HOME»情報セキュリティマネジメント平成29年秋期»午前問20
情報セキュリティマネジメント平成29年秋期 午前問20
問20
WAFの説明として,適切なものはどれか。
- DMZに設置されているWebサーバへの侵入を外部から実際に試みる。
- TLSによる暗号化と復号の処理をWebサーバではなく専用のハードウェアで行うことによって, WebサーバのCPU負荷を軽減するために導入する。
- システム管理者が質問に答える形式で,自組織の情報セキュリティ対策のレベルを診断する。
- 特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して,不正な操作を遮断する。
- [出題歴]
- 応用情報技術者 H24春期 問37
- 応用情報技術者 H28春期 問40
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
エ
解説
パケットフィルター型ファイアウォールは、通過するパケットのヘッダー部に含まれるIPアドレスとポート番号を見て通過の可否を判断しますが、XSSやSQLインジェクション,OSコマンドインジェクションなどの正当なHTTP通信に則って仕掛けられた攻撃(ポート80宛てのパケット)は防ぐことができません
WAF(Web Application Firewall)では、パケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、ウェブアプリケーションに対するこれらの攻撃を検知し、遮断することが可能です。
WAF(Web Application Firewall)では、パケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、ウェブアプリケーションに対するこれらの攻撃を検知し、遮断することが可能です。
- ペネトレーションテスト(侵入テスト)の説明です。
- SSLアクセラレータの説明です。
- IPAで公開されている「情報セキュリティ対策自己診断テスト」の説明です。
- 正しい。WAFの説明です。