WAFにおけるフォールスポジティブに該当するものはどれか。
ア | HTMLの特殊文字“<”を検出したときに通信を遮断するようにWAFを設定した場合、“<”などの数式を含んだ正当なHTTPリクエストが送信されたとき、WAFが攻撃として検知し、遮断する。 |
イ | HTTPリクエストのうち、RFCなどに仕様が明確に定義されておらず、Webアプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについてはWAFが検査しないという仕様を悪用して、攻撃の命令を埋め込んだHTTPリクエストが送信されたとき、WAFが遮断しない。 |
ウ | HTTPリクエストのパラメータとして許可する文字列以外を検出したときに通信を遮断するようにWAFを設定した場合、許可しない文字列を含んだ不正なHTTPリクエストが送信されたとき、WAFが攻撃とし、遮断する。 |
エ | 悪意のある通信を正常な通信と見せかけ、HTTPリクエストを分割して送信されたとき、WAFが遮断しない。 |
答え ア
【解説】
WAFにおけるフォールスポジティブ(false positive)は、本来であれば正常な通信として許可しないといけない正当なデータを、誤って不正な通信としてしまい遮断することです。
逆に、本来であれば不正な通信として遮断しないといけないデータを、誤って正当な通信として通過させてしまうのはフォールスネガティブ(false negative)になります。
【キーワード】
・WAF