情報セキュリティマネジメント試験 用語辞典
WAF【Web Application Firewall】わふ
通過するパケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、Webアプリケーションに対する攻撃を検知し、遮断することが可能なファイアウォールのこと。
本来、Webシステムへの攻撃はWebアプリケーション側で対処すべき問題だが、脆弱性のないWebアプリケーションを作成するためには専門的な知識や技術が必要であるため、全てのWebアプリケーションでセキュリティ対策を万全にすることは難しい。WAFはこのようなセキュリティ対策の不十分さを補完し、Webアプリケーションの堅牢性を高める役割を担う。WAFによってチェックされるデータの例としては、URLパラメタやクッキーの内容などのHTTPヘッダ情報や、POSTデータの内容などのメッセージボディ部などが挙げられる。
本来、Webシステムへの攻撃はWebアプリケーション側で対処すべき問題だが、脆弱性のないWebアプリケーションを作成するためには専門的な知識や技術が必要であるため、全てのWebアプリケーションでセキュリティ対策を万全にすることは難しい。WAFはこのようなセキュリティ対策の不十分さを補完し、Webアプリケーションの堅牢性を高める役割を担う。WAFによってチェックされるデータの例としては、URLパラメタやクッキーの内容などのHTTPヘッダ情報や、POSTデータの内容などのメッセージボディ部などが挙げられる。
- 分野:
- 情報セキュリティ対策 » 技術的セキュリティ対策
- 出題歴:
- 28年春期問13
- 重要度:
出題例
WAFの説明として,適切なものはどれか。
- DMZに設置されているWebサーバへ外部から実際に侵入を試みる。
- WebサーバのCPU負荷を軽減するために,SSLによる暗号化と復号の処理をWebサーバではなく専用のハードウェア上で行う。
- システム管理者が質問に答える形式で,自組織の情報セキュリティ対策のレベルを診断する。
- 特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して,不正な操作を遮断する。
[出典]情報セキュリティマネジメント R6年春期 問35 解説
正解
エ
「技術的セキュリティ対策」に属する用語
- DMZ
- 検疫ネットワーク
- SPF
- URLフィルタリング
- コンテンツフィルタリング
- WEP
- WPA2
- SSID
- SSIDステルス
- ANY接続拒否
- 電子透かし
- ディジタルフォレンジックス
- IDS
- IPS
- ファイアウォール
- WAF
- ホワイトリスト
- ブラックリスト
- フォールスポジティブ
- フォールスネガティブ
- SSLアクセラレータ
- MDM
- BYOD
- コールバック
- アクセス制御
- DLP
- SIEM
- UTM
- ビヘイビア法
- パターンマッチング方式
「情報セキュリティ対策」の他の分野
「セキュリティ」の他のカテゴリ