッションID」を発効します。これにより、セッションIDからユーザーを識別し、一連の行動を紐付けることが可能になるのです。

WebサイトでセッションIDを用いる際には、「セッションハイジャック」への対策が欠かせません。セッションIDが盗聴（または推測）されると、第三者がユーザーになりすまして不正に処理を継続できてしまうためです。これは、ユーザーIDやパスワードと同様に、セッションIDも厳重なセキュリティのもとで管理しなければならないことを意味しています。