応用情報技術者試験 応用情報技術者試験 平成29年度春期 午前 問43: 図のような構成と通信サービスのシステムにおいて，Web アプリケーションの脆弱性対策のための WAF の設置場所として，最も適切な箇所はどこか。ここで，WAF

問題本文

図のような構成と通信サービスのシステムにおいて，Web アプリケーションの脆弱性対策のための WAF の設置場所として，最も適切な箇所はどこか。ここで，WAF には通信を暗号化したり，復号したりする機能はないものとする。

選択肢

• ア.a
• イ.b
• ウ.c
• エ.d

正解

ウ. c

解説

WAF(Web Application Firewall)は HTTP リクエストの中身を検査し，SQLインジェクションやクロスサイトスクリプティングなどの不正な入力を検出・遮断する機器である。設問の WAF には暗号化・復号の機能がないため，通信内容を検査するにはトラフィックが平文(HTTP)になっている箇所に置く必要がある。図では SSLアクセラレータで HTTPS が復号され c の区間が HTTP(平文)になっているので，WAF を c に設置すればリクエスト内容を解析でき，正解はウである。

選択肢ごとの解説

• ア.a はインターネットとファイアウォールの間で，通信はまだ HTTPS(暗号化済み)である。復号機能のない WAF では中身を検査できない。
• イ.b はファイアウォールと SSLアクセラレータの間で，ここもまだ HTTPS のままである。WAF は内容を読めず検査できない。
• ウ.正しい。c は SSLアクセラレータで復号された後の HTTP(平文)区間であり，WAF がリクエスト内容を解析して攻撃を検出できる最適な位置である。
• エ.d は Web サーバとデータベースサーバの間で，Web アプリケーションへ届く前のリクエストを検査する位置ではない。WAF はクライアントからのリクエストを Web サーバの手前で検査すべきである。