2019 Fiscal Year Research-status Report
攻防戦型演習を可能とする仮想マシンによるネットワークセキュリティ演習支援システム
| Project/Area Number |
18K11592
|
|---|
| Research Institution | Kindai University |
|---|
Principal Investigator |
井口 信和 近畿大学, 理工学部, 教授 (50351565)
|
|---|
| Project Period (FY) |
2018-04-01 – 2021-03-31
|
| Keywords | ネットワークセキュリティ演習 / 攻防戦型演習 / 仮想マシン |
|---|
| Outline of Annual Research Achievements |
本研究課題では、仮想Linux環境を活用したネットワークセキュリティ学習支援システムを用いて、疑似学習者を含む複数の学習者による攻防戦型セキュリ ティ演習を実現する機能と演習支援システムを開発する。本システムによって、学習者は安全かつ手軽にセキュリティ対策の演習が実施できる。さらに、疑似学 習者との協同演習を可能とすることで、共同学習者が身近にいない環境、たとえば学習者が自宅で演習を行う場合でも、協同演習が可能となる。
申請時には、1)攻防戦型セキュリティ演習機能の実装、2)攻撃側の疑似学習者として動作するエージェント機能の実装、3)協同演習の結果を自動的に採点する機能の実装を計画した。昨年度は、当初の計画通り、本課題の基盤機能となる、1)攻防戦型セキュリティ演習機能を実装した。実装した機能によって、標準的なPC上で、「Capture The Flag」に代表される攻防戦型で競い合う演習の実施が可能となった。
今年度は、当初の予定していた攻撃側の動作の自動化を反転させ、防御側の機能を自動化することで、一人でセキュリティ学習ができる演習機能を実装した。本機能は、Web アプリケーションへの攻撃であるクロスサイトスクリプティング(XSS)を演習の対象として開発した。今回は、XSS に対して安全なWeb アプリケーションの作成方法の学習を目的に、実践的な演習を実施できる機能を開発した。仮想マシン上に配置されているWebアプリケーションに対してローカルプロキシツールを用いてクライアントとサーバ間の通信を解析することで脆弱性の検出を行い、実際にXSS攻撃を行うことで攻撃の原理を学習する。その後、XSS攻撃を行った箇所のWeb アプリケーションのソースコードを修正することでXSSに対して安全なWebアプリケーションの作成方法を学習する事ができる。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
当初の予定していた攻撃側の動作の自動化を反転させる事にし、防御側の機能を自動化することで、一人でクロスサイトスクリプティングの実践的な演習ができる機能を実装した。クロスサイトスプリプティングは、Webアプリケーションへの攻撃として広く知られている攻撃手法であるため、これを学習する事は、より多くの学習者にとって有用であると考えた。
|
| Strategy for Future Research Activity |
演習を結果を自動採点する機能の実装と、演習課題の種類を増やすことで、演習システムの有用性を高める予定である。さらにシステムの評価実験を実施することでその有用性の確認を予定している。
|
| Causes of Carryover |
参加予定していて国際会議が中止になったため、旅費が繰越となりました。2020年度は、本研究の成果をまとめた論文の掲載を予定しているため論文掲載費として使用する予定にしています。
|
