PEST分析とは?初心者でもわかるIT用語解説 | ITパスポート試験対策
oufmoui
TAKE IT EASY!
WAFとは?意味・仕組み・ファイアウォールとの違いを初心者向けに解説|IT資格試験対策【過去問付き】
oufmoui
IT関連の勉強をしていて、『WAF』という言葉に出会い、『いまいちピンとこない……』と頭を悩ませていませんか?
試験では単なる用語の暗記だけではなく、その仕組みや活用シーンが問われます。せっかく勉強するなら、試験に受かるだけでなく、仕事でも役立つ『一生モノの知識』として身につけたいですよね。
この記事では、CCPAの本質を、分かりやすい『例え話』を交えながら解説します。難しい理屈を徹底的に噛み砕き、専門用語を使わずにその正体を解き明かします。
肩の力を抜いて、気楽に読み進めましょう。この記事を読み終える頃には、小難しい専門用語がスッと頭に入り、自信を持って問題に挑めるようになっているはずです。試験合格のその先を見据えた『使える知識』を、日本一分かりやすくお届けします。
| 用語 | WAF | ||||||
|---|---|---|---|---|---|---|---|
| 正式名称 | Web Application Firewall | ||||||
| 日本語訳 | Webアプリケーションファイアウォール | ||||||
| 定義 | WebサーバとWebクライアント間の通信内容を検査し、SQLインジェクションやクロスサイトスクリプティングなどWebアプリケーションの脆弱性を狙った攻撃を検知・遮断するセキュリティ対策製品です。 | ||||||
| 試験別出題 | |||||||
| IT | ○ | SG | ◎ | FE | ◎ | AP | ◎ |
| カテゴリ | セキュリティ / ネットワーク | ||||||
| 関連用語 | ファイアウォール / IDS / IPS / SQLインジェクション / クロスサイトスクリプティング / シグネチャ / UTM / HTTPS | ||||||
WAFとは
WAFは「Web Application Firewall(ウェブ・アプリケーション・ファイアウォール)」の略称で、「ワフ」と読みます。WebサイトやWebアプリケーションを、サイバー攻撃から守るための専門的なセキュリティ対策です。
通常のファイアウォールがネットワーク全体の入り口で不審な通信を遮断するのに対し、WAFはWebアプリケーション特有の攻撃に特化して防御します。Webサーバーとユーザーとの間に設置され、やり取りされる通信内容を詳しくチェックして、悪意のある攻撃だけをブロックする仕組みです。
WAFの役割
WAFの主な役割は、Webアプリケーションの弱点を突いた攻撃からWebサイトを守ることです。例えば、ショッピングサイトの会員情報を盗み出そうとする攻撃や、企業のWebサイトに不正なプログラムを仕込もうとする攻撃を防ぎます。
WAFはWebサーバーの「門番」のような存在で、24時間365日、訪問者からの通信内容を監視し続けます。正常な通信は素通りさせ、怪しい通信だけを見つけて遮断するため、正規のユーザーには影響を与えずにセキュリティを強化できます。
従来のセキュリティ対策との違い
Webサイトを守るセキュリティ対策には、WAF以外にもいくつかの種類があります。それぞれ守る対象が異なるため、組み合わせて使うことが一般的です。
| セキュリティ対策 | 防御対象 | 主な防御内容 |
|---|---|---|
| ファイアウォール | ネットワークレベル | IPアドレスやポート番号で不正な通信を遮断 |
| IPS/IDS | OS・ミドルウェアレベル | サーバーのOSやソフトウェアの脆弱性を狙った攻撃を防御 |
| WAF | アプリケーションレベル | Webアプリケーションの脆弱性を狙った攻撃を防御 |
ファイアウォールは建物の正面玄関の警備、IPS/IDSは建物自体の構造的な弱点を守る役割です。一方、WAFは建物内の各部屋(Webアプリケーション)を守る専門の警備員に例えられます。
WAFの仕組み
シグネチャとは
WAFは「シグネチャ」という仕組みを使って、攻撃かどうかを判断します。シグネチャとは、過去に発生したサイバー攻撃のパターンをデータベース化したもので、攻撃者が使う特徴的な文字列や命令のリストです。
