ITパスポート 令和6年度 公開問題(過去問) 問90 について解説します。
問題
問90 セキュリティ対策として使用されるWAFの説明として、適切なものはどれか。
ア ECなどのWebサイトにおいて、Webアプリケーションソフトウェアの脆弱性を突いた攻撃からの防御や、不審なアクセスのパターンを検知する仕組み
イ インターネットなどの公共のネットワークを用いて、専用線のようなセキュアな通信環境を実現する仕組み
ウ 情報システムにおいて、機密データを特定して監視することによって、機密データの紛失や外部への漏えいを防止する仕組み
エ ファイアウォールを用いて、インターネットと企業の内部ネットワークとの間に緩衝領域を作る仕組み
解説・解答
WAFとは?
WAF(Web Application Firewall)は、Webアプリケーションに対する攻撃を防ぐ専用のセキュリティ機器やソフトウェアです。WAFの主な目的は、「SQLインジェクション」「クロスサイトスクリプティング(XSS)」「OSコマンドインジェクション」など、Webアプリケーションの脆弱性を狙った攻撃を検知・防御します。対象は、ECサイトやログイン機能をもつWebサイトなど、WebサーバとWebアプリケーションになります。
WAFをわかりやすく説明すると
Webサイトは、例えば以下のような機能を持っています。
・商品を買う(ECサイト)
・ログインしてマイページを見る
・問い合わせフォームに入力する
これらの機能は「Webアプリケーション」と呼ばれます。このWebアプリケーションには脆弱性が含まれていることがあります。Webアプリケーションの脆弱性を狙って「商品を不正に0円で買えるようにする」「ログイン情報を盗む」「サーバに命令を送りこむ」といった攻撃をされた場合、普通のファイアウォールでは防ぐことができません。
WAFは、Webサイトに送られてくるデータの中身をチェックして、「危険な命令(攻撃)が入っていないか?」「不審なアクセスじゃないか?」を見張って、Webアプリケーションの脆弱性を狙った攻撃を防ぎます。
それぞれの選択肢について確認します。
ア: ECなどのWebサイトにおいて、Webアプリケーションソフトウェアの脆弱性を突いた攻撃からの防御や、不審なアクセスのパターンを検知する仕組み
これは上記で説明した通り、WAF(Web Application Firewall)の説明です。これが正解です。
イ: インターネットなどの公共のネットワークを用いて、専用線のようなセキュアな通信環境を実現する仕組み
これは「VPN(Virtual Private Network)」の説明です。インターネットは誰でも見られる道路のようなものですが、VPNはその道路の上に専用のトンネルを作ることで通信内容を見えなくする技術です。
(具体例)
・在宅勤務で、自宅のPCから会社のネットワークに安全にアクセスする
・外出先から社内システムにログインする
ウ: 情報システムにおいて、機密データを特定して監視することによって、機密データの紛失や外部への漏えいを防止する仕組み
これは「DLP(Data Loss Prevention:データ漏えい防止)」の説明です。機密情報(顧客情報、設計図、パスワードなど)を特定して、それが勝手にUSBにコピーされたり、メールで外に送られたりするのを防ぐ技術です。
(具体例)
・社員がうっかり大事なデータを個人メールで送らないようにする
・マルウェアが勝手にファイルを盗み出すのを止める
エ: ファイアウォールを用いて、インターネットと企業の内部ネットワークとの間に緩衝領域を作る仕組み
これは「DMZ(DeMilitarized Zone:非武装地帯)」の説明です。インターネットから直接、企業の内部にアクセスされるのを防ぐために、「中間ゾーン(=DMZ)」を設けて、そこでWebサーバやメールサーバを公開します。
イメージ: [インターネット] → [DMZ] → [社内ネットワーク]
DMZは「とりあえず外から来た人はここで止めて、内部までは行かせないようにしよう」という防波堤のような役割です。
以上により、この問題の解答は「ア」になります。
