基本情報技術者試験 基本情報技術者試験 令和5年度 科目A 公開問題 午前 問10: 図のような構成と通信サービスのシステムにおいて，Webアプリケーションの脆弱性対策のためのWAFの設置場所として，最も適切な箇所はどこか。ここで，WAFには通信

問題本文

図のような構成と通信サービスのシステムにおいて，Webアプリケーションの脆弱性対策のためのWAFの設置場所として，最も適切な箇所はどこか。ここで，WAFには通信を暗号化したり，復号したりする機能はないものとする。

選択肢

• ア.a
• イ.b
• ウ.c
• エ.d

正解

ウ. c

解説

WAF は HTTP の中身を解析して攻撃を検知・遮断する装置ですが、本問の WAF は暗号化・復号機能を持たないため、平文 HTTP が流れる位置（SSL アクセラレータ通過後の c）に設置する必要があります。ウが正解。

選択肢ごとの解説

• ア.a は HTTPS（暗号化通信）が流れる位置で、復号機能がない WAF では中身を見られず役に立ちません。
• イ.b もファイアウォール通過後の HTTPS 区間で、暗号化されたままなので不適切です。
• ウ.c は SSL アクセラレータで復号された後の HTTP 区間で、WAF が中身を解析できる最適位置で正解です。
• エ.d は Web サーバと DB サーバ間で、Web アプリ層の攻撃は既に Web サーバに到達しており、WAF 設置位置として遅すぎます。