応用情報技術者 2015年 秋期 午前2 問41
問題文
図のような構成と通信サービスのシステムにおいて、Webアプリケーションの施弱性対策のための WAF の設置場所として、最も適切な箇所はどこか。ここで,WAF には通信を暗号化したり、復号したりする機能はないものとする。
選択肢
ア:a
イ:b
ウ:c(正解)
エ:d
Webアプリケーションの施弱性対策におけるWAF設置場所【午前2 解説】
要点まとめ
- 結論:WAFは暗号化されていない通信を検査できるため、復号後のHTTP通信経路(選択肢ウのc)に設置するのが最適です。
- 根拠:問題文でWAFに暗号化・復号機能がないと明示されているため、暗号化通信(HTTPS)上では内容を検査できません。
- 差がつくポイント:SSLアクセラレータの後、Webサーバ直前のHTTP通信を監視することで、正確に攻撃パターンを検知し防御可能です。
正解の理由
WAFは通信内容を解析して攻撃を検知・防御しますが、暗号化されたHTTPS通信は内容が見えません。図の中でHTTPS通信は「a」と「b」の区間にあり、WAFはこれらの区間に設置しても暗号化されたままの通信を解析できません。
SSLアクセラレータで復号された後の「c」のHTTP通信区間に設置すれば、通信内容を正しく検査できるため、Webサーバの直前である「c」が最適な設置場所です。
したがって、正解はウです。
SSLアクセラレータで復号された後の「c」のHTTP通信区間に設置すれば、通信内容を正しく検査できるため、Webサーバの直前である「c」が最適な設置場所です。
したがって、正解はウです。
よくある誤解
WAFはHTTPS通信の途中に設置すれば効果があると誤解しがちですが、暗号化された通信は内容を検査できません。SSLアクセラレータの前に設置しても意味がありません。
解法ステップ
- 問題文で「WAFに暗号化・復号機能がない」と確認する。
- 図の通信経路を確認し、どの区間が暗号化(HTTPS)かを把握する。
- WAFは暗号化されていない通信区間に設置する必要があると判断する。
- SSLアクセラレータの役割が復号であることを理解し、その後のHTTP区間を特定する。
- HTTP区間「c」にWAFを設置するのが最適と結論づける。
選択肢別の誤答解説
- ア(a):インターネットからファイアウォールまでのHTTPS区間であり、通信は暗号化されているためWAFは内容を検査できません。
- イ(b):ファイアウォールからSSLアクセラレータまでのHTTPS区間で、同様に暗号化されているため不適切です。
- ウ(c):SSLアクセラレータで復号された後のHTTP通信区間であり、WAFが通信内容を検査可能な最適な設置場所です。
- エ(d):Webサーバからデータベースサーバへの通信であり、Webアプリケーションの施弱性対策としては対象外の通信経路です。
補足コラム
WAF(Web Application Firewall)はWebアプリケーションの脆弱性を狙った攻撃を検知・防御するためのファイアウォールです。HTTPS通信の内容を検査するには、SSL復号機能を持つか、SSLアクセラレータなどで復号された後の通信を監視する必要があります。近年はSSL復号機能を持つWAFも増えていますが、問題文のように機能がない場合は設置場所に注意が必要です。
FAQ
Q: WAFはHTTPS通信の途中に設置できませんか?
A: WAFにSSL復号機能がない場合、暗号化されたHTTPS通信は内容を検査できないため、復号後のHTTP区間に設置する必要があります。
A: WAFにSSL復号機能がない場合、暗号化されたHTTPS通信は内容を検査できないため、復号後のHTTP区間に設置する必要があります。
Q: SSLアクセラレータとは何ですか?
A: SSLアクセラレータはHTTPS通信の暗号化・復号処理を専門に行う装置で、Webサーバの負荷軽減や通信の復号を担当します。
A: SSLアクセラレータはHTTPS通信の暗号化・復号処理を専門に行う装置で、Webサーバの負荷軽減や通信の復号を担当します。
関連キーワード: WAF, SSLアクセラレータ、HTTPS, Webアプリケーションセキュリティ、通信暗号化、脆弱性対策
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!