RPGで体験して学ぶ 安全なWebサイトの運営と管理:10個のツールで学ぶ、備える!情報セキュリティの脅威と対策
IPA提供のツールを活用して企業が留意すべきセキュリティについて学ぶ連載の5回目。Webサイトを狙った7つの攻撃パターンをロールプレイングで体験できるツールの紹介です。Webシステムへの攻撃による影響と事前対策の必要性を学びます。
今回はWebサイトを運用する際に陥りやすい7つの事例、攻撃例を疑似体験できる情報処理推進機構(IPA)提供のツール「安全なウェブサイト運営入門」を取り上げます。昨今のニュースなどでも耳にするようになったDoS攻撃(Denial of Service attack、サービス拒否攻撃)やクロスサイト・スクリプティングなどが、どういう仕組みで行われているのか、また、その攻撃を受けるとどうなるのかや、Webサイトの利用者や運営企業にどういった影響が出るのかをロールプレイングゲーム(RPG)で学習できます。
本ツールはWebサイトや情報システムの管理者、Webシステムの開発者に向けて作られています。しかし、内容そのものはゲーム形式やアニメーションを使った平易な説明ですから、一般利用者がWebサイトを利用する際にどんな危険性があるのかを学ぶのにも適しています。
インストールしてみよう
「安全なウェブサイト運営入門」は解説ページからダウンロードできます。ページに書かれているインストール要件のOSにWindows 7はありませんが、Windows 7(64ビット版)でも問題なく動作することを確認しています。
| 項目 | インストール要件 |
|---|---|
| OS | Windows XP SP2または Windows Vista |
| CPU | 1.3GHz以上 |
| メモリ | 512MB以上 |
| HDD | 300MB以上の空き容量 |
| モニタ | 6万5536色(16ビット)以上、解像度1024×768ピクセル以上 |
| その他 | マウス、サウンド再生が可能なスピーカー、ヘッドフォンなど、Microsoft DirectX 3以降、Adobe Flash Player 8以降、mp3データを再生できる環境であること |
Adobe Flash Playerを除けば、一般的なWindows PCならば条件を満たしているでしょう。本編はAdobe Flashを使ったアニメーションです。Flash Playerのインストールだけは事前に確認してください。
「ダウンロード」というリンクからセットアップ・プログラムを入手できますので、ダウンロード後に実行してインストールします。なおセットアップは管理者権限で実行しないとインストールに失敗することがあります。セットアップは画面の指示に従って「次へ」を押していくだけで完了します。途中に難しい設定などはありません。なお学習を完了してツールが不要になった時はコントロールパネルの「アプリケーションの追加と削除」でアンインストールしてください。
ロールプレイングでWebサイト運営を体験
それでは起動してみましょう。「はじめから」を選択すると、まず名前と社名を登録する画面になります。もちろん名前や社名は架空のものでかまいません。RPGらしく、男女も選択できます。
これからあなたは入社3年目の主人公になり、会社がネットショッピングのWebサイトを立ち上げるプロジェクトの担当者に起用されるという流れでストーリーが始まります。主人公やその周辺の登場人物は、ほとんどがサイト運営の素人です。この素人だけの集団でネットショップを安全に、大きくしていかなくてはなりません。
いくつか前提条件の会話のあと、コマンド選択式のRPGが始まります。主人公にはステータスもあって、会話時に「ステータス画面」というボタンを押すと確認できます。ステータスには知識や売り上げといったデータが選択によって変わっていきます(図1)。
図1:主人公のステータス画面。最初期の状態なのでほとんどが0になっていますゲーム開始後の最初の選択コマンドは書店で購入する本の選択です。二択になっています(図2)。
図2:複数の選択肢から一つを選ぶときはこの図のような画面になります会話の中に出てくる専門用語は解説ウインドウに概説が表示されます(図3)
図3:SSLやメーリングリストといった専門用語が会話に出てくると説明がポップアップします第1話でゲームを進めていくとショッピングサイトを立ち上げる段階まで進み、ここで最初の問題が発生します。本来、BCCで送るはずの新商品紹介メールをCCで送ってしまったために顧客のメールアドレスが流出してしまいました。「メール誤送信」という問題です。どうやって対応するのか、正しい選択をできるのかで以後のステータスにも変化が出ます。
1話の長さは大体10分から20分程度です。各話の終わりには「補足コンテンツを見る」という選択肢が出て、今の話で出てきた問題について掘り下げた解説を見ることができます(図4)。
図4:各話完了後には補足コンテンツで詳細とまとめを見ることができますゲームは途中でセーブして中断、またセーブしたところから再開することができますので、時間のある時に少しずつ進めていくこともできます。またセーブ後に意図的に間違っていると思う選択に進んで、どんな問題に繋がっていくのかを見ることもできます。選択を誤るとどうなるのかも管理者はぜひ知っておくべきでしょう。
ゲームの第7話までには次の7つの問題が取り上げられます。
- 電子メールの誤送信
- クロスサイト・スクリプティング
- SSL(Secure Socket Layer)サーバ証明書の期限切れ
- ウイルス感染
- サービス運用妨害 (DoS: Denial of Service)
- セッション管理の不備
- SQL(Structured Query Language)インジェクション
このソフトはゲームの体裁を取っていますが、扱っている内容は企業がWebサイトを立ち上げた際に、現実に被害を受けかねない問題点をしっかり列挙したものであることが分かります。企業の規模に関わらず、何か問題が発生した際に、どこに報告し、どう対処していけばいいのかを学んでください。運営側のケアレスミスから始まるストーリーも、先に進むほどに外部からの攻撃へと話が大きくなっていき、提示される選択肢もだんだんと難しくなっていきます。
7話まで無事にショップを運営できればエンディングのあとに修了証が表示されます(図5)。
図5:全話をクリアすると修了証が表示されます。ランクAを目指しましょう修了証はプリントアウトもできますので、本ツールを社内研修に利用することもできます。
ゲームとは別の解説コンテンツ「知っていますか?脆弱性」
「安全なウェブサイト運営入門」にはネットショップ経営のゲームとは別に、10個の脆弱性についての解説コーナー「知っていますか?脆弱性」が含まれています。
- SQLインジェクション
- クロスサイト・スクリプティング
- CSRF(クロスサイト・リクエスト・フォージェ)
- パス名パラメータの未チェック/ディレクトリ・トラバーサル
- OSコマンド・インジェクション
- セッション管理の不備
- HTTPヘッダ・インジェクション
- HTTPSの不適切な利用
- サービス運用妨害(DoS)
- メール不正中継
この10項目の内容は本連載1回目で紹介した「知っていますか?脆弱性 -アニメで見るウェブサイトの脅威と仕組み-」と同じものです。ゲームの中では攻撃の手口そのものについては細かく説明がされません。いろいろな攻撃についての仕組みについては、こちらの「知っていますか?脆弱性」も合わせて視聴することをおすすめします。
関連記事
- スコアとレーダーチャートで把握する、情報セキュリティ対策自己診断テスト
- 5分でできる!情報セキュリティポイント学習 事例で学ぶ中小企業のための対策
- バージョンチェッカで脆弱性を狙った攻撃に対処する
- 知っていますか? 脆弱性――アニメで見るウェブサイトの脅威と仕組み
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。