情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度秋期 午前 問20: WAF の説明として，適切なものはどれか。

問題本文

WAF の説明として，適切なものはどれか。

選択肢

• ア.DMZ に設置されている Web サーバへの侵入を外部から実際に試みる。
• イ.TLS による暗号化と復号の処理を Web サーバではなく専用のハードウェアで行うことによって，Web サーバの CPU 負荷を軽減するために導入する。
• ウ.システム管理者が質問に答える形式で，自組織の情報セキュリティ対策のレベルを診断する。
• エ.特徴的なパターンが含まれるかなど Web アプリケーションへの通信内容を検査して，不正な通信を遮断する。

正解

エ. 特徴的なパターンが含まれるかなど Web アプリケーションへの通信内容を検査して，不正な通信を遮断する。

解説

WAF（Web Application Firewall）は、Webアプリケーション宛ての通信内容（HTTPリクエスト等）を検査し、SQLインジェクションやクロスサイトスクリプティングなどの攻撃に特徴的なパターンを検出して不正な通信を遮断する仕組みである。アプリケーション層に特化して防御する点が特徴である。通信内容を検査して不正な通信を遮断するとしたエが正解である。

選択肢ごとの解説

• ア.誤り。実際に侵入を試みて脆弱性を確認するのはペネトレーションテストであり、WAFではない。
• イ.誤り。TLSの暗号化・復号を専用ハードウェアで肩代わりしCPU負荷を下げるのはSSLアクセラレータの説明である。
• ウ.誤り。質問に答えてセキュリティ対策レベルを自己診断するのはチェックリスト型の自己評価ツールの説明である。
• エ.正しい。Webアプリへの通信内容を検査し攻撃パターンを含む不正な通信を遮断するのがWAFである。