ホーム > 情報処理安全確保支援士試験 > 2024年秋期

情報処理安全確保支援士試験 2024年秋期午前2 問12

WAFにおけるフォールスポジティブに該当するものはどれか。

ア：HTMLの特殊文字“く”を検出したときに通信を遮断するようにWAFを設定した場合、数式を入力するWebサイトに“く”を数式の一部として含んだHTTPリクエストが送信されたときWAFが攻撃として検知し遮断する。（正解）

イ：HTTPリクエストのうちRFCなどに定義されておらずWebアプリケーションソフトウェアの開発者が独自に追加したフィールドについてはWAFが検査しないという仕様を悪用して攻撃の命令を埋め込んだHTTPリクエストが送信されたときWAFが遮断しない。

ウ：HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合、許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたときWAFが攻撃として検知し遮断する。

エ：悪意のある通信を正常な通信と見せかけHTTPリクエストを分割して送信されたときWAFが遮断しない。

解説

WAF（Web Application Firewall）は、Webアプリケーションへの攻撃を検出・防御するためのセキュリティ対策です。WAFが誤って正常な通信を攻撃と判断して遮断してしまうことを「フォールスポジティブ」と呼びます。

フォールスポジティブ（誤検知）とは、本来は問題のない正常な通信を攻撃と誤って判定してしまうことです。例えば、セキュリティルールが厳しすぎたり、判定基準が不適切だった場合に起こります。

ア：HTMLの特殊文字“く”を攻撃のサインとしてWAFが検知するよう設定されているため、数式の一部として“く”を含む正当なHTTPリクエストが攻撃と誤認されて遮断される。
→ これはフォールスポジティブの典型例です。
イ：WAFが仕様上検査しない独自フィールドを使った攻撃では、攻撃を見逃すがこれは「フォールスポジティブ」ではなく「フォールスネガティブ（誤検知漏れ）」です。
ウ：許可しない文字列が含まれる不正リクエストを正しく検知・遮断しているため、正常な動作でありフォールスポジティブではありません。
エ：攻撃を正常通信に見せかけた場合、WAFは検知できず遮断しないため、これもフォールスネガティブの例になります。

フォールスポジティブは、正常な通信が攻撃と誤って検出されることを指します。問題文の中でその例になるのは選択肢アだけです。

つまり、
**正解は「ア」**です。

セキュリティ対策では、フォールスポジティブが多すぎるとユーザビリティが低下し、フォールスネガティブが多いとセキュリティリスクが高まるため、これらのバランスが重要です。

以上の内容から、WAFにおけるフォールスポジティブは選択肢アが該当します。