数々の名作セキュリティコンテンツを生み出してきた、情報処理推進機構(IPA)が放つ新たなタイトルは、ロールプレイング形式のゲーム「安全なウェブサイト運営入門」。本作の特徴はその現実感にある。同じような業務に携わったことがあるならば、ここでの出来事に「あるある!」と感じるのではないだろうか。
ある日、あなたは会社の新規事業であるネットショップの運営担当者に任命される。次々とわき起こる問題や攻撃を解決しながらネットショップを運営し、見事に売り上げを上げ続けることができるだろうか!?
……と、ゲームの紹介風に取り上げてみましたが、IPAの「安全なウェブサイト運営入門」はれっきとした情報セキュリティの啓発や教育に使える正統派のコンテンツです。難しく覚えにくいセキュリティの問題も、ロールプレイング形式のゲームとして楽しめることから、記憶に残り、効率的に学ぶことができるのです。
適切な判断で運営し、売り上げをアップせよ
プレーヤーはインターネットにちょっと詳しいという理由だけで、輸入雑貨を取り扱う会社のネットショップの運営担当者を任された会社員としてスタートします。
まず名前や会社名を入れ、性別を決定することができるので、あなたの名前や会社名などを入れると、よりゲームの世界に入り込むことができるでしょう。
ゲームのシステムは、何か問題が起こったときに提示される複数の選択肢から、適切な回答を選択することでゲームの進行が変わってくるといったものです。適切な判断で運営を行えば売り上げなどが上がり、好成績を残すことができるようになっています。
ゲームの中でプレーヤーは全部で7つの事件を体験することになり、それらの問題はセキュリティにかかわるものとなっています。エンディングはA〜Fの6種類が用意されているようで、もしネットショップの運営に支障を来すような選択をしてしまうと……。
また、各ステージでは、クロスサイトスクリプティングやSQLインジェクション、DoS攻撃といったセキュリティ上の問題がテーマとなっています。それらのテーマについて、ステージごとに起きた問題を振り返る補足コンテンツが用意されていて理解を深められます。
7つの事件の概要
●第1話
第1話のプレーヤーは、パソコンを持っているといった程度の知識で、ネットショップの運営担当者として任命されるところからスタートします。通販事業部の仲間たちも、インターネットについてはみんなよく知りません。まずは「誰でもできるネットショップの作り方」などを検索サイトで調べたり、本屋にネットショップの作り方の参考書を探しに行くといった状況です。
1カ月後、何とかネットショップのオープンにまでこぎ着けますが、顧客に新商品の案内メールを発送する際に、顧客全員のメールアドレスを「Cc」に入れて送信してしまう……。
●第2話
ある日IPAという組織から、ネットショップのプログラムにセキュリティ上の問題があるという内容のメールが届き、しばらくするとネットショップにはフィッシングサイトが作られてしまう。実はそれは古いプログラムに残された、クロスサイトスクリプティングという脆弱(ぜいじゃく)性が原因の……。
●第3話
オープンから1年が経過したネットショップはホスティングなどの契約更新の時期に差し掛かった。経費を削減するために、ホスティングの契約をしていた業者とは別の業者からSSLサーバ証明書を購入していたネットショップは……。
●第4話
部長がメールの添付ファイルを開いたところ何も起こらないように見えたといってきた。実はそれは画像ファイルに偽装したウイルスで、ファイルを開いたことでウイルスに感染してしまった。そんなとき、Webサイトのディレクトリが丸見えになっているという報告が……。
●第5話
最近どうも夜9時台にWebサイトの反応が悪くなってしまう。アクセス過多に耐えられないのかと思い、新しいホスティングのサービスを探すが、実はそれはDoS攻撃が原因かもしれない……。
●第6話
ネットショップをリニューアルすることになり、新しいパッケージを導入したところ、顧客から買っていない商品の請求が来ていると連絡があった。原因を調査したところ、セッションIDを推測されるというセッション管理の不備が原因だという疑いが……。
●第7話
電話でサイトにウイルスが埋め込まれているという連絡を受けた。ログを確認したところ、Webアプリケーションに問題がありそうなことが分かった……。
これらの7つのステージをクリアするには2時間ほどの時間を必要とします。ゲーム形式で楽しみながら学ぶことができ、またセーブ機能があり1日1話ずつ進めるといった使い方も可能なので、参考書を2時間にらみ続けるより気分が楽なのではないでしょうか。
また、参考書や資料を読むことに比べ、ゲームをクリアするという分かりやすさもあるので、社内での教育コンテンツとして活用するのもよいでしょう。ただし、見た目はまさにゲームなので上司の断りなしにプレイしていると怒られてしまうかもしれませんね。
| 「安全なウェブサイト運営入門」 | ||
|---|---|---|
| 発売元 | 独立行政法人情報処理推進機構(IPA) | |
| ジャンル | ロールプレイング | |
| 対応機種 | Windows XP SP2 または Windows Vista | |
| 公開日 | 公開中(2008年6月18日) | |
| 価格(税込) | 無償 | |
| 対象年齢 | 全年齢 | |
| 開発元 | 日立インターメディックス株式会社 | |
Profile
上野 宣(うえの せん)
株式会社トライコーダ代表取締役
セキュリティコンサルティング、脆弱性診断、情報セキュリティ教育を主な業務としている。
近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。個人ブログは「うさぎ文学日記」
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.