【問285】個人情報保護士 練習問題|WAF
情報セキュリティ 問105/120難易度B(標準)
問題文
WAF(Web Application Firewall)に関する次の記述のうち、最も不適切なものはどれか。
- 1.WAFはWebアプリケーションへの攻撃(SQLインジェクション、クロスサイトスクリプティング等)を検知・遮断する
- 2.WAFはHTTP/HTTPSの通信内容を解析して不正なリクエストを検出する
- 3.WAFを導入すればWebアプリケーション自体の脆弱性対策は不要になる
- 4.WAFにはブラックリスト型(既知の攻撃パターンを拒否)とホワイトリスト型(許可パターン以外を拒否)がある
解説
正解
正解は選択肢3です。
各選択肢の解説
選択肢1 → ❌誤り(適切な記述)
WAFはSQLインジェクション、クロスサイトスクリプティング(XSS)、OSコマンドインジェクションなどのWebアプリケーションへの攻撃を検知・遮断する機能を持ちます。
選択肢2 → ❌誤り(適切な記述)
WAFはHTTP/HTTPSのリクエストとレスポンスの内容を解析し、不正なパターンを検出します。通常のファイアウォールが検査しないアプリケーション層の通信を検査できます。
選択肢3 → ✅正解(不適切な記述)
WAFは防御の一層として有効ですが、Webアプリケーション自体の脆弱性対策(セキュアコーディング、脆弱性修正)の代替にはなりません。根本的な対策はアプリケーション自体の修正であり、WAFは補完的な対策です。
選択肢4 → ❌誤り(適切な記述)
WAFの検知方式には、既知の攻撃パターンを登録して拒否するブラックリスト型と、正常な通信パターンのみを許可するホワイトリスト型があります。
背景知識
WAFは個人情報を収集するWebサイトの保護に重要な役割を果たします。個人情報入力フォームを持つWebサイトでは、SQLインジェクションやXSSによる情報漏えいのリスクがあるため、WAFの導入が推奨されます。クラウド型WAFの普及により導入の敷居が下がっています。ただし、WAFはあくまで防御の一層であり、Webアプリケーションのセキュアな開発(入力値検証、パラメータ化クエリの使用等)が根本的な対策として不可欠です。
学習アドバイス
WAFと通常のファイアウォールの違い(検査するOSI層の違い)を理解しましょう。WAFが防げる攻撃の種類と、WAFだけでは対応できない点を整理しておくことが大切です。
まとめ
- WAFはWebアプリケーション層の攻撃を検知・遮断する
- WAFは補完的対策であり、アプリ自体の脆弱性対策が根本的
- ブラックリスト型とホワイトリスト型の2方式がある