ある企業がAzure Application Gateway v2とWAF(Web Application Firewall)を使用してWebアプリケーションを保護している。WAFの検知モードで大量の誤検知(false positive)が発生しており、特定のURIパス「/api/upload」へのリクエストが正規のリクエストであるにもかかわらず WAF ルール ID 920300 によってブロックされている。本番環境への影響を最小限にしながら誤検知を解消する最善の方法はどれか。
- A. WAFをDetectionモードに切り替えてブロックを停止させる
- B. WAFのルールセットを最新バージョンに更新して誤検知の自動解消を期待する
- C. Application Gatewayのバックエンド正常性ダッシュボードで原因を調査してからIPをホワイトリスト登録する
- D. WAFの除外ルールを設定して、特定のリクエスト属性(例:/api/uploadへのURIを含むリクエストのAcceptヘッダー)をルールID 920300の評価から除外する
解答と解説を見る
正解: D
WAFの除外ルール(Exclusion Rule)は、特定のリクエスト属性(ヘッダー、クエリパラメーター、リクエストボディフィールド)を特定のルール評価から除外できる精密な機能であり、正規トラフィックへの誤検知を最小化しながらWAF保護全体は維持できる。Application Gateway v2のWAFは特定ルールIDに対して除外対象の属性を細かく指定できる。選択肢AのDetectionモードへの切り替えはブロックを停止できるが、WAFがすべてのWAFルールのブロック機能を失うため本番環境の保護が著しく低下し、一時的な対処法としても本番継続適用は不適切。選択肢Bのルールセットのバージョン更新は誤検知の改善に寄与する場合があるが、特定のルールID 920300が問題である場合に更新が解決策になるとは限らず、確実ではない。選択肢CのIPホワイトリストはアップロードAPIを呼び出すすべての正規ユーザーのIPをリストアップする必要があり、動的IPを使うユーザーには対応できないため不完全な解決策である。