ホーム > 情報処理安全確保支援士試験 > 2013年 春期
情報処理安全確保支援士試験 2013年 春期 午前2 問04
図のような構成と通信サービスのシステムにおいて, Web アプリケーションの脆弱性対策としてネットワークのパケットをキャプチャして WAF による検査を行うとき, WAF の設置場所として最も適切な箇所はどこか。ここで,WAF には通信を暗号化したり,復号したりする機能はないものとする。
ア:a
イ:b
ウ:c(正解)
エ:d
解説
Webアプリケーションの脆弱性対策におけるWAF設置場所の選定【午前2 解説】
要点まとめ
- 結論:WAFは暗号化解除後のHTTP通信区間(c)に設置するのが最適です。
- 根拠:WAFは暗号化・復号機能を持たないため、暗号化されたHTTPS通信を直接検査できません。
- 差がつくポイント:SSLアクセラレータでHTTPSをHTTPに復号した後の通信を検査することで、正確なパケット解析と攻撃検知が可能になります。
正解の理由
WAFは通信内容を検査して攻撃を防ぐため、通信が暗号化されていると内容を解析できません。問題文で「WAFには通信を暗号化したり復号したりする機能はない」と明示されているため、暗号化されたHTTPS通信区間(aやb)に設置しても意味がありません。
図の構成では、SSLアクセラレータがHTTPS通信をHTTPに復号しているため、WAFは復号後のHTTP通信区間(c)に設置することで、通信内容を正しく検査できます。
したがって、選択肢の中で最も適切なのはウ(c)です。
図の構成では、SSLアクセラレータがHTTPS通信をHTTPに復号しているため、WAFは復号後のHTTP通信区間(c)に設置することで、通信内容を正しく検査できます。
したがって、選択肢の中で最も適切なのはウ(c)です。
よくある誤解
WAFは暗号化通信の途中に設置すれば効果があると誤解されがちですが、暗号化されたままでは通信内容を検査できません。SSLアクセラレータの前に設置しても意味がない点に注意が必要です。
解法ステップ
- WAFの機能を確認し、暗号化・復号機能がないことを理解する。
- 通信経路の暗号化状態を把握し、どの区間が暗号化されているかを確認する。
- 暗号化解除(復号)が行われる箇所を特定する。
- 復号後の平文通信区間にWAFを設置するのが適切と判断する。
- 選択肢の中から復号後のHTTP通信区間(c)を選ぶ。
選択肢別の誤答解説
- ア(a):インターネットからファイアウォールまでのHTTPS通信区間。通信は暗号化されており、WAFは内容を検査できません。
- イ(b):ファイアウォールからSSLアクセラレータまでのHTTPS通信区間。ここも暗号化されたままなので検査不可です。
- ウ(c):SSLアクセラレータで復号された後のHTTP通信区間。WAFが通信内容を検査可能な唯一の区間です。
- エ(d):Webサーバからデータベースアクセス用サービスへの通信区間。これはWebアプリケーションの脆弱性対策としてのWAF設置場所としては不適切です。
補足コラム
WAF(Web Application Firewall)はWebアプリケーションへの攻撃を検知・防御するための専用ファイアウォールです。HTTPS通信の検査には、SSL復号機能を持つSSLアクセラレータやSSLターミネーション装置と連携させることが一般的です。近年はWAF自体にSSL復号機能を持つ製品もありますが、問題文のように機能がない場合は復号後の通信に設置する必要があります。
FAQ
Q: WAFはなぜ暗号化通信を直接検査できないのですか?
A: WAFは通信内容を解析して攻撃を検知するため、暗号化されたままでは内容が読めず検査できません。復号が必要です。
A: WAFは通信内容を解析して攻撃を検知するため、暗号化されたままでは内容が読めず検査できません。復号が必要です。
Q: SSLアクセラレータとは何ですか?
A: SSLアクセラレータはHTTPS通信の暗号化・復号処理を専門に行う装置で、サーバの負荷軽減や通信の復号を担当します。
A: SSLアクセラレータはHTTPS通信の暗号化・復号処理を専門に行う装置で、サーバの負荷軽減や通信の復号を担当します。
関連キーワード: WAF設置場所, SSLアクセラレータ, HTTPS復号, Webアプリケーション脆弱性, ネットワークセキュリティ