WAFの導入の際には, Webサーバヘの負荷分散にWAFの負荷分散機能を利用することで,利用中のLBをWAFで置き換える方針とした。また,WAFのSSLアクセラレーション機能を利用し、⑥ブラウザからのSSL通信は、WAFで終端されることにした

設問4 本文中の下線⑥について,この措置を行う理由を55字以内で述べよ。(H22秋SC午後1問3)
WAFの設置場所に関する問題である。
後半に書いた図を照らし合わせながら見ていただきたい。
通常は、PC→WAF→Webサーバという並びで構成される。
WAFが無い場合、PCとWebサーバ間でSSL通信をする。ところが、SSLによる暗号化はPCとWAF間にとどめることが多い。これはなぜかという問題である。
d18680c9 
うーん。
難しいですね。
ということは、PCとWebサーバ間でSSL通信をすると何か問題があるということでしょうか。
知っていれば簡単な問題だ。httpsで暗号化されていると、通信をチェックできないからだ。
試験センターの解答例は、「WebサーバまでSSLで暗号化したままだと、WAFがトラフィックの内容を検査してシグネチャと照合できないため」である。
素材3_6_WAFでは、SSL通信をどう対処するか

以下の過去問(H25SC春午前2問4)も見てみよう。
問4 図のような構成と通信サービスのシステムにおいて, Webアプリケーションの脆弱性対策としてネットワークのパケットをキャプチャしてWAFによる検査を行うとき,WAFの設置場所として最も適切な箇所はどこか。ここで,  WAFには通信を暗号化したり,復号したりする機能はないものとする。
情報セキュリティスペシャリストwaf
ア a    イ b   ウ c   工 d
正解はcである。HTTPSの通信は暗号化されているので、WAFが効力を発揮できない。
最近のWAFのほとんどは、SSLを終端して復号化する機能を持っている。しかし、処理性能は高くない。やはり、専用のSSLアクセラレータ(多くはLBとの一体型)を入れるのがいいと思う。