ニュース
» 2011年12月12日 08時00分 公開

10個のツールで学ぶ、備える!情報セキュリティの脅威と対策:RPGで体験して学ぶ 安全なWebサイトの運営と管理

IPA提供のツールを活用して企業が留意すべきセキュリティについて学ぶ連載の5回目。Webサイトを狙った7つの攻撃パターンをロールプレイングで体験できるツールの紹介です。Webシステムへの攻撃による影響と事前対策の必要性を学びます。

[情報処理推進機構]

 今回はWebサイトを運用する際に陥りやすい7つの事例、攻撃例を疑似体験できる情報処理推進機構(IPA)提供のツール「安全なウェブサイト運営入門」を取り上げます。昨今のニュースなどでも耳にするようになったDoS攻撃(Denial of Service attack、サービス拒否攻撃)やクロスサイト・スクリプティングなどが、どういう仕組みで行われているのか、また、その攻撃を受けるとどうなるのかや、Webサイトの利用者や運営企業にどういった影響が出るのかをロールプレイングゲーム(RPG)で学習できます。

 本ツールはWebサイトや情報システムの管理者、Webシステムの開発者に向けて作られています。しかし、内容そのものはゲーム形式やアニメーションを使った平易な説明ですから、一般利用者がWebサイトを利用する際にどんな危険性があるのかを学ぶのにも適しています。

インストールしてみよう

 「安全なウェブサイト運営入門」は解説ページからダウンロードできます。ページに書かれているインストール要件のOSにWindows 7はありませんが、Windows 7(64ビット版)でも問題なく動作することを確認しています。

項目 インストール要件
OS Windows XP SP2または Windows Vista
CPU 1.3GHz以上
メモリ 512MB以上
HDD 300MB以上の空き容量
モニタ 6万5536色(16ビット)以上、解像度1024×768ピクセル以上
その他 マウス、サウンド再生が可能なスピーカー、ヘッドフォンなど、Microsoft DirectX 3以降、Adobe Flash Player 8以降、mp3データを再生できる環境であること

 Adobe Flash Playerを除けば、一般的なWindows PCならば条件を満たしているでしょう。本編はAdobe Flashを使ったアニメーションです。Flash Playerのインストールだけは事前に確認してください。

 「ダウンロード」というリンクからセットアップ・プログラムを入手できますので、ダウンロード後に実行してインストールします。なおセットアップは管理者権限で実行しないとインストールに失敗することがあります。セットアップは画面の指示に従って「次へ」を押していくだけで完了します。途中に難しい設定などはありません。なお学習を完了してツールが不要になった時はコントロールパネルの「アプリケーションの追加と削除」でアンインストールしてください。

ロールプレイングでWebサイト運営を体験

 それでは起動してみましょう。「はじめから」を選択すると、まず名前と社名を登録する画面になります。もちろん名前や社名は架空のものでかまいません。RPGらしく、男女も選択できます。

 これからあなたは入社3年目の主人公になり、会社がネットショッピングのWebサイトを立ち上げるプロジェクトの担当者に起用されるという流れでストーリーが始まります。主人公やその周辺の登場人物は、ほとんどがサイト運営の素人です。この素人だけの集団でネットショップを安全に、大きくしていかなくてはなりません。

 いくつか前提条件の会話のあと、コマンド選択式のRPGが始まります。主人公にはステータスもあって、会話時に「ステータス画面」というボタンを押すと確認できます。ステータスには知識や売り上げといったデータが選択によって変わっていきます(図1)。

図1:主人公のステータス画面。最初期の状態なのでほとんどが0になっています

 ゲーム開始後の最初の選択コマンドは書店で購入する本の選択です。二択になっています(図2)。

図2:複数の選択肢から一つを選ぶときはこの図のような画面になります

 会話の中に出てくる専門用語は解説ウインドウに概説が表示されます(図3

図3:SSLやメーリングリストといった専門用語が会話に出てくると説明がポップアップします

 第1話でゲームを進めていくとショッピングサイトを立ち上げる段階まで進み、ここで最初の問題が発生します。本来、BCCで送るはずの新商品紹介メールをCCで送ってしまったために顧客のメールアドレスが流出してしまいました。「メール誤送信」という問題です。どうやって対応するのか、正しい選択をできるのかで以後のステータスにも変化が出ます。

 1話の長さは大体10分から20分程度です。各話の終わりには「補足コンテンツを見る」という選択肢が出て、今の話で出てきた問題について掘り下げた解説を見ることができます(図4)。

図4:各話完了後には補足コンテンツで詳細とまとめを見ることができます

 ゲームは途中でセーブして中断、またセーブしたところから再開することができますので、時間のある時に少しずつ進めていくこともできます。またセーブ後に意図的に間違っていると思う選択に進んで、どんな問題に繋がっていくのかを見ることもできます。選択を誤るとどうなるのかも管理者はぜひ知っておくべきでしょう。

 ゲームの第7話までには次の7つの問題が取り上げられます。

  1. 電子メールの誤送信
  2. クロスサイト・スクリプティング
  3. SSL(Secure Socket Layer)サーバ証明書の期限切れ
  4. ウイルス感染
  5. サービス運用妨害 (DoS: Denial of Service)
  6. セッション管理の不備
  7. SQL(Structured Query Language)インジェクション

 このソフトはゲームの体裁を取っていますが、扱っている内容は企業がWebサイトを立ち上げた際に、現実に被害を受けかねない問題点をしっかり列挙したものであることが分かります。企業の規模に関わらず、何か問題が発生した際に、どこに報告し、どう対処していけばいいのかを学んでください。運営側のケアレスミスから始まるストーリーも、先に進むほどに外部からの攻撃へと話が大きくなっていき、提示される選択肢もだんだんと難しくなっていきます。

 7話まで無事にショップを運営できればエンディングのあとに修了証が表示されます(図5)。

図5:全話をクリアすると修了証が表示されます。ランクAを目指しましょう

 修了証はプリントアウトもできますので、本ツールを社内研修に利用することもできます。

ゲームとは別の解説コンテンツ「知っていますか?脆弱性」

 「安全なウェブサイト運営入門」にはネットショップ経営のゲームとは別に、10個の脆弱性についての解説コーナー「知っていますか?脆弱性」が含まれています。

  1. SQLインジェクション
  2. クロスサイト・スクリプティング
  3. CSRF(クロスサイト・リクエスト・フォージェ)
  4. パス名パラメータの未チェック/ディレクトリ・トラバーサル
  5. OSコマンド・インジェクション
  6. セッション管理の不備
  7. HTTPヘッダ・インジェクション
  8. HTTPSの不適切な利用
  9. サービス運用妨害(DoS)
  10. メール不正中継

 この10項目の内容は本連載1回目で紹介した「知っていますか?脆弱性 -アニメで見るウェブサイトの脅威と仕組み-」と同じものです。ゲームの中では攻撃の手口そのものについては細かく説明がされません。いろいろな攻撃についての仕組みについては、こちらの「知っていますか?脆弱性」も合わせて視聴することをおすすめします。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -