ホーム > 情報処理安全確保支援士試験 > 2023年 春期
情報処理安全確保支援士試験 2023年 春期 午前2 問10
WAFにおけるフォールスポジティブに該当するものはどれか。
ア:HTMLの特殊文字“く”を検出したときに通信を遮断するようにWAFを設定した場合,“く”などの数式を含んだ正当なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。(正解)
イ:HTTPリクエストのうち,RFCなどに仕様が明確に定義されておらず,Webアプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについてはWAFが検査しないという仕様を悪用して,攻撃の命令を埋め込んだHTTPリクエストが送信されたとき,WAFが遮断しない。
ウ:HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合,許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
エ:悪意のある通信を正常な通信と見せかけ,HTTPリクエストを分割して送信されたとき,WAFが遮断しない。
解説
WAF(Web Application Firewall)は、Webアプリケーションへの攻撃を検知・防御するためのセキュリティ機能です。WAFはHTTPリクエストを監視し、不正なリクエストを遮断しますが、その過程で誤った判定が発生することがあります。ここで重要な用語が「フォールスポジティブ(false positive)」です。
フォールスポジティブとは?
フォールスポジティブとは、「正常な(安全な)通信を攻撃と誤判定し、遮断してしまう」ことを指します。言い換えれば、本来は許可すべき通信を誤ってブロックする誤検知のことです。
例えば、以下のケースです。
- 正当なHTTPリクエストに特殊文字や記号が含まれている
- それを攻撃の兆候と誤って判断する
このような場合、ユーザーの利用に支障が出るため、WAFのチューニングが重要になります。
選択肢の考察
-
ア: 「HTMLの特殊文字“く”を検出したときに通信を遮断するようWAFを設定し、正当なリクエストでも攻撃と検知して遮断する」 →
これは正しいフォールスポジティブの例です。正当な通信を誤って攻撃と判定しています。 -
イ: 独自仕様のフィールドをWAFが検査しないため攻撃を通す →
これはフォールスポジティブではなく「フォールスネガティブ(攻撃を見逃す)」の例です。 -
ウ: 許可していない文字列を含む不正リクエストを検知して遮断する →
これは正常に攻撃を検知しているので、誤検知ではありません。 -
エ: 攻撃HTTPリクエストの分割送信で遮断されない →
これもフォールスネガティブの例です。
まとめ
- フォールスポジティブは「正常な通信を誤って攻撃と判定し遮断する」ことです。
- 選択肢の中でこの条件を満たすのはアのケースです。
したがって、正解は「ア」となります。
WAFの設定で気をつけるポイント
WAF設定時には、検査する文字やパターンのルールを厳しくしすぎるとフォールスポジティブが増え、正常な利用者まで不便に感じてしまいます。逆に緩くしすぎると攻撃を許してしまうため、適切なバランスと定期的なチューニングが不可欠です。
以上の理由から、WAFにおけるフォールスポジティブの例として「ア」が正しい選択肢となります。