ひとことで言うと、Cookie とは何ですか？

Cookie はウェブサイトがあなたのブラウザに保存する小さなテキストファイルで、通常は数百バイトです。ブラウザはその後のリクエストのたびに同じウェブサイトへ Cookie を送り返し、サイトがページの読み込みや訪問をまたいでログイン状態、言語設定、買い物カゴなどを記憶できるようにします。

Cookie は危険ですか？ウイルスですか？

いいえ。Cookie は受動的なテキスト記録であり、実行可能なプログラムではありません。ソフトをインストールしたり、ブラウザの Cookie ストア外のファイルを読んだり、自分でコードを実行したりはできません。Cookie のプライバシーリスクはマルウェアではなく追跡とセッション窃取にあります。サードパーティ Cookie はクロスサイト追跡を可能にし、盗まれたセッション Cookie はあなたがログイン中のサイトであなたになりすますことを攻撃者に許します。

ファーストパーティ Cookie とサードパーティ Cookie の違いは？

ファーストパーティ Cookie はアドレスバーにあるウェブサイト（あなたが訪れているサイト）が設定します。サードパーティ Cookie はそのページに埋め込まれた別ドメインのスクリプトや画像が設定します——通常は広告ネットワーク、分析サービス、ソーシャルウィジェットです。ブラウザはサードパーティ Cookie を段階的に制限しています。クロスサイト追跡の主要メカニズムだからです。

セッション Cookie と永続 Cookie の違いは？

セッション Cookie は Expires や Max-Age 属性を持たず、ブラウザのセッションが終わるとき（通常はブラウザを閉じるとき）に削除されます。永続 Cookie は未来の Expires 日付を持ち、その日付まで、手動で削除するまで、または自動クリーンアップツールが消すまで、ブラウザのセッションをまたいで存続します。

SameSite 属性は何をしますか？

SameSite はブラウザがクロスサイトリクエストで Cookie を送るかどうかを制御します。SameSite=Strict は同一サイトのリクエストでのみ送ることを意味します。SameSite=Lax（Chrome では 2020 年以降の現代の既定値）は同一サイトのリクエストに加えてトップレベルのクロスサイト GET ナビゲーションで送ります。SameSite=None はあらゆるクロスサイトリクエストで送り、Secure を要求します。SameSite は CSRF とクロスサイト Cookie 追跡に対するブラウザの主要防御です。

HttpOnly とは何で、なぜ重要ですか？

HttpOnly は Cookie をページ内で動く JavaScript から隠す Cookie フラグです。document.cookie は HttpOnly Cookie を読むことも変更することもできません。このフラグは XSS によるセッション Cookie 窃取に対するブラウザの主要防御です——攻撃者がページにスクリプトを注入しても、HttpOnly のセッション Cookie は読めません。

サードパーティ Cookie は廃止されつつありますか？

はい、段階的に。Safari と Firefox は既定でサードパーティ Cookie をブロックしています。Chrome は複数の廃止スケジュールを発表し、2024 年にはユーザー選択モデルへ落ち着き、広告ターゲティングと測定の代替案として Privacy Sandbox API を提案しています。CHIPS（Cookies Having Independent Partitioned State、分割 Cookie）はサイトがサードパーティ Cookie を明示的に「トップレベルサイト単位の分割」へ入れられるようにし、クロスサイト追跡を可能にせずに存続させます。

ブラウザで Cookie を表示・編集・削除するには？

Chrome ではデベロッパーツール（F12）→ Application → Storage → Cookies で表示・編集;設定 → プライバシーとセキュリティ → Cookie で一括削除します。繰り返し行うワークフローには CookieVault Editor のような Manifest V3 拡張機能を入れてください。削除・編集・エクスポートの手順は当サイトのガイドを参照。

Cookie の最大サイズや数はどれくらいですか？

RFC 6265 はブラウザに Cookie あたり最低 4096 バイト（name と value の合計）、ドメインあたり最低 50 個の Cookie をサポートするよう推奨します。実際には Chrome と Firefox はおおむね Cookie あたり約 4 KB、ドメインあたり約 180 個を適用します。Cookie のペイロードは小さく保ってください——大きな Cookie は一致するドメインへのリクエストごとに送られ、遅延が増えます。

Cookie とは？ブラウザ Cookie の解説（2026 年版）

TL;DR：Cookie とは、ウェブサイトがあなたのブラウザに保存する小さなデータ（通常は数百バイト）で、リクエストをまたいで情報を記憶するためのものです。Cookie はログイン、買い物カゴ、分析を支え、同時に、ブラウザが今まさに収束させつつあるクロスサイト追跡の時代も生み出しました。