WAFは通信内容をシグネチャと照らし合わせ、一致するパターンが見つかれば「これは攻撃だ」と判断して遮断します。シグネチャは定期的に更新されるため、新しい攻撃手法にも対応できます。
検知方式の種類
WAFには主に2つの検知方式があります。
ブラックリスト方式は、危険な通信パターンをリスト化し、それに該当する通信を遮断する方法です。既知の攻撃には強いですが、まだ知られていない新しい攻撃手法には対応できない弱点があります。設定が比較的簡単で、正常な通信を誤って遮断するリスクが低いのが特徴です。
ホワイトリスト方式は、安全な通信パターンだけを許可し、それ以外をすべて遮断する方法です。未知の攻撃にも対応できる強力な防御力がありますが、正常な通信まで遮断してしまう可能性があるため、細かい設定とメンテナンスが必要になります。
WAFが防げる攻撃
WAFは、Webアプリケーションを標的とした様々な攻撃を防ぐことができます。
- SQLインジェクション データベースに不正な命令を送り込み、機密情報を盗み出したり改ざんしたりする攻撃
- クロスサイトスクリプティング(XSS) Webページに悪意のあるスクリプトを埋め込み、訪問者の個人情報を盗む攻撃
- OSコマンドインジェクション サーバーに不正なコマンドを実行させ、システムを乗っ取る攻撃
- ディレクトリトラバーサル 本来アクセスできないはずのファイルやフォルダに不正にアクセスする攻撃
- クロスサイトリクエストフォージェリ(CSRF) ユーザーに気づかれないように不正な操作を実行させる攻撃
これらの攻撃は、通常のファイアウォールでは防ぐことが難しいため、WAFによる専門的な防御が重要になります。
WAFの主な機能
通信の監視と遮断
WAFの中心となる機能で、Webサイトへのすべての通信をリアルタイムで監視します。シグネチャに基づいて不正な通信を自動的に検知し、即座に遮断することで、攻撃がWebアプリケーションに到達する前に防ぎます。
シグネチャの自動更新
新しい攻撃手法が日々発見される中、シグネチャを常に最新の状態に保つことが重要です。クラウド型のWAFでは、シグネチャが自動的に更新されるため、管理者が手動で更新作業を行う手間が省けます。
IPアドレス制限
特定のIPアドレスからの通信を許可または拒否する設定ができます。例えば、特定の国からのアクセスを制限したり、社内からのアクセスだけを許可する管理画面を作ったりすることが可能です。
ログとレポート
WAFが検知・遮断した攻撃の詳細な記録を保存します。いつ、どこから、どんな攻撃があったかを確認できるため、セキュリティ対策の改善や、万が一の事故調査に役立ちます。
Cookie保護
Webサイトがユーザー情報を一時的に保存するCookieを暗号化して保護します。攻撃者がCookieを盗み出してユーザーになりすます「セッションハイジャック」という攻撃を防ぐことができます。
WAFの種類
WAFには導入形態によって主に3つのタイプがあります。
クラウド型WAFは、インターネット上のサービスとして提供されるWAFです。自社でハードウェアやソフトウェアを用意する必要がなく、すぐに導入できます。月額制の料金体系が多く、初期費用を抑えられるのが特徴です。シグネチャの更新も自動で行われ、運用の手間が少ないため、中小企業でも導入しやすいタイプです。
アプライアンス型WAFは、専用のハードウェア機器を自社のネットワークに設置するタイプです。高性能で大量の通信を処理できるため、大規模なWebサイトに適しています。ただし、導入コストが高く、設置場所や機器の管理が必要になります。
ソフトウェア型WAFは、既存のサーバーにソフトウェアをインストールして使うタイプです。柔軟なカスタマイズが可能で、既存のシステムと統合しやすいのが特徴です。サーバーのリソースを消費するため、性能面での考慮が必要になります。
WAFで誤解しやすいポイント
WAFはすべてのサイバー攻撃を防げるわけではない
多くの人がWAFを導入すれば、あらゆるセキュリティ脅威から完全に守られると勘違いしています。しかし、WAFが防ぐことができるのは、あくまでWebアプリケーションレベルの攻撃に限定されます。例えば、Webサーバーの基本ソフト(OS)やミドルウェアの脆弱性を狙った攻撃、ネットワークレベルのポートスキャン、メールに添付されたマルウェアなどはWAFでは防ぐことができません。つまり、WAFはセキュリティ対策の一部であり、他のセキュリティ手段と組み合わせて初めて効果的な防御体制が成り立つのです。
