FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:WAFの説明として適切なものはどれか。
問題
WAFの説明として適切なものはどれか。
- ア ファイルの暗号化ソフトウェア
- イ ネットワーク帯域制御装置
- ウ 無線LANのセキュリティ規格
- エ Webアプリケーションへの攻撃を検知し防御する専用ファイアウォール(正解)
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲
正解と解説
正解:Webアプリケーションへの攻撃を検知し防御する専用ファイアウォール
論点:WAF(Web Application Firewall)は、Webアプリケーションに対する攻撃を検知・遮断する専用の防御機能です。SQLインジェクションやクロスサイトスクリプティング(XSS)のように、HTTPリクエストの内容を悪用する攻撃への対策として使われます。
一般のファイアウォールとの違い:一般的なファイアウォールは主にIPアドレスやポート番号など通信の通し方を制御します。一方、WAFはWebアプリへのリクエスト内容を見て、攻撃らしい入力を止める点が特徴です。ファイル暗号化、帯域制御、無線LAN規格とは別物だと覚えておきましょう。
IDS・IPSとの違い:IDS(侵入検知)やIPS(侵入防御)はネットワーク全体の不正通信を広く監視しますが、WAFはWebアプリ宛てのHTTP/HTTPS通信に特化し、リクエスト本文まで検査します。アプリ層(OSI第7層)で動作する点が、ポートやIPで制御する従来型と異なる要点です。
他の選択肢はなぜ違う?
- アファイルの暗号化ソフトではない。
- イ帯域制御はQoS装置の話。
- ウ無線LANのセキュリティ規格はWPA系。WAFはWebアプリの防御。
この問題について
IPAが公開するシラバス・試験範囲・公開問題の出題形式を参考にした独自作成問題。公式問題・過去問題の転載ではありません。
公式試験問題、過去問題、公式サンプル問題、市販教材の問題文を転載したものではありません。