CLF-C02#102(Security)
企業がSQLインジェクション攻撃をブロックする必要があります。この要件を満たすAWSサービスまたは機能はどれですか?
正解:A
正解の根拠
AWS WAF はレイヤー 7 のウェブアプリケーションファイアウォールで、HTTP/HTTPS リクエストの内容を検査できます。マネージドルールに含まれる SQL インジェクション対策ルールや、独自の文字列・正規表現ルールを CloudFront、ALB、API Gateway などに適用することで攻撃をブロックできます。
主な防御サービスの比較
| サービス | レイヤー | SQLi 対応 |
|---|---|---|
| WAF | L7(HTTP) | 可 |
| Shield | L3/L4 DDoS | 不可 |
| NACL | L3/L4 サブネット | 不可 |
| セキュリティグループ | L3/L4 ENI | 不可 |
不正解の理由
- B: Shield は DDoS 対策が目的で、HTTP の中身を検査して SQLi をブロックする機能はありません。
- C: ネットワーク ACL は IP・ポート単位の制御で、ペイロードの検査はできません。
- D: セキュリティグループも L4 までの制御であり、SQL 文の検出は不可能です。
コメント