売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」Security&Trust ウォッチ(53)

» 2008年09月01日 10時00分 公開
[上野宣@IT]

 数々の名作セキュリティコンテンツを生み出してきた、情報処理推進機構(IPA)が放つ新たなタイトルは、ロールプレイング形式のゲーム「安全なウェブサイト運営入門」。本作の特徴はその現実感にある。同じような業務に携わったことがあるならば、ここでの出来事に「あるある!」と感じるのではないだろうか。

 ある日、あなたは会社の新規事業であるネットショップの運営担当者に任命される。次々とわき起こる問題や攻撃を解決しながらネットショップを運営し、見事に売り上げを上げ続けることができるだろうか!?


 ……と、ゲームの紹介風に取り上げてみましたが、IPAの安全なウェブサイト運営入門はれっきとした情報セキュリティの啓発や教育に使える正統派のコンテンツです。難しく覚えにくいセキュリティの問題も、ロールプレイング形式のゲームとして楽しめることから、記憶に残り、効率的に学ぶことができるのです。

適切な判断で運営し、売り上げをアップせよ

 プレーヤーはインターネットにちょっと詳しいという理由だけで、輸入雑貨を取り扱う会社のネットショップの運営担当者を任された会社員としてスタートします。

 まず名前や会社名を入れ、性別を決定することができるので、あなたの名前や会社名などを入れると、よりゲームの世界に入り込むことができるでしょう。

図1 インターネットに詳しいというだけでネットショップ運営の大役を任されてしまう 図1 インターネットに詳しいというだけでネットショップ運営の大役を任されてしまう

 ゲームのシステムは、何か問題が起こったときに提示される複数の選択肢から、適切な回答を選択することでゲームの進行が変わってくるといったものです。適切な判断で運営を行えば売り上げなどが上がり、好成績を残すことができるようになっています。

 ゲームの中でプレーヤーは全部で7つの事件を体験することになり、それらの問題はセキュリティにかかわるものとなっています。エンディングはA〜Fの6種類が用意されているようで、もしネットショップの運営に支障を来すような選択をしてしまうと……。

 また、各ステージでは、クロスサイトスクリプティングやSQLインジェクション、DoS攻撃といったセキュリティ上の問題がテーマとなっています。それらのテーマについて、ステージごとに起きた問題を振り返る補足コンテンツが用意されていて理解を深められます。

7つの事件の概要

●第1話

 第1話のプレーヤーは、パソコンを持っているといった程度の知識で、ネットショップの運営担当者として任命されるところからスタートします。通販事業部の仲間たちも、インターネットについてはみんなよく知りません。まずは「誰でもできるネットショップの作り方」などを検索サイトで調べたり、本屋にネットショップの作り方の参考書を探しに行くといった状況です。

 1カ月後、何とかネットショップのオープンにまでこぎ着けますが、顧客に新商品の案内メールを発送する際に、顧客全員のメールアドレスを「Cc」に入れて送信してしまう……。

図2 Bccで送るつもりが、うっかりCcで誤送信してしまう。いかにもよく起こりそうな事件だ 図2 Bccで送るつもりが、うっかりCcで誤送信してしまう。いかにもよく起こりそうな事件だ

●第2話

 ある日IPAという組織から、ネットショップのプログラムにセキュリティ上の問題があるという内容のメールが届き、しばらくするとネットショップにはフィッシングサイトが作られてしまう。実はそれは古いプログラムに残された、クロスサイトスクリプティングという脆弱(ぜいじゃく)性が原因の……。

図3 偽ページが設置されていた。あなたならどう対応する? 図3 偽ページが設置されていた。あなたならどう対応する?

●第3話

 オープンから1年が経過したネットショップはホスティングなどの契約更新の時期に差し掛かった。経費を削減するために、ホスティングの契約をしていた業者とは別の業者からSSLサーバ証明書を購入していたネットショップは……。

●第4話

 部長がメールの添付ファイルを開いたところ何も起こらないように見えたといってきた。実はそれは画像ファイルに偽装したウイルスで、ファイルを開いたことでウイルスに感染してしまった。そんなとき、Webサイトのディレクトリが丸見えになっているという報告が……。

●第5話

 最近どうも夜9時台にWebサイトの反応が悪くなってしまう。アクセス過多に耐えられないのかと思い、新しいホスティングのサービスを探すが、実はそれはDoS攻撃が原因かもしれない……。

図4 売り上げ重視か、セキュリティ重視か、どっちを選ぶべき? 図4 売り上げ重視か、セキュリティ重視か、どっちを選ぶべき?

●第6話

 ネットショップをリニューアルすることになり、新しいパッケージを導入したところ、顧客から買っていない商品の請求が来ていると連絡があった。原因を調査したところ、セッションIDを推測されるというセッション管理の不備が原因だという疑いが……。

●第7話

 電話でサイトにウイルスが埋め込まれているという連絡を受けた。ログを確認したところ、Webアプリケーションに問題がありそうなことが分かった……。

図5 トップページが書き換えられ、1000万円用意しろという脅迫メールも届く 図5 トップページが書き換えられ、1000万円用意しろという脅迫メールも届く

 これらの7つのステージをクリアするには2時間ほどの時間を必要とします。ゲーム形式で楽しみながら学ぶことができ、またセーブ機能があり1日1話ずつ進めるといった使い方も可能なので、参考書を2時間にらみ続けるより気分が楽なのではないでしょうか。

 また、参考書や資料を読むことに比べ、ゲームをクリアするという分かりやすさもあるので、社内での教育コンテンツとして活用するのもよいでしょう。ただし、見た目はまさにゲームなので上司の断りなしにプレイしていると怒られてしまうかもしれませんね。

図6 ゲームにはしっかりとIPAも登場する 図6 ゲームにはしっかりとIPAも登場する
安全なウェブサイト運営入門
発売元 独立行政法人情報処理推進機構(IPA)
ジャンル ロールプレイング
対応機種 Windows XP SP2 または Windows Vista
公開日 公開中(2008年6月18日)
価格(税込) 無償
対象年齢 全年齢
開発元 日立インターメディックス株式会社

Profile

上野 宣(うえの せん)

株式会社トライコーダ代表取締役

セキュリティコンサルティング、脆弱性診断、情報セキュリティ教育を主な業務としている。

近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。個人ブログは「うさぎ文学日記


「SecurityTrust ウォッチ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。