基本情報技術者試験 基本情報技術者試験 平成26年度 秋期 午前 午前 問41: WAF(Web Application Firewall)を利用する目的はどれか。

問題本文

WAF(Web Application Firewall)を利用する目的はどれか。

選択肢

• ア.Webサーバ及びWebアプリケーションに起因する脆弱性への攻撃を遮断する。
• イ.Webサーバ内でワームの侵入を検知し，ワームの自動駆除を行う。
• ウ.Webサーバのコンテンツ開発の結合テスト時にWebアプリケーションの脆弱性や不整合を検知する。
• エ.Webサーバのセキュリティホールを発見し，OSのセキュリティパッチを適用する。

正解

ア. Webサーバ及びWebアプリケーションに起因する脆弱性への攻撃を遮断する。

解説

WAFはWebアプリ層(L7)を解析しSQLインジェクションやXSSなどの攻撃通信を検知/遮断するファイアウォールです。一般FWのようにポート/IPだけでは判定できない攻撃を防げます。

選択肢ごとの解説

• ア.Webアプリの脆弱性を狙う攻撃の遮断がWAFの目的そのものです。
• イ.ワーム駆除はアンチウイルスの役割でWAFではありません。
• ウ.脆弱性検知はテストツール/脆弱性スキャナの役割です。
• エ.パッチ適用はOS管理の運用作業で、WAFの機能ではありません。