F5 GLOSSARY

誤検知

誤検知とは、正常なものを不正なものと間違って判断することを意味します。例えばアンチウイルス ソフトウェアが正常なソフトウェアをマルウェアであると判断する、迷惑メール フィルタが正常なメールをスパムメールと判断する、といったことが挙げられます。またネットワークの経路上でWebアプリケーションへの不正アクセスや攻撃を防止するWebアプリケーション ファイアウォール(WAF)でも、誤検知が発生する可能性があります。

セキュリティ機器で発生する誤検知のことを「フォールス ポジティブ」と言います。その逆に、不正なものを正常なものとみなして通過させてしまうことを「フォールス ネガティブ(見逃し)」と言います。フォールス ネガティブが多いのは、セキュリティ侵害を受けやすい状態だといえます。フォールス ポジティブが多くなれば、運用コストが上昇します。いずれもできる限りゼロに近づけることが望まれます。

フォールス ネガティブは、新たに発見された攻撃手法のシグネチャを継続的に追加していくことで、発生頻度を下げていくことが可能です。これに対してフォールス ポジティブは、シグネチャの追加時に発生しやすくなります。新たなシグネチャの追加はセキュリティ上の穴をふさぐものですが、塞ぎ方が大きすぎると、正常なものも対象になってしまう可能性があるからです。

F5が提供するWAF製品「F5 BIG-IP」では、この問題を解決するため、シグネチャのステージング機能を装備しています。新たに追加されたシグネチャは、この機能によって試験的に適用され、誤検知が発生しないかどうかが確認されます。これによって、シグネチャの更新時に発生しやすい誤検知への対応コストを削減できます。


< Return to the glossary