仮想マシンを活用したSQL・NoSQLインジェクション対策演習支援システム
Project/Area Number |
21K12185
|
Research Category |
Grant-in-Aid for Scientific Research (C)
|
Allocation Type | Multi-year Fund |
Section | 一般 |
Review Section |
Basic Section 62030:Learning support system-related
|
Research Institution | Kindai University |
Principal Investigator |
井口 信和 近畿大学, 情報学部, 教授 (50351565)
|
Project Period (FY) |
2021-04-01 – 2024-03-31
|
Project Status |
Granted (Fiscal Year 2022)
|
Budget Amount *help |
¥2,860,000 (Direct Cost: ¥2,200,000、Indirect Cost: ¥660,000)
Fiscal Year 2023: ¥780,000 (Direct Cost: ¥600,000、Indirect Cost: ¥180,000)
Fiscal Year 2022: ¥1,040,000 (Direct Cost: ¥800,000、Indirect Cost: ¥240,000)
Fiscal Year 2021: ¥1,040,000 (Direct Cost: ¥800,000、Indirect Cost: ¥240,000)
|
Keywords | SQLインジェクション攻撃演習 / 攻防戦型セキュリティ演習機能 / SQLインジェクション対策学習 / 演習システム / 脆弱性発見演習 / セキュリティ演習支援システム / インジェクション対策演習支援システム / 仮想マシン |
Outline of Research at the Start |
これまでに、仮想マシンを活用することで標準的な仕様のPC上で、IPネットワークの構築演習を可能とするIPネットワーク構築演習支援システムとセキュリティ対策学習を可能とする攻防戦型ネットワークセキュリティ学習支援システムを開発してきた。
本課題は、これらのシステムに、新たに開発するSQLおよびNoSQLインジェクション対策演習機能等を組み込むことで、Webアプリケーションに対するSQLおよびNoSQLインジェクション対策の学習を支援する、仮想マシンを活用した実践的な演習システムを開発する。
|
Outline of Annual Research Achievements |
本研究課題では、Webアプリケーションに対するSQLおよびNoSQLインジェクション対策の学習を支援する、仮想マシンを活用した実践的な演習システムの開発研究を目的としている。本システムによって、学習者は安全かつ手軽にセキュリティ対策の実践的な演習が実施できる。さらに本システムを用いることで、学習者は一人で対策演習と攻撃演習を実施することが可能となるため、身近に他の学習者がいない環境、たとえば対面による実習・演習が困難な場合や学習者が自宅で自己学習として演習を行う場合でも、対策側と攻撃側の双方の演習が可能となる。
R3年度までの成果によって、個々のWebページを対象とするSQLインジェクション対策演習機能とNoSQLインジェクション対策演習機能の一部の実装が完了した。開発実装した機能によって、標準的なPC上で、個々のWebページに対するSQLインジェクションとNoSQLインジェクションに対する対策手法の演習の実施が可能となることを確認した.
R4年度では,より実践的なセキュリティ学習の実施を可能とするためにSQLインジェクション攻撃演習機能を実装した.これにより攻防戦型の実践的な演習が可能となるため,学習者が対策演習に加えて攻撃側の手法を学ぶことができる.さらに,攻撃演習のシナリオを複数用意して,システム上に実装した.演習の種類を追加することで,防御側の学習者は考慮しなければならない攻撃種類が増え,実践的なセキュリティ学習が可能となる.実装は完了したため.本システムの有用性を評価するための実験を予定している
|
Current Status of Research Progress |
Current Status of Research Progress
1: Research has progressed more than it was originally planned.
Reason
当初の計画ではSQLインジェクション対策演習機能を実装を計画していたが、計画を前倒してNoSQLインジェクション対策演習機能についても実装が完了した.そこでSQLインジェクション攻撃演習機能を開発した.
|
Strategy for Future Research Activity |
これまでの成果で実装はほぼ予定どおり完了しているため.攻防戦型の実践的なセキュリティ演習が可能となった.最終年度では,本システムの性能評価実験と利用評価実験の実施を予定している.
性能評価実験は,仮想機器の起動時間と応答時間を計測し,本システムによる演習が円滑に実施可能かを確認する予定である.
利用評価実験は,本システムで学習可能なサイバー攻撃について,書籍で学ぶグループと本システムで学ぶグループに分けて,演習に取り組んでもらう.演習後に,各グループでテストを実施し,点数差から本システムの有用性を確認する予定である.
|
Report
(2 results)
Research Products
(2 results)