WAFとは、Webサーバにアクセスするデータの内容を監視し、外部からWebアプリケーションプログラムへの攻撃を検知、防御するシステムです。

　Webアプリケーションには脆弱性が存在する場合があり、攻撃者がこれを悪用して遠隔操作や窃取などの不正アクセスを行う場合があります。

　例えば、クロスサイトスクリプティングやSQLインジェクションなどによる攻撃です。

　本来は、Webアプリケーション側で脆弱性の修正で対処することが望ましいのですが、即時に対応できない場合が多いのが実情です。

　WAFはアプリケーション層で動作するファイアウォールのことで、Webサーバへの通信を監視して、ログとして保管します。

　また、あらかじめ登録された不審なアクセスのパターンを検知したり、データ中に個人情報など特定のパターンを発見して、ブロックすることができます。

　WAFの導入形態には、専用ハードウェア、ゲートウェイなどのサーバ上で動作させるソフトウェア、Webサーバ自体に実装するモジュールなどがあります。

 　WAFの動作モードには、リバースプロキシとして動作するもの、アクセスを透過するものがあります。

　WebアクセスがSSL/TLSで暗号化されていると通信内容を解析できないため、WAF自身がTLS通信を終端、復号してから解析するものもあります。

平成29年度 秋期 情報処理安全確保支援士試験 午前Ⅰ

ア　Webアプリケーションへの攻撃を監視し阻止する。

　これが正解です。

イ　Webブラウザの通信内容を改ざんする攻撃をPC内で監視し検出する。

　Webブラウザの通信内容を改ざんする攻撃としては、MITB（Man In The Browser）が相当します。PC内にマルウェアとして潜入して、オンラインバンキングなどの操作を乗っ取ったりして、振り込み口座などを変更したりする攻撃があります。

　利用者にとっては気付きにくい攻撃ですが、暗号化や認証などの対策を行います。

ウ　サーバのOSへの不正なログインを監視する。

　サーバ本体のOSへのログインを監視するには、侵入検知システム（IDS（Intrusion Detection System））や侵入防止システム（IPS（Intrusion Prevention System））などを利用します。

エ　ファイルのマルウェア感染を監視し検出する。

　ファイルのマルウェア感染を監視・検出するのは、ウィルス対策ソフトやアンチウィルスソフトと呼ばれるものです。

　マルウェアの検出には、コードの一部などパターンファイルでのマッチングによるものと、ヒューリスティック法という通常のファイルとは異なる挙動を検出する方法があります。

平成29年度 春期 情報セキュリティマネジメント試験 午前

ア ブラックリストは、脆弱性があるWebサイトのIPアドレスを登録するためのものであり、該当する通信を遮断する。

　ブラックリストに、脆弱性があるWebサイトのIPアドレスは登録されていません。

イ ブラックリストは、問題がある通信データパターンを定義したものであり、該当する通信を遮断又は無害化する。

　これが正解です。

ウ ホワイトリストは、暗号化された受信データをどのように復号するかを定義したものであり、復号鍵が登録されていないデータを遮断する。

エ ホワイトリストは、脆弱性がないWebサイトのFQDNを登録したものであり、登録がないWebサイトへの通信を遮断する。

　ホワイトリストには、問題がない正常な通信データのパターンを登録します。