ITパスポート 令和6年度 問90：securityに関する問題

答えは a です。WAF（ワフ）は「Webサイトをねらった攻撃から守る見張り役」です。

ネットショップなどのWebサイトには、すきま（弱点）をついて攻撃してくる悪い人がいます。WAFは、そういうあやしいアクセスのパターンを見つけてブロックし、Webサイトを守ってくれます。

👉 覚え方：「WAF＝Web Application Firewall＝Webアプリ専用の防御壁」。

ほかの選択肢：b 専用線みたいに安全につなぐ＝VPN／c 大事なデータの持ち出しを防ぐ＝DLP／d ネットと社内の間に緩衝地帯を作る＝DMZ。どれもWAFとは別のしくみです。

なぜこれが正解か

正解は a。WAF（Web Application Firewall）は、Webアプリケーションの脆弱性を突く攻撃（SQLインジェクション、クロスサイトスクリプティング等）からWebサイトを防御し、不審なアクセスパターンを検知・遮断する仕組み。aの記述がこれに一致する。

各選択肢の解説

• b 公共回線で専用線のような安全な通信環境を実現：VPN（Virtual Private Network）の説明。
• c 機密データを特定・監視し紛失や漏えいを防止：DLP（Data Loss Prevention）の説明。
• d ファイアウォールでインターネットと内部網の間に緩衝領域を作る：DMZ（非武装地帯）の説明。

覚え方・ひっかけ注意

「WAF＝Webアプリ層の防御壁」。通常のファイアウォール（通信の通過可否を制御）やDMZ（緩衝領域の構成）と混同しないこと。"Webアプリの脆弱性を突く攻撃を防ぐ"がWAFの目印。

理論的背景

WAF（Web Application Firewall）はOSI参照モデルのLayer7（アプリケーション層）でHTTP/HTTPSトラフィックを検査し、WebアプリケーションへのL7攻撃を検出・遮断するセキュリティ装置またはサービスである。従来のファイアウォール（Layer3/4：IPアドレスとポート番号でフィルタリング）やIDS/IPS（不正なパケットパターン検知）では防御できないアプリケーション固有の脆弱性（SQLインジェクション・XSS・CSRFなど）を対象とする。WAFの検出方式：シグネチャベース（既知の攻撃パターンをBlacklistとして照合）・ポジティブセキュリティモデル（正常な通信パターンをWhitelistとして定義、逸脱を遮断）・機械学習ベース（通常のトラフィックを学習して異常を検知）の3方式がある。OWASP Top 10（Web Application Security Risk）はWAFが対象とする主要な脆弱性カテゴリを示す国際基準であり、A01:Broken Access Control・A03:Injection・A07:Identification and Authentication Failuresなどが含まれる。

実務での使われ方

WAFはPCI DSS（クレジットカード業界データセキュリティ基準）Requirement 6.4でWebアプリケーションの保護手段として要求されており、クレジットカード決済を扱うECサイト・オンラインバンキングでは準拠要件として導入が必須。クラウドWAF（AWS WAF・Azure Web Application Firewall・Cloudflare WAF）の普及により、専用ハードウェアなしにAPIコールで設定可能なマネージドWAFが標準化した。API Gatewayとの統合（API WAF）は近年の重要トレンドであり、マイクロサービスアーキテクチャのAPI保護に不可欠な役割を担う。また「WAF Bypass（WAF回避技術）」は攻撃者とWAFベンダーの間で継続的なイタチごっこが続いており、エンコーディングを利用した回避（Obfuscation）・HTTP Request Smuggling・Prototype Pollution等の高度な攻撃に対してWAFのルールは継続的な更新が必要。

試験での位置づけ

WAFはITパスポートのセキュリティ領域（対策技術）で頻出語として定着している。本問のようにWAF・VPN・DLP・DMZの4つのセキュリティ技術を識別する問題は、各技術の目的と適用層の差異を理解していることが前提。VPN（Virtual Private Network）はネットワーク層での暗号化トンネル、DLP（Data Loss Prevention）は機密データの識別・漏えい防止、DMZ（Demilitarized Zone：非武装地帯）はファイアウォールを用いた緩衝ネットワークゾーン構成——これらはWAFとはレイヤーも目的も異なる。近年はWAFとCDN（Content Delivery Network）の統合（Cloudflare・Fastly）によるパフォーマンスとセキュリティの同時提供が業界標準となっており、この観点での出題増加が見込まれる。基本情報技術者（FE）ではWAFのシグネチャ管理・誤検知（False Positive）のチューニング・ペネトレーションテストとWAFの関係まで問われる。

選択肢の発展補足

選択肢bのVPN（Virtual Private Network）はインターネット上にIPsecまたはSSL/TLSで暗号化された仮想専用線を構築する技術。IKEv2/IPsec・OpenVPN・WireGuardが主要プロトコル。SASE（Secure Access Service Edge）の普及により従来型VPNからZTNA（Zero Trust Network Access）への移行が進んでいるが、VPNはあくまでトランスポート層のセキュリティでありアプリケーション層の攻撃は防がない。選択肢cのDLP（Data Loss Prevention）はデータ分類・コンテンツインスペクションで機密情報の外部流出を防ぐ技術。Microsoft Purview・Symantec DLP・Forcepoint DLPが代表的製品。クラウドDLPはGoogle Workspace・Microsoft 365のデータ保護に組み込まれている。選択肢dのDMZ（Demilitarized Zone）は外部ファイアウォールと内部ファイアウォールの間に設けられたネットワークゾーンであり、公開WebサーバをDMZに配置することで内部ネットワークへの直接アクセスを防ぐ多層防御設計。WAFをDMZのWebサーバ前段に配置することで、DMZとWAFは相補的に機能する組み合わせが典型的なエンタープライズセキュリティ設計。