AWS認定資格 無料問題集

解答

正しい解答：Ｄ. AWS WAF

　URL を直接入力して「解答・解説」画面を表示した場合、何を選択・解答したかを特定できないため、解答の正誤判定ができません。必要に応じて「同じ問題に再挑戦」ボタンをクリックして、この問題に再チャレンジしてみてください。

徹底解説

　 SQLインジェクションやクロス・サイト・スクリプティング（XSS）による攻撃に対する保護が可能なサービスは、AWS WAF（Web Application Firewall）です。AWS WAF は悪意のある攻撃を監視してその通信をブロックするための Web Application Firewall 機能を提供するサービスで、SQLインジェクションやクロス・サイト・スクリプティングなどの Web アプリケーションの脆弱性を突いたサイバー攻撃から保護します。Web アプリケーションに対するリクエストを AWS WAF が受け取ると、事前に定義されたルール（ルールグループやWebACL）のアクションに基づいてトラフィックを許可または拒否します。ルールの定義はAWSが提供するマネージドルールセットや、Marketplace 経由で他ベンダーが提供するルールセットと組み合わせることができます。一般的な攻撃パターンをブロックするセキュリティ・ルールに加えて、定義した特定のトラフィック・パターンを除外するルールを作成したり、より細かい条件指定やラベル付けによる制御が可能となっており、柔軟なアクセス制御を実現できます。

　その他の選択肢は、SQLインジェクションや XSS による攻撃に対する保護が可能なサービスではありません。AWS Fargate は Amazon ECS および Amazon EKS のどちらからでも利用できるデータプレーン（コンテナが実行される環境）であり、サーバーレスでコンテナを実行することができるマネージド型のサービスです。Web アプリケーションを保護するものではありません。
　AWS Shield は、Web アプリケーションへの SYN Flood、UDP Flood や反射攻撃といった DDoS 攻撃に対する緩和対策を提供するマネージド型のサービスであり、WAFではありません。
　AWS Network Firewall は Amazon VPC の境界（Internet Gateway の内側）でステートフルまたはステートレスのパケット・フィルタリングや侵入防止システム（IPS：Intrusion Prevention System）を実装するマネージド型のセキュリティ・サービスです。パケット・フィルタリング機能は、IPアドレスやポート番号だけでなく、送信先ドメイン名に基づく HTTP／HTTPS のアクセス制御を行うことも可能です。また、IPS機能はシグネチャベースでトラフィックフローを検査することにより、脆弱性の悪用を検知して、ブロックするものです。しかしながら、今回の問題のような SQLインジェクションや XSS による攻撃に対する保護を実施するには、AWS WAF が適しています。参考までに、AWS Network Firewall は、CLF-C02 で明示的に試験範囲として追加されたサービスのひとつです。上記の解説をよく読んで、サービスの定義や基本的な内容の理解を深めておくようにしましょう。

Step Up！
　AWS WAF Classic（v1）は、2025年9月30日をもってサポート終了となるため、既存の利用者は AWS WAF v2 へのリソース移行が必要です。クラウドプラクティショナー資格試験では、WAF の詳細設定やバージョンの違いが直接問われることは基本的にありませんが、より柔軟なマネージドルールの利用、CloudFront に加えて ALB や API Gateway への直接適用、ルールグループによる優先順位の制御など、WAF v2 の主要機能を理解しておくと安心です。