Cookie とは、ウェブサイトが Set-Cookie HTTP レスポンスヘッダーであなたのブラウザに設定する name-value のテキスト記録で、ブラウザは同じドメインへのその後のリクエストに Cookie リクエストヘッダーでそれを自動的に付加します。Cookie は本来ステートレスな HTTP ウェブにおける状態の最初の仕組みです——localStorage、IndexedDB、service worker、その他あらゆる現代のクライアントストレージより前から存在します。あなたが出会ったすべての Cookie は、「ログインを保持」から EU の同意バナーまで、この 1 つの小さなプロトコルに支配されています¹。

要点：Cookie は HTTP の上に乗る薄い層です。サーバーが Set-Cookie: name=value レスポンスヘッダーで設定し、ブラウザがドメイン単位の Cookie 入れに保存し、その後の一致するリクエストごとにブラウザが Cookie: name=value を送り返します。クライアント側のハンドシェイクはありません——ブラウザは RFC 6265 の制約内でサーバーの指示に従います。

Cookie の仕組みは、1994 年に電子商取引クライアント MCI Net のために「ページ間で買い物カゴを記憶する」問題を解決するために導入した Netscape のエンジニア Lou Montulli に広く帰せられます²。30 年後、基盤プロトコルはほぼ変わっていません。正式仕様は IETF RFC 6265¹で、セキュリティとプライバシーの境界を厳しくする改訂が IETF ドラフト³で進行中です。

最小限の Cookie のやり取りはこうなります:

# サーバーのレスポンス
HTTP/1.1 200 OK
Set-Cookie: sid=abc123; Path=/; HttpOnly; Secure; SameSite=Lax

# クライアントの同一サイトへのその後のリクエスト
GET /account HTTP/1.1
Cookie: sid=abc123

ブラウザは値 abc123 を解釈しません——ブラウザにとっては不透明です。解釈するのはサーバー（通常はデータベースのセッションキーとして）です。ブラウザの仕事は、Cookie の Domain、Path、Secure、SameSite、有効期限の属性に基づいて、各リクエストにどの Cookie を付けるかを決めることです。

要点：Cookie はサーバーが設定し、ブラウザが保存し、その後の一致するリクエストごとにサーバーが読みます。ブラウザは運び手であって、作者ではありません。

要点：Cookie には必須の部分（name=value）が 1 つと、サーバーが設定できる 7 つの属性があります:Domain、Path、Expires、Max-Age、Secure、HttpOnly、SameSite。各属性は、ブラウザがいつ Cookie を送り返すかを狭めたり制限したりします。

RFC 6265¹ とその bis 改訂³ が定義する完全な属性セット:

Name と Value —— 唯一の必須ペア。ASCII テキスト。合計でおよそ 4 KB に収める必要があります⁴。
Domain —— 既定は Set-Cookie を送ったホスト。Domain=example.com と設定すると、Cookie は example.com とそのすべてのサブドメインに適用されます。
Path —— 既定はリクエストパスのディレクトリ。Path=/account は Cookie を /account 配下の URL に限定します。
Expires / Max-Age —— 日付または期間。両方を省略すると Cookie はセッション Cookie になります（ブラウザのセッション終了時に削除）。Max-Age=0 は Cookie を即座に削除します。
Secure —— 設定すると、ブラウザは HTTPS でのみ Cookie を送ります。平文 HTTP のリクエストには見えません。
HttpOnly —— 設定すると、ページ内の JavaScript は document.cookie 経由で Cookie にアクセスできません。XSS によるセッション Cookie 窃取への主要防御です。
SameSite —— Strict / Lax / None。クロスサイトリクエストの挙動を支配します（後述）。
Priority（Chrome 固有の拡張）—— Low / Medium / High。ドメイン単位の Cookie 入れが満杯のとき、どの Cookie を先に退避するかをブラウザに示唆します。

要点：Cookie は 2 つの直交する軸で分類されます——ライフタイム（セッション vs 永続）と出所（ファーストパーティ vs サードパーティ）。1 つの Cookie は各軸で常に 1 つの値を持ちます。プライバシー規制とブラウザ設定は、その上に用途ベースの分類（厳密に必要 / 機能 / 分析 / 広告）を重ね、これが同意バナーで目にするものです。

ユーザーと規制当局が話す 6 つの一般的なカテゴリを、基盤プロトコルに対応づけます:

