情報処理安全確保支援士試験 2023年 春期 午前2 問10
WAFにおけるフォールスポジティブに該当するものはどれか。
ア:HTMLの特殊文字“く”を検出したときに通信を遮断するようにWAFを設定した場合,“く”などの数式を含んだ正当なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。(正解)
イ:HTTPリクエストのうち,RFCなどに仕様が明確に定義されておらず,Webアプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについてはWAFが検査しないという仕様を悪用して,攻撃の命令を埋め込んだHTTPリクエストが送信されたとき,WAFが遮断しない。
ウ:HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合,許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
エ:悪意のある通信を正常な通信と見せかけ,HTTPリクエストを分割して送信されたとき,WAFが遮断しない。
解説
WAFにおけるフォールスポジティブに該当するものはどれか【午前2 解説】
要点まとめ
- 結論:フォールスポジティブとは、正常な通信を誤って攻撃と判定し遮断する誤検知のことです。
- 根拠:WAFは攻撃パターンを検知するためにルールを設定しますが、過剰なルール設定で正常なリクエストも攻撃と判断される場合があります。
- 差がつくポイント:フォールスポジティブは「正常な通信が遮断される」ケースであり、攻撃を見逃す「フォールスネガティブ」とは逆の現象です。
正解の理由
選択肢アは、HTMLの特殊文字“く”を攻撃と誤検知し、正当なHTTPリクエストを遮断しています。これは正常な通信を誤って攻撃と判定しているため、フォールスポジティブの典型例です。WAFの過剰な検知ルールが原因であり、誤検知によるサービス障害のリスクを示しています。
よくある誤解
フォールスポジティブは「攻撃を見逃す」ことではなく、正常な通信を誤って攻撃と判断することです。混同しやすいので注意が必要です。
解法ステップ
- フォールスポジティブの定義を確認する(正常な通信を誤検知すること)。
- 各選択肢の内容を「正常通信か攻撃か」「遮断されているか」で分類する。
- 正常通信を攻撃と誤判定し遮断している選択肢を探す。
- 選択肢アが該当するため正解と判断する。
選択肢別の誤答解説ステップ
- ア: 正常なHTTPリクエストを攻撃と誤検知し遮断しているためフォールスポジティブ。
- イ: 攻撃を見逃しているためフォールスネガティブであり、フォールスポジティブではない。
- ウ: 不正なリクエストを正しく遮断しているため正常な動作であり誤検知ではない。
- エ: 攻撃を見逃しているためフォールスネガティブであり、フォールスポジティブではない。
補足コラム
WAF(Web Application Firewall)はWebアプリケーションへの攻撃を防ぐために設置されますが、過剰なルール設定はフォールスポジティブを増やし、ユーザビリティ低下や業務影響を招きます。適切なチューニングとログ分析が重要です。
FAQ
Q: フォールスポジティブとフォールスネガティブの違いは何ですか?
A: フォールスポジティブは正常な通信を誤って攻撃と判定する誤検知、フォールスネガティブは攻撃を見逃す誤検知です。
A: フォールスポジティブは正常な通信を誤って攻撃と判定する誤検知、フォールスネガティブは攻撃を見逃す誤検知です。
Q: フォールスポジティブを減らすにはどうすればよいですか?
A: WAFのルールを適切に調整し、誤検知の原因となるパターンを除外するチューニングが必要です。
A: WAFのルールを適切に調整し、誤検知の原因となるパターンを除外するチューニングが必要です。
関連キーワード: WAF, フォールスポジティブ, Webアプリケーションセキュリティ, 誤検知, フォールスネガティブ