令和5年春期試験問題 午前Ⅱ 問10

WAFにおけるフォールスポジティブに該当するものはどれか。

  • HTMLの特殊文字"<"を検出したときに通信を遮断するようにWAFを設定した場合,"<"などの数式を含んだ正当なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
  • HTTPリクエストのうち,RFCなどに仕様が明確に定義されておらず,Webアプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについてはWAFが検査しないという仕様を悪用して,攻撃の命令を埋め込んだHTTPリクエストが送信されたとき,WAFが遮断しない。
  • HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合,許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
  • 悪意のある通信を正常な通信と見せかけ,HTTPリクエストを分割して送信されたとき,WAFが遮断しない。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
解説
フォールスポジティブは、対をなすフォールスネガティブとともにマルウェア対策ソフトやIDS・IPSにおける誤検知のパターンを表す言葉です。
フォールスネガティブ(False Negative)
本来は検知すべき悪意のある活動を、誤って害のないものとして分類すること。いわゆる検知漏れ。多くなるほどコンピュータに影響を与え得る攻撃を通過させてしまう可能性が高くなる。
フォールスポジティブ(False Positive)
本来は通過させるべき害のない活動を、誤って悪意のあるものとして分類すること。いわゆる過剰検知。多くなるほど正常な操作の阻害回数や管理者の負担が増える。
2つの発生数にはトレードオフの傾向がありますが、フィルタリングルールの調整によってどちらも最小になるように改善し続けることが求められます。

上記の性質を踏まえると「ア」がフォールスポジティブに該当すると判断できます。
  • 正しい。正当なリクエストを悪意のあるものとして検知してしまった事例なのでフォールスポジティブに該当します。
  • 遮断すべき攻撃を通過させてしまったのでフォールスネガティブに該当します。
  • 適切な処理であり誤検知ではありません。
  • 遮断すべき攻撃を通過させてしまったのでフォールスネガティブに該当します。

Pagetop