ITパスポート過去問 令和6年度(2024年)問90
セキュリティ対策として使用されるWAFの説明として,適切なものはどれか。
選択肢
- ア:ECなどのWebサイトにおいて,Webアプリケーションソフトウェアの脆弱性(ぜいじゃくせい)を突いた攻撃からの防御や,不審なアクセスのパターンを検知する仕組み
- イ:インターネットなどの公共のネットワークを用いて,専用線のようなセキュアな通信環境を実現する仕組み
- ウ:情報システムにおいて,機密データを特定して監視することによって,機密データの紛失や外部への漏えいを防止する仕組み
- エ:ファイアウォールを用いて,インターネットと企業の内部ネットワークとの間に緩衝領域を作る仕組み
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
WAFは、WebサイトへのHTTP/HTTPS通信を検査し、Webアプリケーションの脆弱性を悪用する攻撃(例:SQLインジェクション、クロスサイトスクリプティング)や不審なアクセスパターンを検知し、遮断する仕組みです。ネットワーク間の通信可否を主に扱うファイアウォールとは異なり、Webアプリケーション向けの通信内容に着目して防御します。
Point
この問題は、WAFがWebアプリケーションへの攻撃(SQLインジェクションなど)を対象に、通信内容を見て検知・遮断する仕組みであることと、VPN、DLP、DMZなどの別の対策と区別できるかを確認しています。
解くために必要な知識
この問題を解くには、WAF、VPN、DLP、DMZ(ファイアウォールによる分離)の目的と対象の違いの理解が必要です。
用語の整理
| 用語名 | 意味 |
|---|---|
| WAF(Web Application Firewall) | Webアプリケーションへの通信(HTTP/HTTPS)を検査し、攻撃パターンや不正入力を検知して遮断する仕組みです。Webアプリケーションの脆弱性を悪用する攻撃への対策として用いられます。 |
| 脆弱性 | ソフトウェアや設定にある弱点で、攻撃者に悪用される可能性がある欠陥です。 |
| Webアプリケーション | Webブラウザなどから利用するアプリケーションで、HTTP/HTTPSで通信します。 |
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| VPN(Virtual Private Network) | インターネットなどの公衆網を利用しつつ、暗号化や認証によって専用線のように安全な通信を行う仕組みです。 |
| DLP(Data Loss Prevention) | 機密情報を識別、監視し、外部送信や持ち出しを制御して漏えいを防ぐ仕組みです。 |
| ファイアウォール | ルールに基づいて通信の許可、遮断を制御し、不要な通信を遮断する仕組みです。 |
| DMZ(DeMilitarized Zone) | インターネットと内部ネットワークの間に設ける中間領域です。外部公開サーバを置き、内部ネットワークへの直接侵入を抑えます。 |
問題の解法手順
各選択肢の整理
| 選択肢 | 内容の要点 | 該当する技術 | 正誤 |
|---|---|---|---|
| ア | Webアプリケーションの脆弱性を突いた攻撃への防御、不審なアクセスパターンの検知 | WAF | ○ |
| イ | 公共ネットワークを使い、専用線のようにセキュアな通信環境を実現 | VPN | × |
| ウ | 機密データを特定し監視して、紛失や外部漏えいを防止 | DLP | × |
| エ | ファイアウォールで緩衝領域を作る | DMZ | × |
選択肢ごとの解説
- ア:正解
WAFの説明として適切です。Webアプリケーション層(HTTP/HTTPS)の通信内容を監視し、脆弱性を突く攻撃や不審なアクセスを検知して遮断します。
- イ:不正解
VPNの説明です。公衆回線を利用しながら、暗号化などで専用線のようなセキュアな通信環境を実現します。
- ウ:不正解
DLPの説明です。機密データを特定して監視し、外部への漏えいなどを防止します。
- エ:不正解
DMZの説明です。インターネットと内部ネットワークの間に緩衝領域を設け、外部公開用サーバなどを配置します。
まとめ
WAFは、WebサイトへのHTTP/HTTPS通信を検査し、Webアプリケーションの脆弱性を悪用する攻撃(例:SQLインジェクション、クロスサイトスクリプティング)や不審なアクセスパターンを検知し、遮断する仕組みです。ネットワーク間の通信可否を主に扱うファイアウォールとは異なり、Webアプリケーション向けの通信内容に着目して防御します。
テクノロジ系 > 技術要素 > セキュリティ
WAFの説明として適切です。Webアプリケーション層(HTTP/HTTPS)の通信内容を監視し、脆弱性を突く攻撃や不審なアクセスを検知して遮断します。
VPNの説明です。公衆回線を利用しながら、暗号化などで専用線のようなセキュアな通信環境を実現します。
DLPの説明です。機密データを特定して監視し、外部への漏えいなどを防止します。
DMZの説明です。インターネットと内部ネットワークの間に緩衝領域を設け、外部公開用サーバなどを配置します。