WAFが守るのはWebアプリケーション層だけ
セキュリティ対策を階層構造で考える時に、「階層」という概念が出てきます。通信を検査する階層によって、何が守れるのかが決まってきます。WAFはOSI参照モデルの第7層「アプリケーション層」だけを守ります。つまり、Webサイトやオンラインサービスなどのアプリケーション特有の攻撃からは守りますが、もっと低い階層(ネットワーク層など)での攻撃には対応できません。
シグネチャベース検知には対応できない攻撃がある
WAFは既知の攻撃パターン(シグネチャ)をデータベースに登録して、それに合致する通信をブロックします。しかし、このアプローチには限界があります。まだ発見されていない新しい攻撃手法や、攻撃者が意図的に複雑に改変した攻撃コードには対応できないことがあります。つまり、シグネチャデータベースを定期的に更新しても、未知の脅威には100パーセント対応できない可能性があることを理解しておく必要があります。
正常な通信を誤ってブロックすることがある
WAFを厳しく設定しすぎると、本来であれば許可すべき正常な通信までもブロックしてしまう可能性があります。これを「誤検知」と呼びます。例えば、ユーザーが商品検索フォームに特殊文字を含むキーワードを入力した場合、WAFがこれを攻撃と誤判定してしまうかもしれません。そのため、WAFの運用には、セキュリティレベルと利便性のバランスを取ることが重要です。
WAFだけでは不十分な理由
IT試験ではよく「複数の防御層を組み合わせる必要がある」という原則が出題されます。WAFがWebアプリケーション層を守る一方で、ネットワーク層やOS層の防御は他のセキュリティツールに任せなければいけません。建物のセキュリティに例えるなら、WAFは特定の部屋の警備員であり、玄関の警備員(ファイアウォール)や巡回警備員(IPS/IDS)がそれぞれ別の場所を守っている、そうした多層防御のモデルを理解することが試験に合格する上で重要です。
混同注意!WAFと間違いやすい用語
ファイアウォール(Firewall)とWAFの違い
ファイアウォールとWAFは名前が似ており、どちらもセキュリティ対策ですが、守る対象と仕組みが大きく異なります。
| 項目 | ファイアウォール | WAF |
|---|---|---|
| 正式名称 | Firewall | Web Application Firewall |
| 守る対象 | ネットワーク全体、サーバーインフラ | Webアプリケーション |
| 防御レイヤー | OSI参照モデル第3・4層(ネットワーク層・トランスポート層) | OSI参照モデル第7層(アプリケーション層) |
| 検査対象 | 送信元IPアドレス、送信先IPアドレス、ポート番号 | HTTPリクエスト/レスポンスのペイロード(データ内容)、パラメータ、URL |
| 防げる攻撃 | ポートスキャン、ネットワークレベルの不正アクセス | SQLインジェクション、XSS、OSコマンドインジェクション |
| 防げない攻撃 | SQLインジェクション、XSSなどWebアプリケーション狙いの攻撃 | ポートスキャン、OSやミドルウェアの脆弱性狙いの攻撃 |
ファイアウォールは「通信の送信元と送信先が正しいかどうか」を見ており、空港で例えるなら「パスポートをチェックして乗客本人か確認する」という作業です。一方、WAFは「その通信の中身に悪いコードが含まれていないか」を詳しく検査しており、空港の「手荷物検査」に相当します。どちらも重要ですが、役割が全く異なるため、試験では確実に区別する必要があります。
IPS/IDS(不正侵入防止/検知システム)とWAFの違い
IPS/IDSもWAFと同様に通信を検査して攻撃を防ぐツールですが、守る対象が異なります。これが混同しやすいポイントです。
| 項目 | IDS | IPS | WAF |
|---|---|---|---|
| 正式名称 | Intrusion Detection System(不正侵入検知システム) | Intrusion Prevention System(不正侵入防止システム) | Web Application Firewall |
| 主な役割 | 攻撃を検知して通知する | 攻撃を検知して遮断する | Webアプリケーション攻撃を検知して遮断する |
