2017 Fiscal Year Research-status Report
仮想擬似情報セキュリティシミュレータの開発と実践的セキュリティ教育拡大と質の向上
| Project/Area Number |
17K01167
|
|---|
| Research Institution | Ishikawa National College of Technology |
|---|
Principal Investigator |
長岡 健一 石川工業高等専門学校, その他部局等, 准教授 (60249779)
|
|---|
| Project Period (FY) |
2017-04-01 – 2021-03-31
|
| Keywords | セキュリティ / シミュレータ / セキュリティ教育 / ネットワーク / パスワード |
|---|
| Outline of Annual Research Achievements |
仮想擬似セキュリティシミュレータの全体設計,実装する機能について検討し,コア部分の開発および評価と,ネットワークシミュレータとしてよく用いられているNS2,NS3のAPIの構造について調査し,APIを介してシミュレータ内に実装できるかどうかの検討を行った.
シミュレーションを行う機能としては,主にパスワードの脆弱性をエミュレートする機能から実装することとしている.主に学習者が設定されているパスワードの脆弱性について,その解読可能性と実行時間を実際の脆弱性システムから再現できるよう,その基本コンポーネントを開発した.主にサーバ上にPythonを用いて記述した.脆弱サーバに見せかけるために,米国TeamsIDによる「SplashData - 100 Worst Passwords of 2017 & More Password Freebies」の脆弱パスワードTop100を参考に,これらのパスワードについて,パスワードクラックとして一般的なブルートフォースアタックと辞書攻撃により正規化したその解読時間をデータベース化し,パスワードリスト攻撃シミュレーションサーバとして構築した.なお,NS2,NS3など既存のネットワークシミュレータへのAPIを介した実装はせず,単体で実行できるようシステムを開発することとした.
開発した小・中学生向け学内イベントでシステムを利用し,情報セキュリティ教育効果が得られるかどうかの検証を行った.これにより基本的なセキュリティ学習ツールとしては実用性があることがわかったが,利用者アンケート,ユーザビリティ評価などから,さらに多種類にわたるパスワードの実装,ブルートフォースアタック,辞書攻撃以外の高度な攻撃手法の学習への対応や,ユーザビリティの改善が必要であることがわかった.
|
| Current Status of Research Progress |
Current Status of Research Progress
3: Progress in research has been slightly delayed.
Reason
当初の計画では,NS2などの既存のネットワークシミュレータへの実装を考慮していたが,そのAPIの解析等に時間を多く要したため,全体としての進捗がやや遅れた.
|
| Strategy for Future Research Activity |
平成29年度開発し,ユーザビリティ評価を行って明らかになったシステムの課題を今後改善し,さらにSQLインジェクション,クロスサイトスクリプティング,ランサムウェア攻撃など他の脆弱性についてもエミュレートできる,シミュレーション機能について開発を行い,さらにシステムの教育効果の評価検討を行う.
|
| Causes of Carryover |
備品等において,当初予定していた見積もりと比較して実際の納入価格が低かったため,次年度使用額が30,783円となった.この額は平成30年度の消耗品等の購入に使用する計画である.
|
