WEB問題集
Azure Application Gateway WAF v2 のセキュリティ機能として正しいものをすべて選んでください (2 つ)。
解説
【正解: A / B】の理由
WAF v2 は OWASP Core Rule Set (CRS) による既知の Web 脆弱性パターン検出に加えて、IP / Geo Match / 文字列パターンなどのカスタム ルールも適用可能です。これにより、Web アプリケーション層の攻撃を多層で防御する設計が実現します。
【他選択肢が違う理由】
- C: L4 の DDoS 自動緩和は Azure DDoS Protection の役割で、WAF v2 単体では提供しません。
- D: SQL Injection / XSS 検査は WAF v2 の機能ですが、本問では a/b を主要回答として選び、d は OWASP CRS に内包されます。
- E: レート リミットは WAF v2 の機能で、Standard SKU ではなく WAF SKU に紐付きます。
【参考】
各シナリオを最適な Azure App Delivery サービスにマッチさせてください。
- リージョン内 Web アプリの WAF + URL ベース ルーティング
- グローバル Web ユーザを最寄り POP へ誘導 + 中央 WAF
- VNet 内部の L4 (TCP / UDP) 分散
- DNS ベース Geo / Priority ルーティング
解説
【正しいマッチング完全版】
※ リージョン内 L7 = App Gateway、グローバル L7 = Front Door、L4 = Load Balancer、DNS ベース = Traffic Manager の対応関係を整理しておくと選択判断が正確になります。
- リージョン内 Web アプリの WAF + URL ベース ルーティング → Application Gateway
- グローバル Web ユーザを最寄り POP へ誘導 + 中央 WAF → Front Door
- VNet 内部の L4 (TCP / UDP) 分散 → Load Balancer
- DNS ベース Geo / Priority ルーティング → Traffic Manager
【正解マッチング】
| 機能 | 対応 |
|---|---|
| リージョン内 Web アプリの WAF + URL ベース ルーティング | Application Gateway |
| グローバル Web ユーザを最寄り POP へ誘導 + 中央 WAF | Front Door |
| VNet 内部の L4 | Load Balancer |
| DNS ベース Geo / Priority ルーティング | Traffic Manager |
【参考】
【シナリオ】
あなたの会社は内部 Web アプリ (3 つの異なるサブドメイン) を Azure 上でホストし、WAF を有効化して L7 攻撃を防御する設計を進めています。要件: 単一の Public IP で 3 サイト集約、URL Path-based Routing で /api と /static を別 Backend へ振り分け、Zone Redundant 構成。
【ステートメント】
Application Gateway WAF v2 SKU + Multi-site Listener + Path-based Routing で要件をすべて満たせる。
解説
【正解: はい】の理由
Application Gateway WAF v2 は単一 Public IP で複数サイトを Multi-site Listener で集約し、URL Path-based Routing でパス別 Backend 振り分け、Zone Redundant 構成すべてに対応します。そのため、本シナリオの要件はすべて WAF v2 SKU のネイティブ機能で実現できます。
【不正解の選択肢の場合】
「いいえ」と判定すると WAF v2 では要件を満たせないことになりますが、Multi-site Listener と Path-based Routing は WAF v2 の標準機能です。そのため、本構成が正解となります。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Application Gateway WAF v2 SKU + Multi-site Listener + Path-based Ro… | はい |
| 問2 | Application Gateway は L4 (TCP / UDP) ロード バランシングにも対応するため、Web アプリ以外の T… | いいえ |
| 問3 | WAF Policy は最初 Detection モードで動作確認し、誤検知を除外した後 Prevention モードに切り替えるのが推… | はい |
【参考】
【シナリオ】
あなたの会社は内部 Web アプリ (3 つの異なるサブドメイン) を Azure 上でホストし、WAF を有効化して L7 攻撃を防御する設計を進めています。要件: 単一の Public IP で 3 サイト集約、URL Path-based Routing で /api と /static を別 Backend へ振り分け、Zone Redundant 構成。
【ステートメント】
Application Gateway は L4 (TCP / UDP) ロード バランシングにも対応するため、Web アプリ以外の TCP サービスもまとめて分散できる。
解説
【正解: いいえ】の理由
Application Gateway は L7 (HTTP / HTTPS) 専用のロード バランサーで、TCP / UDP の L4 トラフィック処理は行いません。そのため、L4 ロード バランシングが必要な場合は Standard Load Balancer を別途構成する必要があります。
【不正解の選択肢の場合】
「はい」と判定すると Application Gateway で L4 まで対応できることになりますが、TCP / UDP 分散は別サービスの役割です。そのため、L4 と L7 でサービスを使い分けるのが正解です。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Application Gateway WAF v2 SKU + Multi-site Listener + Path-based Ro… | はい |
| 問2 | Application Gateway は L4 (TCP / UDP) ロード バランシングにも対応するため、Web アプリ以外の T… | いいえ |
| 問3 | WAF Policy は最初 Detection モードで動作確認し、誤検知を除外した後 Prevention モードに切り替えるのが推… | はい |
【参考】
【シナリオ】
あなたの会社は内部 Web アプリ (3 つの異なるサブドメイン) を Azure 上でホストし、WAF を有効化して L7 攻撃を防御する設計を進めています。要件: 単一の Public IP で 3 サイト集約、URL Path-based Routing で /api と /static を別 Backend へ振り分け、Zone Redundant 構成。
【ステートメント】
WAF Policy は最初 Detection モードで動作確認し、誤検知を除外した後 Prevention モードに切り替えるのが推奨される。
解説
【正解: はい】の理由
WAF Policy は最初に Detection モード (検知のみで遮断なし) でログを観察し、正常リクエストの誤検知パターンを Exclusion Rule で除外した後に Prevention モード (実遮断) に切り替えるのが Microsoft 公式の推奨フローです。これにより、本番影響を最小化しつつ段階的に防御を有効化できます。
【不正解の選択肢の場合】
「いいえ」と判定すると いきなり Prevention モードが推奨となりますが、誤検知で正常リクエストが遮断される本番影響が大きくなります。そのため、Detection → Prevention の段階移行が正解です。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Application Gateway WAF v2 SKU + Multi-site Listener + Path-based Ro… | はい |
| 問2 | Application Gateway は L4 (TCP / UDP) ロード バランシングにも対応するため、Web アプリ以外の T… | いいえ |
| 問3 | WAF Policy は最初 Detection モードで動作確認し、誤検知を除外した後 Prevention モードに切り替えるのが推… | はい |