WAFにおけるフォールスポジティブに該当するものはどれか。
ア | HTMLの特殊文字“<”を検出したときに通信を遮断するようにWAFを設定した場合、“<”などの数式を含んだ正当なHTTPリクエストが送信されたとき、WAFが攻撃として検知し、遮断する。 |
イ | HTTPリクエストのうち、RFCなどに仕様が明確に定義されておらず、Webアプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについてはWAFが検査しないという仕様を悪用して、攻撃の命令を埋め込んだHTTPリクエストが送信されたとき、WAFが遮断しない。 |
ウ | HTTPリクエストのパラメータ中に許可しない字列を検出したときに通信を遮断するようにWAFを設定した場合、許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき、WAFが攻撃として検知し、遮断する。 |
エ | 悪意のある通信を正常な通信と見せかけ、HTTPリクエストを分割して送信されたとき、WAFが遮断しない。 |
答え ア
【解説】
WAFにおけるフォールスポジティブ(false positive)は、本来であれば正常な通信として許可しないといけない正当なデータを、誤って不正な通信としてしまい遮断することです。
逆に、本来であれば不正な通信として遮断しないといけないデータを、誤って正当な通信として通過させてしまうのはフォールスネガティブ(false negative)になります。
【キーワード】
・WAF