情報処理安全確保支援士 2024年秋期午前2 問12

問題文

WAFにおけるフォールスポジティブに該当するものはどれか。

選択肢

ア：HTMLの特殊文字"<"を検出したときに通信を遮断するようにWAFを設定した場合、数式を入力するWebサイトに"<"を数式の一部として含んだHTTPリクエストが送信されたときWAFが攻撃として検知し遮断する。（正解）

イ：HTTPリクエストのうちRFCなどに定義されておらずWebアプリケーションソフトウェアの開発者が独自に追加したフィールドについてはWAFが検査しないという仕様を悪用して攻撃の命令を埋め込んだHTTPリクエストが送信されたときWAFが遮断しない。

ウ：HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合、許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたときWAFが攻撃として検知し遮断する。

エ：悪意のある通信を正常な通信と見せかけHTTPリクエストを分割して送信されたときWAFが遮断しない。

WAFにおけるフォールスポジティブに該当するものはどれか。【午前2 解説】

要点まとめ

結論：フォールスポジティブとは、正常な通信を誤って攻撃と判定し遮断する誤検知のことです。
根拠：WAFは攻撃パターンを検知するためにルールを設定しますが、過剰に厳しい設定は正常な通信も攻撃と誤認します。
差がつくポイント：フォールスポジティブとフォールスネガティブ（攻撃を見逃す誤り）の違いを正確に理解し、具体例で判断できることが重要です。

正解の理由

選択肢アは、HTMLの特殊文字“く”を攻撃と誤検知し、正常な数式入力を遮断しているため、フォールスポジティブの典型例です。
これは正常な通信を誤って攻撃と判定しているため、フォールスポジティブに該当します。

よくある誤解

フォールスポジティブは「攻撃を見逃す」ことではなく、「正常な通信を攻撃と誤判定する」ことです。
また、WAFが検査しない通信はフォールスネガティブの可能性が高いです。

解法ステップ

フォールスポジティブの定義を確認する（正常通信を誤検知すること）。
各選択肢の内容を「正常通信か攻撃か」「誤検知か見逃しか」で分類する。
正常通信を攻撃と誤判定している選択肢を選ぶ。
他の選択肢は誤検知ではなく見逃しや正しい遮断なので除外する。

選択肢別の誤答解説

ア: 正常な数式入力の“く”を攻撃と誤検知し遮断しているためフォールスポジティブ。
イ: 独自フィールドを検査しないため攻撃を見逃している。これはフォールスネガティブ。
ウ: 許可しない文字列を含む不正リクエストを正しく遮断しているため正常動作。
エ: リクエスト分割攻撃を見逃しているためフォールスネガティブ。

補足コラム

WAF（Web Application Firewall）はWebアプリケーションへの攻撃を検知・遮断するための防御装置です。
フォールスポジティブが多いとユーザーの正常な操作が妨げられ、サービスの利便性が低下します。
一方、フォールスネガティブが多いと攻撃を見逃しセキュリティリスクが高まります。
適切なチューニングが重要です。

FAQ

Q: フォールスポジティブとフォールスネガティブの違いは何ですか？
A: フォールスポジティブは正常通信を誤って攻撃と判定する誤検知、フォールスネガティブは攻撃を見逃す誤りです。

Q: WAFの設定でフォールスポジティブを減らすにはどうすればよいですか？
A: ルールの精度を上げ、正常な通信パターンを学習させることで誤検知を減らせます。

Q: フォールスポジティブが多いとどんな問題がありますか？
A: 正常なユーザーの操作が遮断され、サービスの利用に支障が出るためユーザー満足度が低下します。

関連キーワード: WAF, フォールスポジティブ、フォールスネガティブ、Webアプリケーションセキュリティ、HTTPリクエスト検査

← 前の問題へ次の問題へ →

\ せっかくなら /

情報処理安全確保支援士を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！