応用情報技術者試験 応用情報技術者試験 平成28年度春期 午前 問40: WAFの説明として，適切なものはどれか。

問題本文

WAFの説明として，適切なものはどれか。

選択肢

• ア.DMZに設置されているWebサーバへ外部から実際に侵入を試みる。
• イ.WebサーバのCPU負荷を軽減するために，TLSによる暗号化と復号の処理をWebサーバではなく専用のハードウェアで行う。
• ウ.システム管理者が質問に答える形式で，自組織の情報セキュリティ対策のレベルを診断する。
• エ.特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して，不正な操作を遮断する。

正解

エ. 特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して，不正な操作を遮断する。

解説

WAF(Web Application Firewall)は、Webアプリケーションを狙う攻撃を防ぐためのファイアウォールである。SQLインジェクションやクロスサイトスクリプティングなどに特徴的なパターンが含まれていないかWebアプリへの通信内容を検査し、不正と判断した操作を遮断する。これを述べたエが正解である。

選択肢ごとの解説

• ア.外部から実際に侵入を試みて弱点を探すのはペネトレーションテスト(侵入テスト)の説明であり、通信を検査して遮断するWAFの説明ではないため誤り。
• イ.TLSの暗号化・復号処理を専用ハードウェアで肩代わりするのはSSLアクセラレータの説明であり、WAFの説明ではないため誤り。
• ウ.管理者が質問に答えてセキュリティ対策レベルを自己診断するのはセキュリティチェックシート等による診断の説明であり、WAFの説明ではないため誤り。
• エ.Webアプリへの通信内容を検査し攻撃の特徴的パターンを見つけて不正な操作を遮断するのはWAFそのものであり、正しい。