| 守る対象 | OS・ミドルウェア | OS・ミドルウェア | Webアプリケーション |
| 防御レイヤー | ネットワーク層~アプリケーション層(ただしOS・ミドルウェア層が中心) | ネットワーク層~アプリケーション層(ただしOS・ミドルウェア層が中心) | アプリケーション層 |
| 典型的な攻撃例 | バッファーオーバーフロー、マルウェア配布 | バッファーオーバーフロー、マルウェア配布 | SQLインジェクション、XSS |
試験ではこの違いを理解することが重要です。IDS/IPSはサーバーの基本ソフト層を守り、WAFはWebアプリケーション層を守ります。実際の実務でも、IDS/IPSが検知した攻撃の半数以上をWAFは検知できず、逆にWAFが検知した攻撃の多くをIDS/IPSは検知できないという報告もあります。
IDS(検知のみ)とIPS(遮断も行う)の違いにも注意
IDS/IDSという表現が試験問題に登場することがありますが、実はIDSとIPSは異なるツールです。IDSは「不正侵入を検知する」だけで、見つけた攻撃を遮断することはできません。一方、IPSは「不正侵入を防止する」という名の通り、検知した攻撃を実際に遮断できます。つまり、IDSは発見だけで、IPSは発見した上での防止も行うということです。試験問題でこの違いを問われることがあるため、注意が必要です。
セキュリティのレイヤー構造を正しく理解する
IT試験でよく出題される「多層防御」の概念を理解するために、3つのセキュリティ対策が守る領域を整理しておくことが重要です。
ファイアウォール→IPS/IDS→WAFという順番で、通信が複数のチェックポイントを通り抜ける構造になっています。各層で異なる攻撃から守られるため、「どの層で何から守られるのか」を明確に区別することが、試験合格への最大の近道です。
ファイアウォールはネットワークの入り口で不正な通信元をブロックし、IPS/IDSはネットワークの奥でOSレベルの攻撃を防ぎ、WAFはWebアプリケーション直前で専門的な攻撃を防ぐという流れを、頭の中で「階層的に」イメージすることが試験対策になります。
【試験別】出題ポイントと対策
各試験の出題傾向と対策について解説します。受験予定のタブを切り替えて確認しましょう。
IT
SG
FE
AP
ITパスポート試験の出題傾向と対策
ITパスポートでは、WAFの基本的な定義と役割を問う問題が出題されます。令和6年度問90では、WAFがWebアプリケーションの脆弱性を突いた攻撃から防御する仕組みであることを理解しているかが問われました。VPN、DLP、DMZといった他のセキュリティ用語との違いを正確に区別できるかが重要です。4択問題の選択肢では、これらの類似技術が必ず含まれるため、それぞれの役割を明確に把握しておく必要があります。
WAFの定義を問う問題と、類似するセキュリティ技術との違いを選ばせる問題が中心です。選択肢には、VPN(仮想プライベートネットワーク)、DLP(データ漏えい防止)、DMZ(非武装地帯)、ファイアウォールなどが含まれ、それ�zyれの役割を正確に理解していないと混同してしまいます。
WAFは「Webアプリケーションの脆弱性を狙った攻撃を防ぐ」という役割を覚えましょう。具体的には、SQLインジェクションやクロスサイトスクリプティング(XSS)といった攻撃手法の名前が選択肢に出てきたらWAFだと判断できます。一方、VPNは「暗号化された通信路の構築」、DLPは「機密データの漏えい防止」、DMZは「緩衝領域の設置」と、それぞれキーワードで区別すると迷いません。
情報セキュリティマネジメント試験の出題傾向と対策
情報セキュリティマネジメント試験では、WAFの運用面やリスク管理の観点からの出題が目立ちます。平成30年春期問12や平成29年秋期問20では定義が問われましたが、令和元年秋期問14では「フォールスポジティブ(誤検知)」という運用上の課題が出題されました。これは、正常な通信を誤って攻撃と判断してしまう現象です。WAFを導入しても設定が不適切だと、正規ユーザーがアクセスできなくなるリスクがあることを理解しているかが問われます。
誤検知(フォールスポジティブ)と見逃し(フォールスネガティブ)の違いを問う問題が頻出です。また、ブラックリスト型(攻撃パターンを登録)とホワイトリスト型(正常パターンを登録)の運用におけるメリットとデメリットを理解しているかも問われます。
