※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「A:EC などのWebサイトにおいて、Web アプリケーションソフトウェアの脆弱性を突いた攻撃からの防御や、不審なアクセスのパターンを検知する仕組み」です。
WAF(Web Application Firewall)は、Webアプリケーションに対する攻撃を検知・防御するためのセキュリティ機器またはソフトウェアです。
この記事では、ITパスポート試験(令和6年度)テクノロジ系第35問「WAFの役割」について、試験対策の観点からわかりやすく解説します。
WAFの概要
WAF=Webアプリケーションを狙った攻撃防御装置
特徴:
・SQLインジェクションやクロスサイトスクリプティングなどの攻撃からWebアプリを保護
・不正アクセスや攻撃パターンを検知・防御
・ECサイトやWebサービスで広く導入される
他の選択肢との違い
- VPN:公共ネットワーク上で専用線のような安全な通信を確保する仕組み(WAFとは別)
- DLP:機密データの漏えい防止を目的とする仕組み(WAFとは別)
- DMZ(非武装地帯):内部ネットワークと外部ネットワークの間に緩衝領域を作る仕組み(WAFとは別)
問われているポイント
この問題では、WAFがWebアプリケーションを対象に攻撃を防ぐ仕組みであることを理解しているかが問われています。特にECサイトなどのWebサービスにおける導入用途も押さえておきましょう。
気を付けてほしい点(勘違いしやすいポイント)
- WAFはネットワーク全体を保護するファイアウォールとは異なる
- 通信の暗号化や機密データ管理とは別の目的で使われる
補足
試験ではWAFの対象範囲(Webアプリケーション)と役割を正確に押さえることが重要です。
ITパスポート試験での出題パターン
テクノロジ系では、WAFの目的や導入用途に関する理解を問う問題が出題されます。「Webアプリを守る」という基本を押さえておきましょう。
この知識が使われている問題
まとめ
- WAFはWebアプリケーションの攻撃防御装置
- SQLインジェクションやクロスサイトスクリプティングなどを防ぐ
- VPN、DLP、DMZとは目的が異なる