検証2の過剰検知のテストでは,網羅的な検査は困難なので,攻撃と誤解されそうな文字列を2種類考えて入力フォームに入力してみた(図5)。

図5●攻撃と誤解されそうな文字列を送信したときの検証結果
2種類の文字列を試したところ,ホワイトリスト重視型の製品で過剰検知が発生した
[画像のクリックで拡大表示]

 一つは「union」「select」というSQLの予約語を二つ含む文字列で,BIG-IPとSecureSphereが過剰検知した。もう一つは「'」という特殊文字とSQLの予約語を一つずつ含む文字列。これはCitrixが過剰検知した。

 過剰検知した3製品はどれもホワイトリスト重視型である。ホワイトリスト重視型の製品は,ホワイトリストの作成など,導入前にWebサイトの特性に合わせてチューニングすることで安全性の向上を図ることを推奨している。そうしたチューニングの過程で,過剰検知への配慮も必要になりそうなことが検証で分かった。クレームを減らすため,過剰検知は導入前にできるだけなくすべきである。

 過剰検知が出なかった2製品は,ブラックリスト重視型の製品だった。どちらも導入前の設定作業を極力減らして,すぐに使えることを目指している。今回はあくまで二つの文字列を試しただけだが,導入時の手間は少なくなりそうだ。