カテゴリ	ライフタイム	出所	典型的な用途	ブラウザ既定ポリシー（2026）
セッション Cookie	セッション	ファーストパーティ	ログインセッション、現在のカゴ	既定で許可
永続ファーストパーティ	永続	ファーストパーティ	「ログイン保持」、言語設定	既定で許可
厳密に必要	どちらも	ファーストパーティ	認証、不正防止	同意不要（GDPR）
機能 / 設定	永続	ファーストパーティ	UI テーマ、フォントサイズ	同意推奨（GDPR）
ファーストパーティ分析	永続	ファーストパーティ	ファーストパーティ分析	EU では同意必須
サードパーティ広告	永続	サードパーティ	広告ターゲティング、再ターゲ、クロスサイト ID	Safari / Firefox はブロック;Chrome は制限⁵

英国情報コミッショナー事務局（ICO）はこの区別をこう簡潔にまとめています⁶:

厳密に必要な Cookie とは、ユーザーが要求したオンラインサービスを提供するために不可欠なものです。それ以外のほとんどの Cookie は、設定前に十分な情報に基づく同意を必要とします。

要点：プロトコルレベルでは Cookie は汎用の name-value ストレージです。実際には、ウェブは Cookie を 6 つの異なる仕事に使います。ユーザー体験への重要度がおおむね高い順に並べます。

現代のウェブにおける Cookie の 6 大用途:

認証とセッション管理 —— リクエストがどのログインユーザーのものかをサーバーに伝えるセッション ID Cookie。ほぼ常に HttpOnly、Secure、SameSite=Lax か Strict。
CSRF 防止トークン —— 状態を変えるリクエストでサーバーが検証するランダムな偽造防止値。通常は隠しフォームフィールドと対。
買い物カゴと未完了の作業 —— ページ読み込みをまたいでカゴの中身やフォームの下書きを保持。多くはサーバー側の状態を指す 1 つの ID。
ユーザー設定 —— 言語、テーマ、レイアウト密度、アクセシビリティ設定。Max-Age が数か月〜数年の小さな永続 Cookie。
ファーストパーティ分析 —— Plausible、Fathom、自己ホストの PostHog（Cookie ベースで設定した場合）などのための訪問者識別とセッション計測。日本でも、第三者追跡を避けるため第一者分析を自己ホストするチームが増えています。
広告とクロスサイト追跡 —— 複数サイトで同一ユーザーを識別する必要がある広告ネットワーク、再ターゲ業者、分析プラットフォームが設定するサードパーティ Cookie。ブラウザが今まさに収束させているカテゴリ。

開発者にとっての実務的な含意は、設定する Cookie のほとんどはファーストパーティで、現在のサイトに限定し、HttpOnly と Secure を付け、None が必要な特定のクロスサイトフローがない限り SameSite=Lax を与えるべき、ということです。

SameSite、HttpOnly、Secure —— 3 つのセキュリティ属性

要点：3 つの Cookie 属性——SameSite、HttpOnly、Secure——はそれぞれ異なる種類の攻撃を防ぎます。この 3 つを正しく設定することが、サーバーができる単一で最もレバレッジの高い Cookie セキュリティ改善です。

この 3 属性は現代の Cookie セキュリティの基準線を成します。各々が特定の攻撃クラスを防ぎます:

Secure は受動的なネットワーク盗聴を防ぎます。ブラウザは平文 HTTP では Cookie を送りません。セッション状態を持つ Cookie には必須です。さもないと開放 Wi-Fi 上でのセッション窃取が容易だからです。
HttpOnly は XSS によるセッション窃取を防ぎます。クロスサイトスクリプティングの脆弱性経由でページに注入された JavaScript は、document.cookie 経由で HttpOnly Cookie を読めません。サーバーには見えますが、攻撃者のスクリプトには見えません。
SameSite は CSRF とクロスサイト追跡を防ぎます。3 つの値:
- SameSite=Strict —— Cookie は同一サイトのリクエストでのみ送られます。最大の防御;時に不便（別サイトからあなたのドメインへ進んだユーザーは最初のリクエストで未ログインに見える）。
- SameSite=Lax —— Cookie は同一サイトのリクエストに加え、トップレベルのクロスサイト GET ナビゲーション（リンククリック）で送られます。Chrome では 2020 年以降の現代の既定値⁷。
- SameSite=None —— Cookie はあらゆるクロスサイトリクエストで送られます。正当なサードパーティ Cookie（シングルサインオン、埋め込み決済ウィジェット）に必要。Secure と対で使う必要があります。

Google の web.dev ガイドは優先順位について明確です⁷:「今日 1 つだけやるなら、すべてのセッション Cookie に SameSite=Lax を設定せよ。」

要点：ファーストパーティ Cookie はアドレスバーのサイトが設定;サードパーティ Cookie はそのサイト上でコードが動く別ドメインが設定します。サードパーティ Cookie は現代の広告追跡経済を築き、現代のブラウザはそれを体系的に制限または排除しています。

サードパーティ Cookie の収束は、プロトコル誕生以来 Cookie エコシステムに対する最も影響の大きな変化です。2026 年半ば時点のブラウザ別の状況:

