問題
問10
図のような構成と通信サービスのシステムにおいて、Webアプリケーションの脆弱性対策のためのWAFの設置場所として、最も適切な箇所はどこか。ここで、WAFには通信を暗号化したり、復号したりする機能はないものとする。
- a
- b
- c
- d
[出典:基本情報技術者試験 令和5年度(科目A) 問10]
スポンサーリンク
正解
正解は「ウ」です。
解説
正解は「ウ」の「c」(SSLアクセラレータとWebサーバの間)です。WAF(Web Application Firewall)は、Webアプリケーションに対する攻撃、たとえばSQLインジェクションやクロスサイトスクリプティング(XSS)などを防ぐために、HTTPレベルの通信を解析して不正アクセスを検知・遮断します。そのため、WAFはHTTPの中身を読み取れる必要があり、通信が暗号化されていると解析ができません。
問題文に「WAFには通信を暗号化したり、復号したりする機能はない」と明記されているため、WAFが正しく機能するには、通信がすでに復号されている箇所に設置する必要があります。選択肢「c」は、SSLアクセラレータによってHTTPS通信がHTTPに復号された直後のポイントであり、ここならWAFが通信の中身を正しく検査できます。
一方、SSLアクセラレータの前(a や b)の段階では通信はまだ暗号化されており、WAFには中身を解析する能力がないため不適切です。Webサーバの後(d)では、既にアプリケーションにリクエストが到達した後なので、脆弱性を突く攻撃を防ぐには遅すぎます。したがって、「c」の位置が最も適切です。
ア(a):
この位置はHTTPS通信のままで暗号化されており、WAFは復号できないため通信の内容を確認できません。
イ(b):
この段階でもまだ通信は暗号化されたHTTPSであり、WAFには通信の中身を解析できません。
エ(d):
Webサーバを経由した後の位置であり、攻撃を未然に防ぐには遅く、WAFの意味がありません。
難易度
この問題はWAFの役割や設置場所に関する知識を正確に理解していれば、難しくありません。ただし、暗号化・復号のタイミングを理解していないと誤答しやすく、ネットワーク構成への理解も求められるため、難易度は中程度といえます。
スポンサーリンク
用語補足
WAF(Web Application Firewall):
Webアプリケーションの脆弱性を悪用した攻撃(例:SQLインジェクションやXSS)を防ぐため、通信内容を解析・制御するファイアウォールです。
SSLアクセラレータ:
HTTPSで暗号化された通信を復号してHTTPに変換する装置やソフトウェアです。Webサーバの負荷軽減のために導入されます。
HTTPS:
HTTPにSSL/TLSによる暗号化を加えた通信方式で、安全なデータ送受信を実現します。WAFでは復号された後のHTTPを検査します。
対策
WAFの設置位置は、SSL復号後でHTTP通信が見える位置である必要があります。ネットワーク構成図の読み取りや、HTTPSとHTTPの違い、WAFの役割を視覚的に理解できるように図で確認しながら学習すると、同様の問題にも対応しやすくなります。
