問題
「出典:令和元年度 秋期 情報セキュリティマネジメント試験 午前 問13」
ア HTMLの特殊文字“<”を検出したときに通信を遮断するようにWAFを設定した場合,“<”などの数式を含んだ正当なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
イ HTTPリクエストのうち,RFCなどに仕様が明確に定義されておらず,Webアプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについてはWAFが検査しないという仕様を悪用して,攻撃の命令を埋め込んだHTTPリクエストが送信されたとき,WAFが遮断しない。
ウ HTTPリクエストのパラメタとして許可する文字列以外を検出したときに通信を遮断するようにWAFを設定した場合,許可しない文字列を含んだ不正なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
エ 悪意のある通信を正常な通信と見せかけ,HTTPリクエストを分割して送信されたとき,WAFが遮断しない。
かんたん解説
「フォールスポジティブ」とは、正常な通信を不正アクセスと誤認識してしまうことです。正常な通信を攻撃だって間違った判断をしたんだけど(フォールス)結果的に問題じゃなかったわ。。(ポジティブ)という感じですね。
「フォールスネガティブ」とは、攻撃なのに正常な通信だと間違った判断をして(フォールス)、やばいー攻撃じゃんこれ!!汗(ネガティブ)という感じです。
どっちもフォールスなんですけど、アに記載されている内容が、フォールスポジティブですね。
正当なHTTPリクエストを攻撃だと検知しちゃっているので。ポジティブでも迷惑であることは変わりないです。
ということで、正解は(ア)ですね。
