応用情報技術者 2017年 春期 午前2 問43
問題文
図のような構成と通信サービスのシステムにおいて、Webアプリケーションの脆弱性対策のための WAFの設置場所として、最も適切な箇所はどこか。ここで、WAF には通信を暗号化したり、復号したりする機能はないものとする。
選択肢
ア:a
イ:b
ウ:c(正解)
エ:d
WAFの設置場所選定問題【午前2 解説】
要点まとめ
- 結論:WAFは暗号化されていないHTTP通信の直前、つまり「c」の位置に設置するのが最適です。
- 根拠:WAFは通信の暗号化・復号機能を持たないため、暗号化されたHTTPS通信のままでは内容を検査できません。
- 差がつくポイント:SSLアクセラレータの後、HTTP通信に変換された箇所に置くことで、通信内容を正確に解析し脆弱性を防げます。
正解の理由
選択肢ウの「c」はSSLアクセラレータの後、Webサーバの前に位置し、通信がHTTPに復号された状態です。WAFは暗号化通信を復号できないため、暗号化された「a」や「b」の位置では通信内容を検査できません。したがって、WAFは「c」の位置に設置し、Webアプリケーションへの攻撃を効果的に検知・防御します。
よくある誤解
WAFは暗号化通信をそのまま解析できると誤解しがちですが、暗号化・復号機能がない場合は復号後の通信に設置しなければ意味がありません。
解法ステップ
- 問題文からWAFに暗号化・復号機能がないことを確認する。
- 通信経路の暗号化状態を図から読み取る(HTTPSかHTTPか)。
- WAFは暗号化されていない通信を検査できるため、HTTP通信の直前を探す。
- SSLアクセラレータの後、HTTP通信に変わる「c」の位置が該当する。
- 選択肢の中から「c」を選ぶ。
選択肢別の誤答解説
- ア(a):インターネットからファイアウォールへの入口でHTTPS通信。暗号化されておりWAFは解析不可。
- イ(b):ファイアウォールからSSLアクセラレータへのHTTPS通信。暗号化されたままなので解析できない。
- ウ(c):SSLアクセラレータ後のHTTP通信。暗号化解除済みでWAFが通信内容を検査可能。
- エ(d):Webサーバからデータベースサーバへの通信。WAFの対象はWebアプリケーションの通信であり、内部DBアクセスは対象外。
補足コラム
WAF(Web Application Firewall)はWebアプリケーションの脆弱性を狙った攻撃を検知・防御するための装置です。HTTPS通信を検査するには、通信を復号した状態でなければ意味がありません。SSLアクセラレータはSSL/TLSの暗号化・復号処理を代行し、Webサーバの負荷軽減に役立ちます。WAFはこの復号後の通信に設置するのが一般的です。
FAQ
Q: WAFはHTTPS通信を直接解析できますか?
A: いいえ。WAF自体に暗号化・復号機能がない場合は、復号後のHTTP通信を解析します。
A: いいえ。WAF自体に暗号化・復号機能がない場合は、復号後のHTTP通信を解析します。
Q: SSLアクセラレータとは何ですか?
A: SSLアクセラレータはSSL/TLSの暗号化・復号処理を専門に行い、Webサーバの負荷を軽減する装置です。
A: SSLアクセラレータはSSL/TLSの暗号化・復号処理を専門に行い、Webサーバの負荷を軽減する装置です。
関連キーワード: WAF, SSLアクセラレータ、HTTPS, Webアプリケーションセキュリティ、暗号化通信、脆弱性対策
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!