フォールスポジティブ|情報処理安全確保支援士試験 令和5年春期午前Ⅱ 問10
出典:令和5年春期 午前Ⅱ 問10
分野:セキュリティ / 情報セキュリティ対策
WAFにおけるフォールスポジティブに該当するものはどれか。
- ア:HTMLの特殊文字"<"を検出したときに通信を遮断するようにWAFを設定した場合,"<"などの数式を含んだ正当なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
- イ:HTTPリクエストのうち,RFCなどに仕様が明確に定義されておらず,Webアプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについてはWAFが検査しないという仕様を悪用して,攻撃の命令を埋め込んだHTTPリクエストが送信されたとき,WAFが遮断しない。
- ウ:HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合,許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
- エ:悪意のある通信を正常な通信と見せかけ,HTTPリクエストを分割して送信されたとき,WAFが遮断しない。
TSUNAGARU-ADVICE
まず押さえたいこと
フォールスポジティブは、本来は正常な通信を、誤って攻撃として検知してしまうことです。WAFでは、検査ルールが厳しすぎる場合に発生することがあります。
迷ったときの判断軸
ポイントは、実際の通信が正常か不正かと、WAFの判断が正しいかどうかです。正常なHTTPリクエストに含まれる「<」を攻撃と誤判定して遮断する場合は、正常なものを不正と判断しているため、フォールスポジティブに該当します。
科目Bにつなげるために
科目Bでは、WAFやIDS/IPSの検知結果について、フォールスポジティブとフォールスネガティブを切り分ける力が問われます。フォールスポジティブは正常通信の誤検知、フォールスネガティブは攻撃通信の見逃しとして、検知対象の実態とシステムの判定結果を分けて考えましょう。
フォールスポジティブとフォールスネガティブは、マルウェア対策ソフトやIDS・IPSなどで起こる誤検知の種類です。
フォールスポジティブが多いと、正常な通信や操作まで止めてしまい、利用者や管理者の負担が増えます。
一方、フォールスネガティブが多いと、本来防ぐべき攻撃を通過させてしまい、セキュリティ上の危険が高まります。
一般に、検知を厳しくするとフォールスポジティブが増えやすく、緩くするとフォールスネガティブが増えやすいという関係があります。そのため、ルールを調整しながら、どちらの誤検知もできるだけ少なくすることが重要です。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:HTTPリクエストのうち,RFCなどに仕様が明確に定義されておらず,Webアプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについてはWAFが検査しないという仕様を悪用して,攻撃の命令を埋め込んだHTTPリクエストが送信されたとき,WAFが遮断しない。
⇒選択肢イは、攻撃を含む不正なHTTPリクエストをWAFが遮断できなかった例です。これは、本来検知すべき攻撃を見逃しているため、フォールスポジティブではなくフォールスネガティブに該当します。
ウ:HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合,許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
⇒選択肢ウは、不正なHTTPリクエストをWAFが正しく攻撃として検知し、遮断している例です。誤検知ではなく、期待どおりの検知・遮断なので、フォールスポジティブには該当しません。
エ:悪意のある通信を正常な通信と見せかけ,HTTPリクエストを分割して送信されたとき,WAFが遮断しない。
⇒選択肢エは、攻撃通信をWAFが正常通信と判断して遮断できなかった例です。本来検知すべき攻撃を見逃しているため、フォールスポジティブではなくフォールスネガティブに該当します。