2023 Fiscal Year Annual Research Report
仮想マシンを活用したSQL・NoSQLインジェクション対策演習支援システム
| Project/Area Number |
21K12185
|
|---|
| Research Institution | Kindai University |
|---|
Principal Investigator |
井口 信和 近畿大学, 情報学部, 教授 (50351565)
|
|---|
| Project Period (FY) |
2021-04-01 – 2024-03-31
|
| Keywords | 攻防戦型セキュリティ演習機能 / SQLインジェクション攻撃演習 |
|---|
| Outline of Annual Research Achievements |
本研究課題では、Webアプリケーションに対するSQLおよびNoSQLインジェクション対策の学習を支援する、仮想マシンを活用した実践的な演習システムの開発研究を目的として研究を遂行した。本システムによって、学習者は安全かつ手軽にセキュリティ対策の実践的な演習が実施できる。さらに本システムを用いることで、学習者は一人で対策演習と攻撃演習を実施することが可能となるため、身近に他の学習者がいない環境、たとえば対面による実習・演習が困難な場合や学習者が自宅で自己学習として演習を行う場合でも、対策側と攻撃側の双方の演習が可能となる。
R3年度とR4年度の成果によって、個々のWebページを対象とするSQLインジェクション対策演習機能とNoSQLインジェクション対策演習機能の実装が完了した。さらに、より実践的なセキュリティ学習の実施を可能とするためにSQLインジェクション攻撃演習機能を実装した。これらの機能によって、標準的なPC上で、個々のWebページに対するSQLインジェクションとNoSQLインジェクションに対する対策手法の演習の実施が可能となり、さらに、複数の攻撃演習のシナリオを実装し、演習の種類を追加することで、防御側の学習者は考慮しなければならない攻撃種類が増え、実践的なセキュリティ学習が可能となった。
最終年度の成果として、SQLインジェクション攻撃およびNoSQLインジェクション対策の学習に加えて、これまでに開発してきた攻防戦形式でのDoS攻撃、ARP Spoofing攻撃、不正侵入攻撃の演習機能を統合化した。
本システムの使用により、運用されているネットワークに影響を与えず、実践的な演習の実施が可能となった。
|
