情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度秋期 午前Ⅱ 問12: WAF におけるフォールスポジティブに該当するものはどれか。

問題本文

WAF におけるフォールスポジティブに該当するものはどれか。

選択肢

• ア.HTML の特殊文字“<”を検出したときに通信を遮断するように WAF を設定した場合，数式を入力する Web サイトに“<”を数式の一部として含んだ HTTP リクエストが送信されたとき，WAF が攻撃として検知し，遮断する。
• イ.HTTP リクエストのうち，RFC などに定義されておらず，Web アプリケーションソフトウェアの開発者が独自に追加したフィールドについては WAF が検査しないという仕様を悪用して，攻撃の命令を埋め込んだ HTTP リクエストが送信されたとき，WAF が遮断しない。
• ウ.HTTP リクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するように WAF を設定した場合，許可しない文字列をパラメータ中に含んだ不正な HTTP リクエストが送信されたとき，WAF が攻撃として検知し，遮断する。
• エ.悪意のある通信を正常な通信と見せかけ，HTTP リクエストを分割して送信されたとき，WAF が遮断しない。

正解

ア. HTML の特殊文字“<”を検出したときに通信を遮断するように WAF を設定した場合，数式を入力する Web サイトに“<”を数式の一部として含んだ HTTP リクエストが送信されたとき，WAF が攻撃として検知し，遮断する。

解説

フォールスポジティブ(誤検知)とは、正常な通信を攻撃と誤って判定し遮断してしまうこと。アは、数式の一部として正当に入力された「<」をXSS攻撃と誤認して遮断する例で、まさに誤検知に該当するため正解。実務ではWAFの過検知は正規利用者の妨げになるため、シグネチャの調整や例外設定で誤検知を減らすチューニングが重要となる。

選択肢ごとの解説

• ア.正当な数式中の「<」を攻撃と誤認し遮断する例で、正常通信を遮る誤検知そのもので正しい。
• イ.攻撃を見逃して遮断しない例はフォールスネガティブ(検知漏れ)であり、誤検知ではないので誤り。
• ウ.実際の不正リクエストを正しく遮断する例で、正検知であり誤検知には該当せず誤り。
• エ.分割した攻撃を見逃す例はフォールスネガティブで、フォールスポジティブではないので誤り。