ある企業が Azure 上でEコマースWebサイトを運営している。SQLインジェクション攻撃やクロスサイト スクリプティング(XSS)攻撃からWebアプリケーションを保護したい。Azure Application Gateway と組み合わせて使用できる、Webアプリケーション固有の攻撃を検知・ブロックするサービスはどれか。
- A. Azure DDoS Protection Standard — ネットワーク帯域を消費する大量トラフィック攻撃を緩和する
- B. Azure Firewall Premium — URLフィルタリングと侵入検知システム(IDS/IPS)を提供する
- C. Azure Web Application Firewall (WAF) — OWASP ルールセットに基づきHTTPレベルの攻撃をブロックする
- D. Azure Network Security Group — 仮想ネットワーク内のL4レベルのポートフィルタリングを行う
解答と解説を見る
正解: C
Azure Web Application Firewall(WAF)は Application Gateway、Azure Front Door、Azure CDN に統合できるL7(アプリケーション層)のセキュリティ機能で、OWASP Core Rule Set に基づき SQL インジェクション、XSS、コマンドインジェクションなどの Webアプリ固有の攻撃を検知・ブロックする。選択肢AのDDoS Protection はネットワーク帯域への大量パケット攻撃を緩和するものであり、HTTP リクエストペイロード内のインジェクション攻撃は検知できない。選択肢BのAzure Firewall Premium はIDS/IPSとURLフィルタリングを提供するが、Application Gateway と直接統合してWebアプリのHTTPトラフィックを検査するWAFルールエンジンとしては設計されていない。選択肢DのNSGはIPアドレスとポートのL4制御であり、HTTPペイロードの内容を解析する機能はない。