情報処理安全確保支援士試験 令和6年秋期午前Ⅱ フォールスポジティブ
出典:令和6年秋期 午前Ⅱ 問12
分野:セキュリティ / 情報セキュリティ対策
WAFにおけるフォールスポジティブに該当するものはどれか。
- ア:HTMLの特殊文字"<"を検出したときに通信を遮断するようにWAFを設定した場合,数式を入力するWebサイトに"<"を数式の一部として含んだHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
- イ:HTTPリクエストのうち,RFCなどに定義されておらず,Webアプリケーションソフトウェアの開発者が独自に追加したフィールドについてはWAFが検査しないという仕様を悪用して,攻撃の命令を埋め込んだHTTPリクエストが送信されたとき,WAFが遮断しない。
- ウ:HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合,許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
- エ:悪意のある通信を正常な通信と見せかけ,HTTPリクエストを分割して送信されたとき,WAFが遮断しない。
TSUNAGARU-ADVICE
まず押さえたいこと
フォールスポジティブは、本来は正常な通信であるにもかかわらず、WAFが誤って攻撃と判断して遮断してしまうことです。
迷ったときの判断軸
「攻撃を遮断できた」のではなく、「正常な入力まで攻撃扱いしてしまった」かどうかに注目します。たとえば、数式として使われた「<」を、HTMLの特殊文字という理由だけで攻撃と誤検知する場合はフォールスポジティブに当たります。
科目Bにつなげるために
科目Bでは、セキュリティ対策の有効性だけでなく、正常な業務通信を止めてしまうリスクも問われます。フォールスポジティブは誤検知、フォールスネガティブは攻撃の見逃しとして整理しておきましょう。
フォールスポジティブは、本来は正常な通信であるにもかかわらず、WAFが攻撃と誤って判定し、遮断してしまうことです。
選択肢アでは、数式の一部として正当に入力された「<」を、WAFが攻撃として誤検知して遮断しています。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:HTTPリクエストのうち,RFCなどに定義されておらず,Webアプリケーションソフトウェアの開発者が独自に追加したフィールドについてはWAFが検査しないという仕様を悪用して,攻撃の命令を埋め込んだHTTPリクエストが送信されたとき,WAFが遮断しない。
⇒攻撃を見逃しているため、フォールスネガティブの説明です。正常な通信を攻撃と誤検知するフォールスポジティブではありません。
ウ:HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合,許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
⇒不正な通信を正しく検知・遮断しているため、フォールスポジティブではありません。
エ:悪意のある通信を正常な通信と見せかけ,HTTPリクエストを分割して送信されたとき,WAFが遮断しない。
⇒攻撃を見逃しているため、フォールスネガティブの説明です。