今の世の中には様々なセキュリティ対策の製品があります。これらの製品は不正な攻撃を防いでくれるものですが、何が悪くて何が正しいのかを判断する必要がありますが、間違った判断をしてしまうこともあります。
今回はこのセキュリティにおける誤検知の性質に関して解説します!
セキュリティ製品の誤検知とは?
セキュリティ製品は不正な通信を防いでくれたり、怪しいファイルを削除してくれたりします。
不正であるかどうかはセキュリティ製品が設定に基づき自動で実施してくれる便利なものですが、誤検知が発生する問題もあります。
例を挙げると、セキュリティ製品の一つに不正な通信を自動的に防いでくれるIPS(侵入防止システム)というものがあります。
この製品は明らかに不正な通信、例えば外から社内の個人用コンピュータへのアクセスを防いでくれますが、外から社内のシステムへの正しいアクセスを間違って不正な通信として判断してしまうことがあります。
これが「セキュリティ製品の誤検知」というものになりますが、誤検知の性質には大きく二つあります。これが「フォールスポジティブ」と「フォールスネガティブ」と呼ばれるものです。
フォールスポジティブとは?
正常なのに誤って異常と検知することです。
怪しいものは不正とみなして、通信を遮断したりするので、怪しいものが本当に悪意ある通信だった場合はそれを防ぐことができます。つまり、セキュリティリスクは低くなります。
しかし、怪しいものが正しい通信だった場合も遮断してしまうので、サービスへの影響が出る確率が高くなってしまいます。
言葉としても積極的(ポジティブ)に誤り(フォールス)とするにするので、セキュリティ重視の性質ということになりますね。
以下にイメージを図にしてみました。
フォールスネガティブとは?
フォールスポジティブの反対で、異常なのに誤って正常としてしまうことです。
怪しいものは正常とみなして、通信を許可しますので、その通信が悪意ある通信だった場合は攻撃されてしまいます。つまり、セキュリティリスクが高くなってしまいます。
しかし、正しい通信を遮断する可能性が低いので、サービス影響の確率は低くなります。
言葉としても消極的(ネガティブ)に誤り(フォールス)を検知するので、サービス重視の性質ということになりますね。
以下にイメージを図にしてみました。
まとめ
今回はセキュリティ製品における誤検知の性質であるフォールスポジティブとフォールスネガティブに関して解説してきました。相反する二つの性質なのですね。
セキュリティのことを考えるとフォールスポジティブの方が良いですが、サービスを提供する側としては誤検知が多過ぎるのは厳しいですよね。
その辺のバランスを考えながらセキュリティ製品の設定が必要になりますね。
以上です!