戦国IT - 情報処理技術者試験の過去問対策サイト
お知らせお問い合わせ料金プラン

応用情報技術者 2012年 春期 午前237

問題文

WAFの説明として、適切なものはどれか。

選択肢

DMZに設置されている Webサーバへ外部から実際に侵入を試みる。
Webサーバの CPU負荷を軽減するために、SSL による暗号化と復号の処理をWebサーバではなく専用のハードウェア上で行う。
システム管理者が質問に答える形式で、自組織の情報セキュリティ対策のレベルを診断する。
特徴的なパターンが含まれるかなど Webアプリケーションへの通信内容を検査して、不正な操作を遮断する。(正解)

WAFの説明 +【午前2 解説】

要点まとめ

  • 結論:WAFはWebアプリケーションへの通信内容を検査し、不正な操作を遮断するセキュリティ装置です。
  • 根拠:WAFはWebアプリケーション層に特化し、特徴的な攻撃パターンを検知して防御します。
  • 差がつくポイント:WAFはネットワーク層の防御ではなく、HTTP/HTTPSの通信内容を解析する点を理解しましょう。

正解の理由

選択肢エは「特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して、不正な操作を遮断する」とあり、WAFの本質的な機能を正確に表しています。WAFはSQLインジェクションやクロスサイトスクリプティング(XSS)など、Webアプリケーション特有の攻撃を検知・防御するために設計されています。

よくある誤解

WAFは単なるファイアウォールではなく、通信の内容を深く解析するため、単純なパケットフィルタリングとは異なります。SSL処理や侵入テストとは役割が違います。

解法ステップ

  1. WAFの役割を「Webアプリケーションの通信内容の検査」と認識する。
  2. 選択肢の内容がWAFの機能に合致しているか確認する。
  3. ネットワーク層の処理や診断ツールなど、WAF以外の技術と混同しない。
  4. 最も適切な説明を選ぶ。

選択肢別の誤答解説

  • ア: 侵入を試みる行為はペネトレーションテストであり、WAFの説明ではありません。
  • イ: SSL処理のオフロードはロードバランサや専用ハードウェアの役割で、WAFの機能ではありません。
  • ウ: セキュリティ診断は自己診断ツールや評価サービスの説明であり、WAFとは無関係です。
  • : WAFの正しい説明です。

補足コラム

WAFはOSI参照モデルのアプリケーション層(レイヤ7)で動作し、HTTP/HTTPSのリクエスト内容を解析します。これにより、SQLインジェクションやクロスサイトスクリプティングなどの攻撃を検知し、遮断できます。近年はクラウド型WAFも普及し、導入のハードルが下がっています。

FAQ

Q: WAFはどの層で動作しますか?
A: アプリケーション層(レイヤ7)で動作し、通信内容を詳細に解析します。
Q: WAFとファイアウォールの違いは何ですか?
A: ファイアウォールは主にネットワーク層でパケットの許可・拒否を行い、WAFはWeb通信の内容を検査して攻撃を防ぎます。
関連キーワード: WAF, Webアプリケーションセキュリティ、SQLインジェクション、クロスサイトスクリプティング、アプリケーション層、セキュリティ対策
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

応用情報技術者
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてプライバシーポリシー利用規約特商法表記開発者について