基本情報技術者 2013年 秋期 午前(科目A) 問41
問題文
クライアントとWebサーバの間において、クライアントからWebサーバに送信されたデータを検査して、SQLインジェクションなどの攻撃を遮断するためのものはどれか。
選択肢
ア:SSL-VPN機能
イ:WAF(正解)
ウ:クラスタ構成
エ:ロードバランシング機能
クライアントとWebサーバ間の攻撃遮断機能はどれか【午前2 解説】
要点まとめ
- 結論:クライアントからWebサーバへ送信されるHTTP要求の内容を解析してSQLインジェクション等を遮断するのはWAFである。
- 根拠:WAFはアプリ層でリクエスト本文やパラメータをフィルタリングし既知攻撃シグネチャや振る舞いで遮断するため、SQLi防御に有効である。
- 差がつくポイント:HTTPSは暗号化されるためWAFは復号(SSL終端)できる配置が必要で、誤検知対策やルール最適化が実務での効果を左右する。
正解の理由
正解:イ WAF
WAF(Web Application Firewall)はHTTP/HTTPSのリクエストとレスポンスを対象に動作し、入力パラメータや本文の内容を解析・フィルタリングしてSQLインジェクションやクロスサイトスクリプティングなどの攻撃を検出・遮断します。アプリケーション層(OSIモデルのレイヤ7)で動作するため、URLやヘッダだけでなくボディやクエリ文字列の中身まで判断できる点が決定的な根拠です。
WAF(Web Application Firewall)はHTTP/HTTPSのリクエストとレスポンスを対象に動作し、入力パラメータや本文の内容を解析・フィルタリングしてSQLインジェクションやクロスサイトスクリプティングなどの攻撃を検出・遮断します。アプリケーション層(OSIモデルのレイヤ7)で動作するため、URLやヘッダだけでなくボディやクエリ文字列の中身まで判断できる点が決定的な根拠です。
よくある誤解
- WAFがあれば脆弱性修正不要:WAFは攻撃遮断の緩和策であり、根本解決としてアプリの脆弱性修正(コード修正)は必須です。
- SSL-VPNで通信検査できると思い込み:SSL-VPNはリモートアクセスの保護が目的であり、トラフィックの内容検査やアプリ層攻撃遮断は行いません。
- ロードバランサやクラスタが攻撃検知するという誤認:これらは可用性や負荷分散が目的で、コンテンツのセキュリティ解析機能は基本的に持ちません。
解法ステップ
- 問題文のキーフレーズ「クライアントからWebサーバに送信されたデータを検査」「SQLインジェクションなどの攻撃を遮断」を抽出する。
- 「データを検査して攻撃を遮断する」機能がどの層で働くかを考え、アプリ層(HTTP/HTTPS)で検査する技術を特定する。
- 選択肢を比較:SSL-VPNはアクセス保護、クラスタは可用性、ロードバランサは分散が主目的であり、アプリ層検査に該当するのはWAFのみと判断する。
選択肢別の誤答解説
- ア: SSL-VPN機能
SSL-VPNはクライアントと企業ネットワーク間の安全なトンネルを提供するリモートアクセス技術であり、送信データの内容を検査してSQLインジェクションを遮断する機能は本来の役割ではありません。 - イ: WAF
HTTP/HTTPSレベルでリクエストやレスポンスを検査し、不正な入力や攻撃パターンを検出・ブロックする専用装置またはソフトウェアで、SQLインジェクション対策に適しています。 - ウ: クラスタ構成
クラスタは複数サーバで負荷分散・冗長化を実現し可用性やスケーラビリティを高める構成です。セキュリティで言えば耐障害性を高めますが、入力検査や攻撃遮断自体は行いません。 - エ: ロードバランシング機能
ロードバランサはトラフィックの振り分けやヘルスチェック、セッション維持などを行いますが、アプリケーション層の攻撃解析やSQLインジェクションの検出・遮断は本質的な機能ではありません(一部の高機能LBはWAF機能を併設する場合あり)。
補足コラム
WAFの導入形態にはネットワークインライン型(リバースプロキシ)、ホスト型(モジュールとしてアプリに組み込む)、クラウド型(CDN/サービス提供)などがあります。HTTPSを利用している環境ではWAFが暗号を復号できる場所(SSL終端)に設置するか、証明書を共有して復号・検査・再暗号化を行う必要があります。また、WAFは誤検知(正当なリクエストをブロック)を起こすことがあるため、ルールのチューニングとログ監視が重要です。代表的な製品やプロジェクトにはModSecurityやAWS WAFなどがあります。
FAQ
Q1: WAFはすべての攻撃を防げますか?
A1: いいえ。WAFは多くの既知攻撃や一般的なパターンを防げますが、ゼロデイ脆弱性や複雑なロジック攻撃を完全に防ぐわけではなく、根本的な脆弱性修正と併用する必要があります。
A1: いいえ。WAFは多くの既知攻撃や一般的なパターンを防げますが、ゼロデイ脆弱性や複雑なロジック攻撃を完全に防ぐわけではなく、根本的な脆弱性修正と併用する必要があります。
Q2: HTTPS環境でWAFを使うにはどうすればいいですか?
A2: WAFをSSL終端位置に配置して復号・検査・再暗号化を行うか、ホスト型のWAFをアプリ側に導入する方法があります。プライバシーと鍵管理に注意が必要です。
A2: WAFをSSL終端位置に配置して復号・検査・再暗号化を行うか、ホスト型のWAFをアプリ側に導入する方法があります。プライバシーと鍵管理に注意が必要です。
Q3: ロードバランサでWAF機能は代替できますか?
A3: 一部のロードバランサはWAF機能を統合していますが、専用WAFに比べて機能やシグネチャの更新、チューニング性で劣る場合があるため用途に応じて選択します。
A3: 一部のロードバランサはWAF機能を統合していますが、専用WAFに比べて機能やシグネチャの更新、チューニング性で劣る場合があるため用途に応じて選択します。
関連キーワード: WAF、SQLインジェクション、Webアプリケーションファイアウォール、SSL終端、復号、ロードバランサ、クラスタ、ModSecurity、OWASP Top 10、誤検知対策
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!