【問題】
図のような構成と通信サービスのシステムにおいて、Webアプリケーションの脆弱性対策のためのWAFの設置場所として、最も適切な箇所はどこか。ここで、WAFには通信を暗号化したり、複合したりする機能はないものとする。
PC
┃
インターネット
┃ HTTPS a
ファイアウォール
┃ HTTPS b
SSLアクセラレータ
┃ HTTP c
Webサーバ
┃ データベースアクセス用サービス d
データベースサーバ
ア.a イ.b ウ.c エ.d
【解答】
問題文から、「WAFには通信を暗号化したり、複合化したりする機能は無い」とあるから、HTTPS接続のところにWAFを繋いだとしても内容を読み取ることが出来ない。よって、ア(a)とイ(b)は不適切となる。
そして、Webサーバとデータベースサーバの間に置いたとしても、この間はSQL文とデータが送受信されるのみであり、また、ここに設置してしまっては、Webサーバを守ることが出来ないから、エ(d)も不適切となる。
よって、消去法でウ(c)が正解となる。