令和６年度 ITパスポート試験 公開問題 問90 解説 WAFの役割

選択肢の判断基準

WAF（Web Application Firewall）は、名前にWebアプリケーションとある通り、Webサイトの通信内容を深く検査して防御する仕組みを指します。選択肢の中からWebアプリケーション層（HTTP/HTTPS通信）に対する防御策を選べば、それが正解となります。

WAFの役割と仕組み

WAFは、Webサイトへの入り口である「Webサーバの手前」に設置されます。一般的なファイアウォールがネットワークの出入り口でIPアドレスやポート番号を見て通信を制御するのに対し、WAFはさらに一段階深い「アプリケーション層」に踏み込み、通信データの中身（SQLインジェクションやクロスサイトスクリプティングなどの攻撃パターン）を解析します。

これにより、Webアプリケーション特有の脆弱性を悪用しようとする不正な攻撃を検知し、遮断することが可能になります。

その他の選択肢が指す技術

ITパスポート試験では、似たようなセキュリティ用語を混同させることが多いため、各選択肢の用語を整理しておきましょう。

イ：VPN（Virtual Private Network） インターネット上に仮想的な専用回線を構築し、安全な通信を行う技術です。

ウ：DLP（Data Loss Prevention） 個人情報や機密データを監視し、外部への不正な持ち出しや漏えいを防止する仕組みです。

エ：DMZ（DeMilitarized Zone） ファイアウォールを設置することで作成される、外部ネットワークと内部ネットワークのどちらからも隔離された「非武装地帯」のことです。Webサーバなどを配置し、万が一の侵害時に被害が内部へ及ぶのを防ぎます。

知識の活用場面

Webアプリケーションを運営する企業において、WAFの導入は必須のセキュリティ対策です。例えば、サイトの問い合わせフォームやログイン画面から攻撃コードが送られてきた場合、ファイアウォールだけでは「ただのHTTP通信」と判断されて通過してしまいます。しかし、WAFを導入していれば、その通信内容に悪意があることを見抜き、Webサーバに到達する前にブロックできます。実務では「クラウド型WAF」としてサービスを利用するケースが多く、Web開発者やインフラエンジニアであれば必ず知っておくべき概念です。

参考リンク

• 【ITパスポート】WAFとは？仕組みやメリットをわかりやすく解説
• WAF（Web Application Firewall）を無料で導入してハッキング対策をしてみた
• Web Application Firewall (WAF) の概要 - AWS セキュリティドキュメント