情報処理安全確保支援士 2014年 春期 午前2 問16
問題文
WAF(Web Application Firewall)のブラックリスト又はホワイトリストの説明のうち、適切なものはどれか。
選択肢
ア:ブラックリストは、脆弱性があるサイトのIPアドレスを登録したものであり、該当する通信を遮断する。
イ:ブラックリストは、問題がある通信データパターンを定義したものであり、該当する通信を遮断するか又は無害化する。(正解)
ウ:ホワイトリストは、暗号化された受信データをどのように復号するかを定義したものであり、復号鍵が登録されていないデータを遮断する。
エ:ホワイトリストは、脆弱性がないサイトのFQDNを登録したものであり、登録がないサイトへの通信を遮断する。
WAFのブラックリスト又はホワイトリストの説明【午前2 解説】
正解の理由
選択肢イが正解です。WAF(Web Application Firewall)はHTTP/HTTPSのリクエストやレスポンスの内容を検査し、既知の攻撃パターンや疑わしいデータパターンを基に遮断または無害化(サニタイズ)します。ブラックリスト方式は「禁止するパターンを列挙」し、一致した通信をブロックする方法であり、設問の記述はこれに合致しています。
解法ステップ
- WAFの目的を確認:Webアプリの入力/出力を監視し攻撃を防ぐ装置であると理解する。
- ブラックリスト/ホワイトリストの一般的定義を思い出す:ブラックリストは「禁止項目列挙」、ホワイトリストは「許可項目列挙」。
- 各選択肢を照らし合わせる:通信データパターンを扱うものがWAFらしいため、該当する選択肢を選ぶ。
- IPやFQDN、暗号復号に関する記述はWAFの代表的説明と異なるため除外する。
選択肢別の誤答解説
- ア: ブラックリストをIPアドレス一覧とする説明はファイアウォールやアクセス制御リスト(ACL)の説明に近く、WAFの「アプリケーション層のパターン検出」とは異なるため不適切です。
- イ: 正解。WAFは攻撃パターン(不正な入力や攻撃シグネチャ)を定義して一致時に遮断・無害化します。
- ウ: ホワイトリストを暗号化データの復号定義とする説明は誤りです。復号鍵管理はTLS終端やプロキシの役割であって、ホワイトリストの概念ではありません。
- エ: ホワイトリストをFQDNの脆弱性有無で管理する説明も誤りです。ホワイトリストは許可される振る舞いや入力パターンを列挙する方式であり、FQDNの脆弱性有無で通信を許可する仕組みではありません。
よくある誤解
- 誤解1: ブラックリスト=攻撃元IPのリスト、という混同。WAFのブラックリストはシグネチャ(パターン)を指すことが多く、単なるIPリストとは用途が異なります。
- 誤解2: ホワイトリスト=暗号復号の設定、という誤認。ホワイトリストは許可する振る舞いや入力パターンを限定する方式で、復号鍵の管理とは別問題です。
- 誤解3: ホワイトリストは常に安全、という過信。許可制は高い安全性を提供する反面、運用負荷や正当な通信の阻害が起きやすい点に注意が必要です。
補足コラム
- ブラックリスト方式の利点は導入が比較的容易で既知の攻撃にすばやく対応できる点ですが、新しい攻撃や亜種には対応が遅れるリスクがあります。
- ホワイトリスト方式は「許可された振る舞い以外を全部拒否」するため高い防御力を発揮しますが、運用で許可項目の管理が煩雑になり誤ブロックの原因になり得ます。
- 実運用ではブラックリストとホワイトリスト、レート制御、IP制限、TLS終端やWAFの透過的モードなどを組み合わせる設計が多いです。
FAQ
Q1: WAFとネットワークファイアウォールの違いは何ですか?
A1: ネットワークFWはIP/ポートレベルで通信の可否を制御する一方、WAFはHTTP/HTTPSのヘッダやボディなどアプリケーション層の内容に基づいて振る舞いを検査・制御します。
A1: ネットワークFWはIP/ポートレベルで通信の可否を制御する一方、WAFはHTTP/HTTPSのヘッダやボディなどアプリケーション層の内容に基づいて振る舞いを検査・制御します。
Q2: ブラックリストだけで十分ですか?
A2: 既知の攻撃には有効ですが、未知の攻撃やシグネチャ回避技術には弱いため、ホワイトリストや振る舞い検知などとの併用が推奨されます。
A2: 既知の攻撃には有効ですが、未知の攻撃やシグネチャ回避技術には弱いため、ホワイトリストや振る舞い検知などとの併用が推奨されます。
Q3: 暗号化通信はWAFでどう扱いますか?
A3: TLS終端(復号)をWAF側で行う必要がある場合があり、復号鍵の管理や法務・プライバシー面の検討が必要です。ホワイトリストとは別の技術的・運用的課題です。
A3: TLS終端(復号)をWAF側で行う必要がある場合があり、復号鍵の管理や法務・プライバシー面の検討が必要です。ホワイトリストとは別の技術的・運用的課題です。
関連キーワード: WAF、ブラックリスト、ホワイトリスト、WEBセキュリティ、OWASP、シグネチャ検出、サニタイズ、TLS、WAF運用、侵入防御

\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

