情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ 問10: WAF におけるフォールスポジティブに該当するものはどれか。

問題本文

WAF におけるフォールスポジティブに該当するものはどれか。

選択肢

• ア.HTML の特殊文字“<”を検出したときに通信を遮断するように WAF を設定した場合，“<”などの数式を含んだ正当な HTTP リクエストが送信されたとき，WAF が攻撃として検知し，遮断する。
• イ.HTTP リクエストのうち，RFC などに仕様が明確に定義されておらず，Web アプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについては WAF が検査しないという仕様を悪用して，攻撃の命令を埋め込んだ HTTP リクエストが送信されたとき，WAF が遮断しない。
• ウ.HTTP リクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するように WAF を設定した場合，許可しない文字列をパラメータ中に含んだ不正な HTTP リクエストが送信されたとき，WAF が攻撃として検知し，遮断する。
• エ.悪意のある通信を正常な通信と見せかけ，HTTP リクエストを分割して送信されたとき，WAF が遮断しない。

正解

ア. HTML の特殊文字“<”を検出したときに通信を遮断するように WAF を設定した場合，“<”などの数式を含んだ正当な HTTP リクエストが送信されたとき，WAF が攻撃として検知し，遮断する。

解説

フォールスポジティブ(偽陽性)とは、正当な通信を誤って攻撃と判定し遮断してしまうこと。逆に攻撃を見逃すのは偽陰性(フォールスネガティブ)。アは、数式の不等号で使う正当な「<」を含むリクエストをWAFが攻撃と誤検知して遮断する例であり、まさに偽陽性で正解。実務ではシグネチャを厳しくすると偽陽性が増え業務影響が出るため、検知精度のチューニングが重要となる。

選択肢ごとの解説

• ア.正当な「<」を含むリクエストを攻撃と誤検知し遮断する例はまさに偽陽性で正しい。
• イ.検査対象外の独自フィールドを悪用され攻撃を見逃す例は偽陰性であり偽陽性ではなく誤り。
• ウ.不正なリクエストを正しく攻撃と判定し遮断する例は正常な検知であり偽陽性ではなく誤り。
• エ.分割送信で検知を回避され遮断できない例は偽陰性(検知漏れ)であり偽陽性ではなく誤り。