Safari —— Safari 11（2017）の Intelligent Tracking Prevention（ITP）以降、サードパーティ Cookie を既定でブロックし、段階的に強化。
Firefox —— 2022 年以降、Total Cookie Protection（TCP）の下でサードパーティ Cookie を既定で分割し、クロスサイト追跡を事実上排除。
Chrome —— サードパーティ Cookie 全廃を複数回延期した後⁵、ユーザー選択方式へ落ち着き、広告ターゲティング・アトリビューション・不正防止の代替として Privacy Sandbox API を提案。

正当なクロスサイト用途（フェデレーションログイン、埋め込み決済 iframe）には、現代の代替が CHIPS —— Cookies Having Independent Partitioned State⁸ です。Partitioned 属性を持つ Cookie はトップレベルサイトごとに別の入れに保存されるため、2 つの異なる親サイトの下で読み込まれた同じ iframe は同じ Cookie を読めません。CHIPS は「このウィジェット内で設定を記憶する」正当な用途を保ちつつ、クロスサイト識別子の流れを断ち切ります。

今日サードパーティ Cookie に依存するサービスを運用しているなら、当面の作業は Cookie の棚卸しです:どれがクロスサイトの可視性を必要とするか（CHIPS を使う）、どれが設計上の追跡だったか（Privacy Sandbox かファーストパーティデータで作り直す）。

要点：現代のどのブラウザも設定かデベロッパーツールで Cookie を表示できます。繰り返すワークフロー——セッションのバグのデバッグ、Cookie をテストフィクスチャとしてエクスポート、サイトが何を保存したかの監査——には CookieVault Editor のような Manifest V3 拡張機能が標準ツールです。下の 8 ステップの検査フローはどの Chromium 系ブラウザでも使えます。

Chrome で Cookie を表示・編集する 8 ステップのクイックリファレンス（Edge、Brave、Opera、Vivaldi、Arc も同一;Firefox はメニュー配置が異なるが類似）:

対象サイトをタブで開く。
F12 を押してデベロッパーツールを開く。
Application タブをクリック。
左サイドバーの Storage 下で Cookies をクリック。
ドメインをクリックして範囲内のすべての Cookie を表示。
セル（Value、Expires、SameSite など）をダブルクリックしてその場で編集。
Enter で確定;ブラウザは即座に適用。
ページを再読み込みすると、次のリクエストで変更後の Cookie が送られる。

Cookie の一括削除は Chrome の Cookie 削除ガイドが 3 つの方法を扱います。ログインを保ちつつ追跡を消すには Cookie を消してもログイン状態を保つを参照。多数のサイトでワンクリックの繰り返し編集には、当社が維持するオープンソース Manifest V3 ツール CookieVault Editor があります。

ネットで見かけるかもしれない、事実でない言説の簡単な整理:

「Cookie はウイルス」 —— 誤り。Cookie は受動的なテキスト記録で、ソフトのインストール、コードの実行、ブラウザの Cookie ストア外のファイルへのアクセスはできません。
「Cookie はパスワードを保存する」 —— ほぼ常に誤り。ログイン Cookie が持つのはセッション ID であってパスワードではありません。パスワードは一度サーバーに送られてハッシュ化され、サーバーがセッション ID Cookie を返します。パスワード自体は Cookie にありません。
「Cookie を無効にすれば匿名になれる」 —— 誤り。ブラウザは Cookie に依存しない多くの経路（User-Agent、画面解像度、フォント、WebGL ハッシュ、IP アドレス）で指紋採取されます。
「すべての Cookie がサイトをまたいで追跡する」 —— 誤り。訪れているサイトが設定するファーストパーティ Cookie は他のサイトであなたを見ません。クロスサイト追跡は特にサードパーティ Cookie の問題です。
「Cookie は GDPR の下で違法」 —— 誤り。Cookie は合法です。GDPR（および ePrivacy 指令）が規制するのは、非必須 Cookie の同意要件です。厳密に必要な Cookie は同意を要しません。
「Cookie を消せばあらゆるブラウザ問題が直る」 —— 部分的に正しい。Cookie を消すとセッションと設定の状態はリセットされますが、キャッシュされたリソース、service worker のバグ、拡張機能の競合は直りません。

Cookie とは？ブラウザ Cookie の解説

Cookie の仕組み

Cookie の構造

Cookie の種類

Cookie は何に使われるか

SameSite、HttpOnly、Secure —— 3 つのセキュリティ属性

ファーストパーティ Cookie とサードパーティ Cookie、そして廃止の物語

Cookie を表示・編集・削除する方法

Cookie についてのよくある誤解

関連項目

Footnotes