ITパスポート試験 令和6年度分 解説
問90 セキュリティ対策として使用される WAF の説明として、 適切なものはどれか。
ア EC などの Web サイトにおいて, Web アプリケーションソフトウェアの脆弱性を突いた攻撃からの防御や、不審なアクセスのパターンを検知する仕組み
イ インターネットなどの公共のネットワークを用いて, 専用線のようなセキュアな通信環境を実現する仕組み
ウ 情報システムにおいて, 機密データを特定して監視することによって, 機密データの紛失や外部への漏えいを防止する仕組み
エ ファイアウォールを用いて, インターネットと企業の内部ネットワークとの間に緩衝領域を作る仕組み
解説
WAF(Web Application Firewall)は、Webアプリケーションに対する攻撃を防ぐためのセキュリティ対策です。特に、ECサイトなどのWebサイトにおいて、Webアプリケーションの脆弱性を狙った攻撃(例:SQLインジェクションやクロスサイトスクリプティングなど)から防御する役割を担います。また、不審なアクセスパターンを検知し、攻撃をブロックすることもできます。
選択肢ごとの説明:
- ア:Webサイトに対する攻撃を防御し、不審なアクセスを検知する仕組みであり、WAFの説明に該当します。これは適切な記述です。
- イ:公共のネットワーク上で専用線のようなセキュリティを提供する仕組みはVPN(Virtual Private Network)であり、WAFではありません。
- ウ:機密データを監視し、漏えいを防ぐ仕組みはDLP(Data Loss Prevention)と呼ばれる技術であり、WAFとは異なります。
- エ:インターネットと内部ネットワークの間に緩衝領域を設ける仕組みはDMZ(Demilitarized Zone)であり、WAFの説明ではありません。
したがって、正解は「ア ECなどのWebサイトにおいて、Webアプリケーションソフトウェアの脆弱性を突いた攻撃からの防御や、不審なアクセスのパターンを検知する仕組み」です。