戦国IT - 情報処理技術者試験の過去問対策サイト
お知らせお問い合わせ料金プラン

応用情報技術者 2016年 春期 午前240

問題文

WAFの説明として、適切なものはどれか。

選択肢

DMZに設置されている Webサーバへ外部から実際に侵入を試みる。
Webサーバの CPU 負荷を軽減するために、TLS による暗号化と復号の処理をWebサーバではなく専用のハードウェアで行う。
システム管理者が質問に答える形式で、自組織の情報セキュリティ対策のレベルを診断する。
特徴的なパターンが含まれるかなど Webアプリケーションへの通信内容を検査して、不正な操作を遮断する。(正解)

WAFの説明 +【午前2 解説】

要点まとめ

  • 結論:WAFはWebアプリケーションへの通信内容を検査し、不正操作を遮断するセキュリティ装置です。
  • 根拠:WAFはHTTP/HTTPSの通信を監視し、攻撃パターンを検出して防御するため、Webサーバの前段に設置されます。
  • 差がつくポイント:WAFは侵入試行やCPU負荷軽減ではなく、通信内容の解析と攻撃遮断に特化している点を理解しましょう。

正解の理由

選択肢エは「特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して、不正な操作を遮断する」とあり、WAFの本質的な役割を正確に表現しています。WAFはSQLインジェクションやクロスサイトスクリプティングなどの攻撃を検知し、Webアプリケーションを保護します。

よくある誤解

WAFは単なる侵入テストツールや負荷軽減装置ではありません。通信内容の解析により攻撃を防ぐ点が重要です。

解法ステップ

  1. WAFの役割を「Webアプリケーションの通信監視と攻撃遮断」と認識する。
  2. 選択肢の内容をWAFの機能と照らし合わせる。
  3. 侵入試行やCPU負荷軽減はWAFの機能ではないと判断する。
  4. 通信内容の検査と不正操作遮断を述べる選択肢を選ぶ。

選択肢別の誤答解説

  • ア:侵入を試みる行為はペネトレーションテストであり、WAFの説明ではありません。
  • イ:TLS処理の専用ハードウェアはSSLアクセラレータであり、WAFの機能ではありません。
  • ウ:質問形式の診断はセキュリティ診断ツールや評価サービスであり、WAFとは異なります。
  • :通信内容を検査し不正操作を遮断する点がWAFの正しい説明です。

補足コラム

WAFはOSI参照モデルのアプリケーション層で動作し、HTTP/HTTPSの通信内容を詳細に解析します。これにより、従来のファイアウォールでは検知困難なWebアプリケーション特有の攻撃を防御可能です。近年はクラウド型WAFも普及し、柔軟な運用が可能になっています。

FAQ

Q: WAFはどこに設置されますか?
A: 通常、Webサーバの前段に設置し、通信を中継して監視・制御します。
Q: WAFとファイアウォールの違いは何ですか?
A: ファイアウォールはネットワーク層で通信の許可・拒否を行い、WAFはアプリケーション層で通信内容を解析して攻撃を防ぎます。
関連キーワード: WAF, Webアプリケーションセキュリティ、攻撃遮断、HTTP解析、セキュリティ対策
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

応用情報技術者
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてプライバシーポリシー利用規約特商法表記開発者について