<p><style_prompt>IPA_EXAM_COMMENTARY</style_prompt>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト(未検証)</strong>です。</p>
<h1 class="wp-block-heading">令和5年度 情報処理安全確保支援士試験 午前Ⅱ 問1 WAFの防御範囲</h1>
<p>この問題はWAFの防御対象を問うています。Webアプリ固有の攻撃に対し、L7で通信内容を詳細に検査・遮断する仕組みの理解が解法の核です。</p>
<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p>WAF (Web Application Firewall) が防御可能な攻撃はどれか。</p>
<p>ア:DoS攻撃のうち、ネットワーク層を対象とした攻撃
イ:SQLインジェクション
ウ:フィッシング
エ:ポートスキャン</p>
</blockquote>
<p>【解説】
WAFは、OSI参照モデルの第7層(アプリケーション層)で動作するセキュリティ対策です。HTTPリクエストのボディやヘッダーに含まれる文字列を解析し、あらかじめ登録された攻撃パターン(シグネチャ)と照合することで、不正な通信を遮断します。</p>
<p>従来のファイアウォール(L3/L4レベル)では、ポート番号80(HTTP)や443(HTTPS)が開いている場合、その中身の不正なスクリプトやSQL命令までを判別できません。WAFはこの「中身」を検査できるのが最大の特徴です。</p>
<div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid">
graph LR
User["ユーザー"] -- HTTP Request --> WAF{WAF}
WAF -- 正常: 通過 --> WebServer["Webサーバ"]
WAF -- 不正: 遮断 --> Block["破棄/警告"]
subgraph Inspection["L7 検査項目"]
SQL["SQL命令"]
XSS["スクリプト"]
end
</pre></div>
<p>【選択肢の吟味】</p>
<figure class="wp-block-table"><table>
<thead>
<tr>
<th style="text-align:left;">選択肢</th>
<th style="text-align:center;">判定</th>
<th style="text-align:left;">解説</th>
</tr>
</thead>
<tbody>
<tr>
<td style="text-align:left;">ア</td>
<td style="text-align:center;">×</td>
<td style="text-align:left;">ネットワーク層のDoS攻撃(SYN Flood等)は、FWやIDS/IPS、ISP側の対策範囲です。</td>
</tr>
<tr>
<td style="text-align:left;">イ</td>
<td style="text-align:center;"><strong>○</strong></td>
<td style="text-align:left;">SQLインジェクションはHTTPリクエストを介したWebアプリへの攻撃であり、WAFの典型的な防御対象です。</td>
</tr>
<tr>
<td style="text-align:left;">ウ</td>
<td style="text-align:center;">×</td>
<td style="text-align:left;">フィッシングは偽サイトへ誘導する手口であり、サーバ側で動作するWAFで防ぐことはできません。</td>
</tr>
<tr>
<td style="text-align:left;">エ</td>
<td style="text-align:center;">×</td>
<td style="text-align:left;">ポートスキャンは攻撃対象の空きポートを調査する行為(L3/L4)であり、FWが防御を担当します。</td>
</tr>
</tbody>
</table></figure>
<p>【ポイント】</p>
<ul class="wp-block-list">
<li><p>WAFはOSI参照モデルの第7層(アプリケーション層)で動作する。</p></li>
<li><p>Webアプリケーション特有の脆弱性(SQLi、XSS、OSコマンド注入等)を防御する。</p></li>
<li><p>ネットワーク層やトランスポート層の攻撃は、FWやIDS/IPSが担当する。</p></li>
</ul>
IPA_EXAM_COMMENTARY本記事はGeminiの出力をプロンプト工学で整理した業務ドラフト(未検証)です。
令和5年度 情報処理安全確保支援士試験 午前Ⅱ 問1 WAFの防御範囲
この問題はWAFの防御対象を問うています。Webアプリ固有の攻撃に対し、L7で通信内容を詳細に検査・遮断する仕組みの理解が解法の核です。
WAF (Web Application Firewall) が防御可能な攻撃はどれか。
ア:DoS攻撃のうち、ネットワーク層を対象とした攻撃
イ:SQLインジェクション
ウ:フィッシング
エ:ポートスキャン
【解説】
WAFは、OSI参照モデルの第7層(アプリケーション層)で動作するセキュリティ対策です。HTTPリクエストのボディやヘッダーに含まれる文字列を解析し、あらかじめ登録された攻撃パターン(シグネチャ)と照合することで、不正な通信を遮断します。
従来のファイアウォール(L3/L4レベル)では、ポート番号80(HTTP)や443(HTTPS)が開いている場合、その中身の不正なスクリプトやSQL命令までを判別できません。WAFはこの「中身」を検査できるのが最大の特徴です。
graph LR
User["ユーザー"] -- HTTP Request --> WAF{WAF}
WAF -- 正常: 通過 --> WebServer["Webサーバ"]
WAF -- 不正: 遮断 --> Block["破棄/警告"]
subgraph Inspection["L7 検査項目"]
SQL["SQL命令"]
XSS["スクリプト"]
end
【選択肢の吟味】
| 選択肢 |
判定 |
解説 |
| ア |
× |
ネットワーク層のDoS攻撃(SYN Flood等)は、FWやIDS/IPS、ISP側の対策範囲です。 |
| イ |
○ |
SQLインジェクションはHTTPリクエストを介したWebアプリへの攻撃であり、WAFの典型的な防御対象です。 |
| ウ |
× |
フィッシングは偽サイトへ誘導する手口であり、サーバ側で動作するWAFで防ぐことはできません。 |
| エ |
× |
ポートスキャンは攻撃対象の空きポートを調査する行為(L3/L4)であり、FWが防御を担当します。 |
【ポイント】
WAFはOSI参照モデルの第7層(アプリケーション層)で動作する。
Webアプリケーション特有の脆弱性(SQLi、XSS、OSコマンド注入等)を防御する。
ネットワーク層やトランスポート層の攻撃は、FWやIDS/IPSが担当する。
ライセンス:本記事のテキスト/コードは特記なき限り
CC BY 4.0 です。引用の際は出典URL(本ページ)を明記してください。
利用ポリシー もご参照ください。
コメント