ホーム > 情報処理安全確保支援士試験 > 2012年 春期
情報処理安全確保支援士試験 2012年 春期 午前2 問09
PCI データセキュリティ基準 (PCI DSS Version 2.0) の要件のうち、 詳細要件の選択肢として, WAF の導入を含むものはどれか。
ア:要件1:カード会員データを保護するために, ファイアウォールをインストールして構成を維持すること
イ:要件3:保存されるカード会員データを保護すること
ウ:要件6:安全性の高いシステムとアプリケーションを開発し, 保守すること(正解)
エ:要件7:カード会員データへのアクセスを, 業務上必要な範囲内に制限すること
解説
PCI データセキュリティ基準 (PCI DSS Version 2.0) の要件のうち、詳細要件の選択肢として WAF の導入を含むものはどれか【午前2 解説】
要点まとめ
- 結論:WAF(Webアプリケーションファイアウォール)の導入は「要件6:安全性の高いシステムとアプリケーションを開発し、保守すること」に該当します。
- 根拠:要件6はアプリケーションの脆弱性対策を含み、WAFはアプリケーション層の攻撃防御に有効な手段だからです。
- 差がつくポイント:ファイアウォールはネットワーク層の防御、WAFはアプリケーション層の防御と役割が異なるため、要件1と要件6の区別が重要です。
正解の理由
WAFはWebアプリケーションに対する攻撃(SQLインジェクションやクロスサイトスクリプティングなど)を防ぐためのセキュリティ機器であり、PCI DSSの要件6では「安全性の高いシステムとアプリケーションの開発・保守」が求められています。WAFの導入はアプリケーションの脆弱性を補完的に防御する手段として位置づけられているため、要件6の詳細要件に含まれます。
よくある誤解
WAFは単なるファイアウォールの一種と誤解されがちですが、ネットワーク層ではなくアプリケーション層の防御に特化しています。したがって、要件1のファイアウォールとは役割が異なります。
解法ステップ
- PCI DSSの各要件の概要を把握する。
- 要件1はネットワークファイアウォールの設置・管理に関するものと理解する。
- 要件3は保存データの保護、要件7はアクセス制御に関する内容と認識する。
- 要件6はシステム・アプリケーションの安全な開発と保守であり、脆弱性対策が含まれる。
- WAFはアプリケーション層の防御機器であるため、要件6に該当すると判断する。
選択肢別の誤答解説
- ア: 要件1はネットワークファイアウォールの設置・管理が対象であり、WAFのようなアプリケーション層の防御は含まれません。
- イ: 要件3はカード会員データの保存時の保護に関するもので、WAFの導入とは直接関係ありません。
- ウ: 要件6は安全なシステム・アプリケーションの開発・保守であり、WAF導入はここに該当します。
- エ: 要件7はアクセス制御の範囲設定に関するもので、WAFの導入とは異なる内容です。
補足コラム
PCI DSSはカード会員データの安全を確保するための国際的なセキュリティ基準で、12の主要要件から構成されています。WAFは特にWebアプリケーションの脆弱性を狙った攻撃を防ぐために重要で、PCI DSSの要件6における脆弱性管理の一環として推奨されています。
FAQ
Q: WAFとファイアウォールは何が違うのですか?
A: ファイアウォールは主にネットワーク層の通信制御を行い、WAFはWebアプリケーション層の攻撃を検知・防御します。
A: ファイアウォールは主にネットワーク層の通信制御を行い、WAFはWebアプリケーション層の攻撃を検知・防御します。
Q: PCI DSSの要件6にはどんな対策が含まれますか?
A: 安全な開発プロセスの確立、脆弱性の修正、WAFの導入などアプリケーションの安全性を高める対策が含まれます。
A: 安全な開発プロセスの確立、脆弱性の修正、WAFの導入などアプリケーションの安全性を高める対策が含まれます。
関連キーワード: PCI DSS, WAF, Webアプリケーションセキュリティ, ファイアウォール, 脆弱性対策, セキュリティ基準