フォールスポジティブは「正常な通信を攻撃と誤判断」、フォールスネガティブは「攻撃を見逃す」と覚えましょう。WAFの設定を厳しくしすぎると誤検知が増え、緩くしすぎると攻撃を見逃すというトレードオフの関係を理解することが重要です。また、WAF導入後は定期的にログを確認し、シグネチャ(攻撃パターン)を更新する運用手順が適切な対策として選ばれやすいです。
基本情報技術者試験の出題傾向と対策
基本情報技術者試験では、WAFの仕組みや他のセキュリティ製品との比較が出題されます。平成22年春期問44では「WAFを利用する目的」として、Webサーバおよびアプリケーションに起因する脆弱性への攻撃を遮断することが問われました。また、IDS(侵入検知システム)やIPS(侵入防止システム)、ファイアウォールとの違いを問う問題も頻出です。特に、どの層(OSI参照モデル)を守るのか、どんな攻撃を防げるのかという比較軸での理解が求められます。
WAF、IDS/IPS、ファイアウォールの防御対象と対応できる攻撃の種類を比較する問題が頻出です。また、SQLインジェクションやXSS(クロスサイトスクリプティング)といったWebアプリケーション特有の攻撃に対して、どの製品が有効かを選ばせる問題もよく出ます。
「ファイアウォール→IPS→WAF」の順に、守る層が深くなると覚えましょう。ファイアウォールはネットワーク層(第3-4層)でIPアドレスやポート番号を検査し、IPSはOS・ミドルウェア層の脆弱性を狙った攻撃を防ぎ、WAFはアプリケーション層(第7層)でHTTP/HTTPS通信の内容を詳しく検査します。選択肢に「SQLインジェクション」や「XSS」が出てきたらWAF、「バッファオーバフロー」や「OSの脆弱性」が出てきたらIPS、「ポートスキャン」が出てきたらファイアウォールと判断できます。
応用情報技術者試験の出題傾向と対策
応用情報技術者試験では、午前問題でWAFの定義や防御対象が問われるだけでなく、午後問題の必須問題である情報セキュリティ分野でも登場します。平成27年秋期問41では「WAFの設置場所」としてDMZ(非武装地帯)が問われ、令和4年春期や令和6年春期では「WAFによる防御が有効な攻撃」を選ぶ問題が出題されました。午後問題では、ネットワーク構成図を読み取り、ファイアウォールとWAFのどちらを配置すべきか判断する実践的な問題が出ます。WAFとIDSの違いを理解していないと、設問で迷うことになります。
WAFの設置場所(DMZ内のWebサーバー前)、ファイアウォールとの配置順序、午後問題でのシステム構成図での判断が問われます。また、WAF導入による性能への影響や、障害発生時の挙動といったトレードオフの理解も求められます。
午前問題では、WAFが「Webアプリケーションへの攻撃を検知し阻止する」という役割を正確に答えられるようにしましょう。午後問題では、ネットワーク構成図でインターネット側から「ファイアウォール→DMZ→WAF→Webサーバー」という配置順序を理解しておくことが重要です。
また、問題文に「HTTPリクエストのパラメータを検査する」「SQLインジェクション対策」といったキーワードが出てきたらWAFを選び、「ネットワークレベルの通信制御」「IPアドレスやポート番号での制御」というキーワードが出てきたらファイアウォールを選ぶという判断軸を持ちましょう。午後問題では、WAFが障害で停止した場合にWebサービスが利用できなくなるリスクや、WAF処理による遅延が発生する可能性も考慮に入れる必要があります。
例題・過去問演習
- 【Q1】令和6年度 ITパスポート試験 問90
セキュリティ対策として利用されるWAFの説明として、最も適切なものはどれか。
ア)ECサイトなどにおいて、Webアプリケーションの脆弱性を突いた攻撃からの防御や、不審なアクセスパターンを検知する仕組み
イ)公共のネットワークを用いて、専用線のようなセキュアな通信環境を実現する仕組み
ウ)情報システムにおいて、機密データを特定して監視し、機密データの紛失や外部への漏えいを防止する仕組み
エ)ファイアウォールを用いて、インターネットと企業の内部ネットワークとの間に緩衝領域を作る仕組み -
