IPAは、増加するSQLインジェクション攻撃などの危険性の認知とセキュリティ対策の重要性を喚起するために、「安全なウェブサイト運営入門－7つの事件を体験しウェブサイトを守り抜け－」を無償で公開している。本稿では、そのソフトウェアを紹介する。

セキュリティ事故を模擬体験

「安全なウェブサイト運営入門」は、架空の会社でネットショップの開設から約3年の中で発生する各種のセキュリティ事故を題材にし、どのような対応が望ましいといったことをゲーム感覚で体験できる。動作環境は、OSがWindows Vista、XP(SP2)で、DirecX 3以上、Adobe Flash Player 8以上、インストールのためにHDDの空き要領が300MB以上必要になる。BGMなどもあるので、サウンド再生環境もあると望ましい。

本ソフトでは、新たにネットショップの担当になった主人公が

• SQLインジェクション
• クロスサイト・スクリプティング
• セッション管理の不備
• DoS攻撃
• 電子メールの誤送信
• ウイルス感染
• SSLサーバの証明書の期限切れ

といった7つセキュリティ事故を模擬体験することで、物語が進んでいく。本ソフトのシナリオには、大学などでセキュリティを研究する研究者、さらには、実際にセキュリティ事件を発生させてしまった企業の経営者などからも事例や実話を提供してもらい、作成されたものである。実際の事件に即したリアリティを再現するように工夫された内容になっている。

それぞれのテーマが1話構成になっており、約15～20分で終えることができる(全体で2時間ほど)。セーブポイントも10あり、中断も可能である。スタート画面は、図1である。

[はじめから]を選択すると開始される。最初に主人公の名前、会社名、性別などを登録する(図2)。

話の途中では、セキュリティに関する用語なども注釈として、わかりやすく解説される(図3)。

主人公は、各話でさまざまなセキュリティに関わる事件に遭遇する。たとえば、Webサイトにウイルスが仕込まれた事例などが発生する(図4)。

このような問題が発生した場合に、どのような選択をすべきか?選択肢(図5)や行動選択(図6)などが表示される。

選択肢を選ぶことで、シナリオが変化していき、ネットショップの将来も大きく変貌していくことになる。最後まで進むと、A～Fまでのランキングとともに「修了証」が表示される(図7)。

しかし、途中で正しくない選択肢を選び続けると、ネットショップは途中で閉鎖になり、終了証は表示されない(図8)。バッドエンドというものである。

補足説明などで、セキュリティ問題をわかりやすく解説

各話の最後には、補足説明が用意されている(図9)。

各項目では、より詳細な情報が提供される。ここでは、実際にSQLインジェクションによる被害が発生した場合の想定される被害額などを具体的に解説している(図10)。

また、[スタート画面]にある[知っていますか?脆弱性]では、各話でも取り上げられた脆弱性の解説がある(図11)。

セキュリティ関連の用語などは、難解なものが多い。それらについて、どのような危険性があるかなどを知ることができる。

実際のセキュリティ問題に備えて

ソフトはロールプレイ形式で、セキュリティ事件を体験でき、自身のセキュリティに対する認識について確認できるであろう。画面構成なども、「動き」あり「BGM」ありで、楽しい雰囲気で学びながら進めることができる。

選択肢についてはさほど難しく感じることは少なかった。しかし、実際に、自らの運営するWebサイトにセキュリティ事件が発生した場合、このような冷静な判断ができるであろうか?セキュリティ事件に限らず、大きな社会問題となった事例をみると「はっきりとした証拠がまだない」や「もう少し様子を見よう」といった、あいまいな態度が根底にあるように推察される。

本ソフトでは、あえて「正しくない」選択をした場合にどのような結末を迎えるのか、それを読むのも有意義であると思う。ネットショップなどで、ひとたび情報漏洩などの問題が発生すると流出した情報の回収は、ほぼ不可能である。ネットショップのようなケースでは、Webの閉鎖はビジネスチャンスの停止に等しい。その欲目から、つい判断を鈍らせてしまうことによって、被害の拡大が進行するのである。

本ソフトの最後に「商品と同様に安全を売るショップということでも注目を集めた」という台詞がある。これこそがネットショップに、今、求められるものではないだろうか。