問題
WAFの説明として,適切なものはどれか。
- DMZに設置されているWebサーバへ外部から実際に侵入を試みる。
- WebサーバのCPU負荷を軽減するために,SSLによる暗号化と復号の処理をWebサーバではなく専用のハードウェア上で行う。
- システム管理者が質問に答える形式で,自組織の情報セキュリティ対策のレベルを診断する。
- 特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して,不正な操作を遮断する。
答え
特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して、不正な操作を遮断する。
解説
WAF
WAF (Web Application Firewall) は、Webアプリケーションの通信内容に基づき、通信の可否を判断するファイアーウォールです。
A web application firewall (or WAF) filters, monitors, and blocks HTTP traffic to and from a web application. A WAF is differentiated from a regular firewall in that a WAF is able to filter the content of specific web applications while regular firewalls serve as a safety gate between servers. By inspecting HTTP traffic, it can prevent attacks stemming from web application security flaws, such as SQL injection, cross-site scripting (XSS), file inclusion, and security misconfigurations.[1]
From Wikipedia, the free encyclopedia
以下意訳。
WAF (Web Application Firewall) は、Webアプリケーションからの、または Webアプリケーションへ向かうHTTPトラフィックを、フィルタリング・監視・ブロックします。
通常のファイアウォールはサーバー間のセーフティゲートとして機能しますが、WAFは通常のファイアウォールとは異って、特定のWebアプリケーションのコンテンツをフィルタリングすることができます。
HTTPトラフィックを検査することで、SQLインジェクション、クロスサイトスクリプティング(XSS)、ファイルインクルード、セキュリティの設定ミスなど、Webアプリケーションのセキュリティ上の欠陥に起因する攻撃を防ぐことができます。
よって、「特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して,不正な操作を遮断する」がWAFです。
「DMZに設置されているWebサーバへ外部から実際に侵入を試みる」は、「ペネトレーションテスト」と呼ばれます。
「WebサーバのCPU負荷を軽減するために,SSLによる暗号化と復号の処理をWebサーバではなく専用のハードウェア上で行う」は、「SSLアクセラレータ」と呼ばれます。