WAFは「Web Application Firewall」の略で、Webアプリケーションに対する攻撃を防ぐ専用のセキュリティ製品です。SQLインジェクションやクロスサイトスクリプティング(XSS)といった、Webアプリケーション特有の攻撃を検知して遮断します。選択肢イはVPN、ウはDLP、エはDMZの説明であり、それぞれ役割が異なります。ひっかけポイントは、選択肢エの「緩衝領域」という言葉です。WAFもDMZに設置されることがありますが、WAF自体は緩衝領域を作る仕組みではなく、通信内容を検査する仕組みであることを理解しましょう。
Q
- 【Q2】平成30年春期 情報セキュリティマネジメント試験 午前問12
WAFの説明として、最も適切なものはどれか。
ア)Webサイトに対するアクセス内容を監視し、攻撃とみなされるパターンを検知したときに当該アクセスを遮断する
イ)Wi-Fiアライアンスが認定した無線LANの暗号化方式の規格であり、AES暗号に対応している
ウ)様々なシステムの動作ログを一元的に蓄積・管理し、セキュリティ上の脅威となる事象をいち早く検知・分析する
エ)ファイアウォール機能を有し、マルウェア対策機能や侵入検知機能などの複数のセキュリティ機能を連携させ、統合的に管理する -
WAFは、Webサイトへのアクセス内容(HTTPリクエストやレスポンス)を詳しく検査し、攻撃パターンに合致する通信を遮断します。選択肢イはWPA2(無線LANのセキュリティ規格)、ウはSIEM(ログ管理・分析システム)、エはUTM(統合脅威管理)の説明です。情報セキュリティマネジメント試験では、類似のセキュリティ製品との違いを正確に理解しているかが問われます。ひっかけポイントは、選択肢ウとエです。WAFもログを記録しますが、主な役割は「リアルタイムでの攻撃遮断」であり、SIEMのような「事後のログ分析」とは異なることを押さえましょう。
Q
- 【Q3】令和元年秋期 情報セキュリティマネジメント試験 午前問14
WAFにおけるフォールスポジティブ(誤検知)に該当するものはどれか。
ア)HTMLの特殊文字「<」を検出したときに通信を遮断するようにWAFを設定した場合、「A<B」などの数式を含んだ正当なHTTPリクエストが送信されたとき、WAFが攻撃として検知し遮断する
イ)HTTPリクエストのうち、仕様が明確に定義されていない独自フィールドについてWAFが検査しないという仕様を悪用して、攻撃の命令を埋め込んだHTTPリクエストが送信されたとき、WAFが遮断しない
ウ)HTTPリクエストのパラメータとして許可する文字列以外を検出したときに通信を遮断するようにWAFを設定した場合、許可しない文字列を含んだ不正なHTTPリクエストが送信されたとき、WAFが攻撃として検知し遮断する
エ)悪意のある通信を正常な通信と見せかけ、HTTPリクエストを分割して送信されたとき、WAFが遮断しない -
フォールスポジティブとは、「本来は通過させるべき正常な通信を、誤って攻撃と判断してしまう」誤検知のことです。選択肢アは、正当な数式を含むリクエストを誤ってブロックしているため、フォールスポジティブに該当します。一方、選択肢イとエは「本来遮断すべき攻撃を見逃す」フォールスネガティブ(検知漏れ)、選択肢ウは「不正なリクエストを正しく遮断する」正常動作です。ひっかけポイントは、「遮断する」という言葉が選択肢アとウの両方に含まれることです。重要なのは「遮断した対象が正常か不正か」であり、正常な通信を遮断したらフォールスポジティブ、不正な通信を遮断したら正常動作と判断します。
Q
- 【Q4】平成22年春期 基本情報技術者試験 午前問44
WAFを利用する目的として、最も適切なものはどれか。
ア)Webサーバ及びアプリケーションに起因する脆弱性への攻撃を遮断する
イ)Webサーバ内でワームの侵入を検知し、ワームの自動駆除を行う
ウ)Webサーバのコンテンツ開発の結合テスト時にアプリケーションの脆弱性や不整合を検知する
エ)Webサーバのセキュリティホールを発見し、OSのセキュリティパッチを適用する -
WAFの主な目的は、Webアプリケーションの脆弱性を狙った攻撃(SQLインジェクション、XSSなど)をリアルタイムで検知・遮断することです。選択肢イのワーム駆除はウイルス対策ソフトの役割、ウの結合テスト時の脆弱性検知は脆弱性診断ツールの役割、エのセキュリティパッチ適用はシステム管理者の運用業務です。ひっかけポイントは、選択肢ウとエです。WAFは「攻撃を防ぐ」製品であり、「脆弱性を発見する」や「パッチを適用する」といった開発・運用の作業は行いません。WAFはあくまで防御の最前線で攻撃を遮断する役割だと覚えましょう。
