情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅰ 問13: WAFの説明として,適切なものはどれか。
←情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅰ
の説明として,適切なものはどれか。
選択肢
- ア.DMZに設置されているWebサーバへ外部から実際に侵入を試みる。
- イ.WebサーバのCPU負荷を軽減するために,TLSによる暗号化と復号の処理をWebサーバではなく専用のハードウェアで行う。
- ウ.システム管理者が質問に答える形式で,自組織の情報セキュリティ対策のレベルを診断する。
- エ.特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して,不正な操作を遮断する。
正解
エ. 特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して,不正な操作を遮断する。
解説
WAF(Web Application Firewall)はHTTP通信の内容を検査し、SQLインジェクションやXSSなど攻撃に特徴的なパターン(シグネチャ)を検出して不正なリクエストを遮断する。エが正解。アはペネトレーションテスト、イはSSLアクセラレータ、ウはセキュリティ自己診断の説明。WAFは脆弱性が残るアプリを前段で守る多層防御の一手段で、修正までの暫定対策にも有効。
選択肢ごとの解説
- ア.実際に侵入を試みるのはペネトレーションテストでWAFでなく誤り。
- イ.TLS処理を専用機で肩代わりするのはSSLアクセラレータで誤り。
- ウ.質問形式で自組織の対策レベルを測る自己診断の説明で誤り。
- エ.Web通信内容を検査し不正な操作を遮断するWAFの説明で正解。
情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅰ の過去問一覧へ戻る・問13