情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和元年度秋期 午前 問14: WAF におけるフォールスポジティブに該当するものはどれか。
←情報セキュリティマネジメント試験 令和元年度秋期 午前
におけるフォールスポジティブに該当するものはどれか。
問題本文
WAF におけるフォールスポジティブに該当するものはどれか。
選択肢
- ア.HTML の特殊文字“<”を検出したときに通信を遮断するように WAF を設定した場合,“<”などの数式を含んだ正当な HTTP リクエストが送信されたとき,WAF が攻撃として検知し,遮断する。
- イ.HTTP リクエストのうち,RFC などに仕様が明確に定義されておらず,Web アプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについては WAF が検査しないという仕様を悪用して,攻撃の命令を埋め込んだ HTTP リクエストが送信されたとき,WAF が遮断しない。
- ウ.HTTP リクエストのパラメタとして許可する文字列以外を検出したときに通信を遮断するように WAF を設定した場合,許可しない文字列を含んだ不正な HTTP リクエストが送信されたとき,WAF が攻撃として検知し,遮断する。
- エ.悪意のある通信を正常な通信と見せかけ,HTTP リクエストを分割して送信されたとき,WAF が遮断しない。
正解
ア. HTML の特殊文字“<”を検出したときに通信を遮断するように WAF を設定した場合,“<”などの数式を含んだ正当な HTTP リクエストが送信されたとき,WAF が攻撃として検知し,遮断する。
解説
フォールスポジティブ(偽陽性)とは、正常な通信を誤って攻撃と判定してしまうこと(誤検知)である。「<」を含む正当なHTTPリクエストを攻撃と誤検知して遮断する「ア」が、正常通信を攻撃と誤判定する例に該当するため正解となる。
選択肢ごとの解説
- ア.正当なリクエストを攻撃と誤って検知し遮断する記述であり、正常を異常と判定するフォールスポジティブに該当するので正しい。
- イ.検査対象外フィールドを悪用した実際の攻撃を見逃す記述であり、攻撃を正常と取り違えるフォールスネガティブ(検知漏れ)である。
- ウ.不正なリクエストを正しく攻撃と検知して遮断しており、これは正しい検知(真陽性)であってフォールスポジティブではない。
- エ.分割送信した攻撃を見逃して遮断しない記述であり、攻撃を見逃すフォールスネガティブである。
情報セキュリティマネジメント試験 令和元年度秋期 午前 の過去問一覧へ戻る・問14