IPA(独立行政法人情報処理推進機構)は、Webサイトの脆弱性によってもたらされる被害をもとに作成された、Webサイトの運営上の事件を体験できるソフトウェア「安全なウェブサイト運営入門－7つの事件を体験しウェブサイトを守り抜け－」を発表した。IPAのWebサイトから、無償にてダウンロードできる。

SQLインジェクション攻撃の急激な増加

この背景には、2008年4月以来、SQLインジェクションの脆弱性を悪用した攻撃が、急激に増加している。2006年まではほとんどなかったものが、4月には約5万件、5月には約16万件の攻撃数を確認している(株式会社ラックの調査)。SQLインジェクションによる被害として想定されるのは、個人情報の漏洩、ウイルス配布サイトとして悪用される可能性などがある。

IPAでは、これまでも注意を喚起してきたが、攻撃数の急激な増加に対し、セキュリティ対策が十二分に行われにくい中小企業などの経営者や管理者を対象として、「安全なウェブサイト運営入門」を無償配布する。中小企業などでは、専門のセキュリティ担当者を配置することが、コスト的にも難しい面もあり、問題のあるWebサイトが放置される傾向にある。そこで、いかにSQLインジェクションなどによる攻撃の被害が甚大であるかを認知させ、セキュリティ意識の向上を目指すことを目的としている。OSは、Windows XP(SP2)、Vistaに対応する。

ロールプレイ形式でわかりやすく事例を紹介

「安全なウェブサイト運営入門」ではイラストを用いて、ネットショップを事例にし、さまざまな脅威とその対策や被害について学ぶことができる(図1)。

図1 「安全なウェブサイト運営入門」の1画面

本ソフトで取り上げる7つの事件は以下の通りである。

• SQLインジェクション
• クロスサイト・スクリプティング
• セッション管理の不備
• DoS攻撃
• 電子メールの誤送信
• ウイルス感染
• SSLサーバの証明書の期限切れ

これらのセキュリティ事例に沿って、物語が展開される。途中にはいくつか選択肢が用意されている(図2)。これらの質問に適切に答えることで、セキュリティへの理解度を確認することができる。

図2 事件への対応の選択肢

本ソフトは、企業におけるセキュリティ教育、新人研修などで利用できる。セキュリティ意識は、事故や問題の発生がないと、意識の低下をまねく可能性を否定できない。改めて、従業員の意識確認、自己啓発などに利用することができるだろう。