Q
- 【Q5】平成27年秋期 応用情報技術者試験 午前問41
図のようなシステム構成において、Webアプリケーションの脆弱性対策のためのWAFの設置場所として、最も適切な箇所はどこか。ここで、WAFには通信を暗号化したり復号したりする機能はないものとする。
(インターネット)→(a)→(ファイアウォール)→(b)→(SSLアクセラレータ)→(c)→(Webサーバ)→(d)
ア)a
イ)b
ウ)c
エ)d -
WAFは通信内容(ペイロード部分)を検査する必要があるため、暗号化されていない場所に設置しなければなりません。選択肢aとbはHTTPS通信が暗号化されたままの経路なので不適切です。SSLアクセラレータで復号された後の「c」が最適な設置場所です。選択肢dはWebサーバ内部であり、処理が実行された後なので遮断のタイミングとして遅すぎます。ひっかけポイントは、選択肢bです。ファイアウォールの後ろなので安全そうに見えますが、まだHTTPS通信が暗号化されているため、WAFは通信内容を検査できません。「復号後、かつWebサーバ処理前」という2つの条件を満たす場所を選ぶことが重要です。
Q
WAFと関連する重要用語
SQLインジェクション
SQLインジェクションは、Webアプリケーションの入力フォームなどに、データベース操作命令であるSQL文を不正に埋め込む攻撃手法です。攻撃に成功すると、顧客情報やクレジットカード情報などがデータベースから盗まれたり、改ざんされたりする危険があります。WAFは通信内容を監視してこうしたSQL命令を検出し、ブロックする仕組みです。
XSS(クロスサイトスクリプティング)
XSSは、Webアプリケーションに悪意あるスクリプト(JavaScriptなど)を埋め込み、ユーザーがWebサイトを閲覧する際にそのスクリプトをユーザーのブラウザで実行させる攻撃です。実行されたスクリプトは、ユーザーのセッション情報やクッキー情報を盗んだり、フィッシング詐欺に誘導したりします。WAFはこのような不正なスクリプトパターンを検出して遮断します。
IDS・IPS
IDSとIPSは、不正アクセスを監視・防御するシステムです。IDSは検知のみ、IPSは検知と防御の両方を行います。一方、WAFはWebアプリケーション層に特化しており、SQLインジェクションやXSSなどのWeb特有の攻撃を防ぐのに対し、IDSとIPSはOS・ミドルウェア層のバッファオーバフローなど、より下位層の攻撃に対応します。
| 製品 | 防御対象 | 対応できる攻撃 |
|---|---|---|
| WAF | Webアプリケーション層 | SQLインジェクション、XSS、OSコマンドインジェクション |
| IDS・IPS | OS・ミドルウェア層 | バッファオーバフロー、マルウェア、OS脆弱性狙いの攻撃 |
| ファイアウォール | ネットワーク層 | ポートスキャン、不正な通信 |
DMZ(非武装地帯)
DMZはインターネットと企業の内部ネットワークの間に設置される緩衝領域です。Webサーバーやメールサーバーなど、インターネットに公開する必要があるサーバーをDMZ内に配置することで、内部ネットワークへの攻撃の波及を防ぎます。WAFはこのDMZ内、特にWebサーバーの手前に設置され、Webアプリケーションへの攻撃を最前線でブロックします。この配置により、多層防御の仕組みが実現され、セキュリティが大幅に強化されます。
まとめ
- WAFは「Web Application Firewall」の略で、Webアプリケーション専門のセキュリティ対策である
- 通常のファイアウォールとは異なり、通信内容を詳しく分析してWebアプリケーション特有の攻撃を防ぐ
- シグネチャという攻撃パターンのデータベースを使って、不正な通信を検知・遮断する
- SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションを狙った攻撃から守る
- ブラックリスト方式とホワイトリスト方式の2つの検知方式がある
- 通信監視、シグネチャ更新、IP制限、ログ記録、Cookie保護などの機能を持つ
- クラウド型、アプライアンス型、ソフトウェア型の3種類があり、それぞれ特徴が異なる
- 他のセキュリティ対策と組み合わせることで、より強固な防御体制を構築できる
ABOUT ME
会社の研修でpythonを勉強し始めました。
