基本情報技術者 2014年 秋期 午前(科目A) 問41
問題文
WAF(Web Application Firewall)を利用する目的はどれか。
選択肢
ア:Webサーバ及びWebアプリケーションに起因する脆弱性への攻撃を遮断する。(正解)
イ:Webサーバ内でワームの侵入を検知し、ワームの自動駆除を行う。
ウ:Webサーバのコンテンツ開発の結合テスト時にWebアプリケーションの脆弱性や不整合を検知する。
エ:Webサーバのセキュリティホールを発見し、OSのセキュリティパッチを適用する。
WAF(Web Application Firewall)を利用する目的はどれか。【午前2 解説】
要点まとめ
- 結論:WAFはWebアプリケーションに対する攻撃を検知・遮断し、不正リクエストをブロックして被害を防止します。
- 根拠:WAFはHTTP/HTTPSレベルで入力や振る舞いを解析し、SQLインジェクションやXSS等の攻撃パターンを遮断する仕組みです。
- 差がつくポイント:ホスト内での駆除、開発時テスト、OSパッチ適用などはWAFの役割ではなく、それぞれ別技術で対応します。
正解の理由
正解は ア:Webサーバ及びWebアプリケーションに起因する脆弱性への攻撃を遮断する。
WAFはアプリケーション層(主にHTTP/HTTPS)で動作し、リクエストの内容を検査して攻撃となるパターンや異常な入力をブロックします。これによりSQLインジェクション、クロスサイトスクリプティング(XSS)、ディレクトリトラバーサル等の攻撃を遮断し、Webアプリケーションの被害を軽減します。
WAFはアプリケーション層(主にHTTP/HTTPS)で動作し、リクエストの内容を検査して攻撃となるパターンや異常な入力をブロックします。これによりSQLインジェクション、クロスサイトスクリプティング(XSS)、ディレクトリトラバーサル等の攻撃を遮断し、Webアプリケーションの被害を軽減します。
よくある誤解
- WAFはアンチウイルスではない:ワームやマルウェアの検知・駆除(ファイルシステム内の駆除)はAV/EDRの領域でありWAFの役割ではありません。
- WAFは脆弱性を修正しない:WAFは攻撃を防ぐ緩和策であり、脆弱性を発見してパッチ適用する機能は持ちません。根本修正は開発や運用で行います。
- 開発時のテストツールではない:結合テストや静的解析での脆弱性検出は別のツール(SAST/DAST)で行い、WAFは実稼働時の防御を担います。
解法ステップ
- 問題文のキーワード「WAF」「Web Application Firewall」「利用する目的」を確認する。
- WAFのレイヤ(アプリケーション層)と主な機能(HTTP/HTTPSのリクエスト解析、ルールによる遮断)を思い出す。
- 選択肢と照合:ホスト内ウイルス駆除、開発時の脆弱性検出、OSパッチ適用はWAFではないと排除する。
- 最終的にアがWAFの定義と合致するため選択する。
選択肢別の誤答解説
- ア: Webサーバ及びWebアプリケーションに起因する脆弱性への攻撃を遮断する。→ 正解。HTTP/HTTPSのトラフィックを解析し攻撃を遮断するのがWAFの代表的な機能です。
- イ: Webサーバ内でワームの侵入を検知し、ワームの自動駆除を行う。→ 誤り。これはアンチウイルスやEDRの領域であり、WAFはネットワーク/アプリ層の攻撃防御に特化します。
- ウ: Webサーバのコンテンツ開発の結合テスト時にWebアプリケーションの脆弱性や不整合を検知する。→ 誤り。結合テストや脆弱性検出はSAST/DASTやテスト工程の役割であり、WAFは実運用での防御装置です。
- エ: Webサーバのセキュリティホールを発見し、OSのセキュリティパッチを適用する。→ 誤り。脆弱性の発見やパッチ適用は運用・管理作業で、WAFにはパッチ適用機能はありません。
補足コラム
- WAFの導入形態には「ネットワーク側に設置するリバースプロキシ型(クラウドWAF含む)」と「アプライアンスやモジュール(例:mod_security)」があり、トラフィックを仲介して検査・制御します。
- WAFは万能ではなく、誤検知(false positive)や新しい攻撃には対応が遅れることがあります。健全なセキュリティ対策は、安全なコーディング、定期的な脆弱性診断、OS/ミドルウェアのパッチ適用とWAFの組合せです。
- 近年は振る舞い検知やMLベースのルール、自動チューニング機能を持つ製品も増えていますが、運用でのチューニングは不可欠です。
FAQ
Q: WAFはIDS/IPSと何が違いますか?
A: IDS/IPSはネットワークやホストの不正検知・遮断が主で、パケットやシグネチャ中心の検査が多いのに対し、WAFはHTTP/HTTPSのアプリケーションレベルを深く解析します。用途が重なる部分もありますが対象層が異なります。
A: IDS/IPSはネットワークやホストの不正検知・遮断が主で、パケットやシグネチャ中心の検査が多いのに対し、WAFはHTTP/HTTPSのアプリケーションレベルを深く解析します。用途が重なる部分もありますが対象層が異なります。
Q: WAFだけでWebアプリケーションは安全になりますか?
A: いいえ。WAFは緩和策であり、根本対策(セキュアコーディング、脆弱性修正、アクセス制御)は必要です。多層防御の一部として位置づけます。
A: いいえ。WAFは緩和策であり、根本対策(セキュアコーディング、脆弱性修正、アクセス制御)は必要です。多層防御の一部として位置づけます。
Q: クラウドWAFとオンプレWAFの違いは何ですか?
A: クラウドWAFはサービスとして提供され、手軽に導入・スケーリングできる一方、オンプレは細かい制御やネットワーク統合で有利です。要件に応じて選択します。
A: クラウドWAFはサービスとして提供され、手軽に導入・スケーリングできる一方、オンプレは細かい制御やネットワーク統合で有利です。要件に応じて選択します。
関連キーワード: WAF、Webアプリケーションセキュリティ、SQLインジェクション、XSS、mod_security、クラウドWAF、IDS、IPS、RASP、セキュリティ運用
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!