メインコンテンツへ
セキュリティ

図のような構成と通信サービスのシステムにおいて、Webアプリケーションの脆弱性対策のためのWAFの設置場所として、最も適切な箇所はどこか。ここで、WAFには通信を暗号化したり、復号したりする機能はないものとする。

ア.a
イ.b
ウ.c正解
エ.d

解説

WAFは「中身を読んで危険なコードを弾く検査員」。暗号化された荷物は開けられないので、SSLアクセラレータが封を解いた後のHTTP区間にしか置けない。

なぜ ウ が正解か

SSLアクセラレータは「暗号封筒を開封する機械」で、ここを通過した後の c 地点では通信がHTTPの素の状態になっている。WAFは復号機能を持たないため、暗号が剥がれた c でしか通信の中身(SQLインジェクションやXSSなど)を検査できない。検査員は封を開けられないが、開封済みの荷物なら中をチェックできる、という単純な話。

なぜ ア は間違いか

インターネットからファイアウォールの手前は HTTPS のまま――つまり封が閉じた荷物。WAFが「開封機能なし」な以上、中身を読めないのでここに置いても飾りにしかならない。

なぜ イ は間違いか

ファイアウォールを越えてもまだ HTTPS のまま b 地点に届く。SSLアクセラレータが暗号を解くのはこの後なので、やっぱり封は閉じたまま。惜しいが一歩手前。

なぜ エ は間違いか

d はWebサーバとデータベースの間――もはやHTTPですらなくDBプロトコルの世界。Webアプリの脆弱性を狙う攻撃はもう通り過ぎた後であり、WAFを置いても「泥棒が帰った後に鍵を締めた」状態になる。

出典: 基本情報技術者試験 令和5年 公開問題