必ず受かる情報処理技術者試験

当サイトは、情報処理技術者試験に合格するためのWebサイトです。
ITパスポート試験,基本情報技術者,応用情報技術者,高度試験の過去問題と解答及び詳細な解説を掲載しています。
  1. トップページ
  2. 応用情報技術者
  3. 平成28年度春季問題一覧
  4. 平成28年度春季問題40-解答・解説-分析

平成28年度春季問題

問題40

WAFの説明として、適切なものはどれか。

DMZに設置されているWebサーバへ外部から実際に侵入を試みる。
WebサーバのCPU負荷を軽減するために、SSLによる暗号化と復号の処理をWebサーバではなく専用のハードウェア上で行う。
システム管理者が質問に答える形式で、自組織の情報セキュリティ対策のレベルを診断する。
特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して、不正な操作を遮断する。

WAFの説明として、適切なものはどれか。

DMZに設置されているWebサーバへ外部から実際に侵入を試みる。
WebサーバのCPU負荷を軽減するために、SSLによる暗号化と復号の処理をWebサーバではなく専用のハードウェア上で行う。
システム管理者が質問に答える形式で、自組織の情報セキュリティ対策のレベルを診断する。
特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して、不正な操作を遮断する。

解答:エ

<解説>

WAF(Web Application Firewall)とは、Webアプリケーションへの外部からの攻撃・侵入を検知・防止するシステム。Webサーバとインターネットなどの外部ネットワークとの間に設置され、サーバへのアクセスを監視し、攻撃とみなされるアクセスパターンを検知するとブロックする仕組みである。

WAFを使用することで以下の効果を期待できる。

  • 脆弱性を悪用した攻撃からウェブアプリケーションを防御する
  • 脆弱性を悪用した攻撃を検出する
  • 複数のウェブアプリケーションへの攻撃をまとめて防御する
× ペネトレーションテストの説明である。
× SSLアクセラレータの説明である。
× 情報セキュリティ対策ベンチマークの説明である。
WAFの説明である。