基本情報 平成28年度 秋期 問43：テクノロジ系に関する問題

答えは b「WAF」 です。

WAF（Web Application Firewall）はWebアプリ専用のセキュリティ門番。クライアントとWebサーバの間に立って、SQLインジェクションやXSS等のWebアプリ攻撃パターンを見つけたら通信をブロックします。

通常のファイアウォールが「ポート単位」で守るのに対し、WAFは「HTTPリクエストの中身」まで見る精密版。

👉 覚え方：WAF＝Webアプリ専門の盾。

ほかの選択肢：a SSL-VPN＝暗号化リモートアクセス／c クラスタ＝可用性向上／d ロードバランシング＝負荷分散。「攻撃遮断」ならWAF。

なぜこれが正解か

正解は b。WAF（Web Application Firewall）はクライアントとWebサーバの間に配置され、HTTPリクエスト/レスポンスの内容を解析してSQLインジェクション・XSS・CSRF・コマンドインジェクション・パストラバーサル等のWebアプリケーション層攻撃を検知・遮断するセキュリティ機器。アプリ修正なしで脆弱性を防御できる仮想パッチとしても活用される。

各選択肢の解説

• a SSL-VPN：暗号化リモートアクセス機能。社外から社内ネットへ安全接続する用途で、攻撃遮断は主目的でない。
• b WAF：正解。Webアプリ層攻撃の検知・遮断専用。
• c クラスタ構成：複数サーバを論理的に一台に見せ、可用性・性能向上を実現。攻撃遮断は機能外。
• d ロードバランシング：負荷分散機能。同じく攻撃遮断は機能外。

覚え方・ひっかけ注意

セキュリティ機器の役割整理：

• FW（Firewall）：L3/L4でポート・IPベースのフィルタ
• WAF：L7でWebアプリ攻撃検知・遮断
• IDS（Intrusion Detection System）：侵入検知（検知のみ）
• IPS（Intrusion Prevention System）：侵入検知＋遮断
• UTM（Unified Threat Management）：複数機能統合
• NGFW（Next-Gen Firewall）：アプリ識別＋IPS＋WAF統合

「Webアプリ攻撃→WAF／ネット層攻撃→FW・IPS」で識別。試験では機器の役割識別が頻出。

理論的背景

WAFはOSIモデルL7（アプリケーション層）で動作するWebアプリ特化型ファイアウォール。検知方式は：

• シグネチャベース（ブラックリスト）：既知攻撃パターンマッチング（例：`UNION SELECT`、`<script>`）
• ホワイトリストベース：許可パターンのみ通過（厳格だが運用負荷高）
• ヒューリスティック／機械学習：異常検知（誤検知あり）
• レピュテーション：既知悪性IP/UA遮断

PCI DSS要件6.6で Web アプリ向けに「アプリレベル脆弱性診断 or WAF導入」が必須化、規制対応で導入が加速。

実務での使われ方

WAF製品分類：

• アプライアンス型：F5 BIG-IP ASM、Imperva SecureSphere
• ソフトウェア型：ModSecurity（OSS）、Naxsi
• クラウド型（WaaS）：AWS WAF、Cloudflare WAF、Akamai Kona Site Defender、Azure Application Gateway WAF
• CDN統合型：Cloudflare、Fastly、CloudFront

運用課題：

• 誤検知（False Positive）：正常リクエスト遮断 → ホワイトリスト調整
• 誤許可（False Negative）：攻撃通過 → カスタムルール追加
• チューニング負荷：継続的な調整必要
• 暗号化通信解析：SSL/TLS終端or復号権限が必要
• API攻撃対策：REST/GraphQL/gRPCへの対応

試験での位置づけ

セキュリティ分野の頻出テーマ。基本情報ではWAF用語識別、応用情報・情報処理安全確保支援士ではWAFアーキテクチャ・OWASP CRS（Core Rule Set）・誤検知対策・Bot対策まで踏み込む。

選択肢の発展補足

WAF関連技術：

• OWASP CRS：ModSecurity標準ルールセット（業界デファクト）
• Virtual Patching：脆弱性のあるアプリをWAFで暫定保護
• API Security：API Gateway（Kong, Apigee）でレート制限・認証・スキーマ検証
• Bot管理：Akamai Bot Manager、PerimeterX等でCredential Stuffing・スクレイピング・スキャルピング対策
• RASP（Runtime Application Self-Protection）：アプリ内部に組込み実行時防御
• WAAP（Web Application and API Protection）：WAF+Bot対策+API保護+DDoS対策の統合

現代ではマイクロサービス・サーバレス・API中心アーキテクチャでWAF配置が複雑化。Service Mesh（Istio・Linkerd）でセキュリティポリシをアプリ外で統一管理、eBPFでカーネル層からの可視化・制御等の発展技術も登場。SOARと連携してWAFアラートから自動対応するSecurity Automationも標準化。試験対策はWAFの基本役割＋OWASP Top 10との対応＋現代Webセキュリティアーキテクチャの理解で応用情報・支援士まで対応可能。