令和6年秋期試験問題 午前Ⅱ 問12

WAFにおけるフォールスポジティブに該当するものはどれか。

  • HTMLの特殊文字"<"を検出したときに通信を遮断するようにWAFを設定した場合,数式を入力するWebサイトに"<"を数式の一部として含んだHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
  • HTTPリクエストのうち,RFCなどに定義されておらず,Webアプリケーションソフトウェアの開発者が独自に追加したフィールドについてはWAFが検査しないという仕様を悪用して,攻撃の命令を埋め込んだHTTPリクエストが送信されたとき,WAFが遮断しない。
  • HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合,許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
  • 悪意のある通信を正常な通信と見せかけ,HTTPリクエストを分割して送信されたとき,WAFが遮断しない。
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
解説
フォールスポジティブは、対をなすフォールスネガティブとともにウイルス対策ソフトやIDS/IPSにおける誤検知のパターンを表す言葉です。
フォールスネガティブ(False Negative)
本来は検知すべき悪意のある活動を、誤って害のないものとして分類すること。いわゆる検知漏れ。多くなるほどコンピュータに影響を与え得る攻撃を通過させてしまう可能性が高くなる
フォールスポジティブ(False Positive)
本来は通過させるべき害のない活動を、誤って悪意のあるものとして分類すること。いわゆる過剰検知。多くなるほど正常な操作の阻害回数や管理者の負担が増える
2つの発生数にはトレードオフの傾向がありますが、フィルタリングルールの調整によってどちらも最小になるように改善し続けることが求められます。

これらの特徴を踏まると、選択肢の事例は次のように判断できます。
  • 正しい。正当なリクエストを誤ってブロックした例なので、フォールスポジティブに該当します。
  • 本来であれば遮断されるべき攻撃を検知できなかったので、フォールスネガティブに該当します。
  • WAFの設定どおりに適切に処理されており、誤検知ではありません。
  • 本来であれば遮断されるべき攻撃を検知できなかったので、フォールスネガティブに該当します。

Pagetop