研究課題/領域番号 |
18K11592
|
研究機関 | 近畿大学 |
研究代表者 |
井口 信和 近畿大学, 理工学部, 教授 (50351565)
|
研究期間 (年度) |
2018-04-01 – 2021-03-31
|
キーワード | ネットワークセキュリティ演習 / 攻防戦型演習 / 仮想マシン |
研究実績の概要 |
本研究課題では、仮想Linux環境を活用したネットワークセキュリティ学習支援システムを用いて、疑似学習者を含む複数の学習者による攻防戦型セキュリ ティ演習を実現する機能と演習支援システムを開発する。本システムによって、学習者は安全かつ手軽にセキュリティ対策の演習が実施できる。さらに、疑似学 習者との協同演習を可能とすることで、共同学習者が身近にいない環境、たとえば学習者が自宅で演習を行う場合でも、協同演習が可能となる。 申請時には、1)攻防戦型セキュリティ演習機能の実装、2)攻撃側の疑似学習者として動作するエージェント機能の実装、3)協同演習の結果を自動的に採点する機能の実装を計画した。昨年度は、当初の計画通り、本課題の基盤機能となる、1)攻防戦型セキュリティ演習機能を実装した。実装した機能によって、標準的なPC上で、「Capture The Flag」に代表される攻防戦型で競い合う演習の実施が可能となった。 今年度は、当初の予定していた攻撃側の動作の自動化を反転させ、防御側の機能を自動化することで、一人でセキュリティ学習ができる演習機能を実装した。本機能は、Web アプリケーションへの攻撃であるクロスサイトスクリプティング(XSS)を演習の対象として開発した。今回は、XSS に対して安全なWeb アプリケーションの作成方法の学習を目的に、実践的な演習を実施できる機能を開発した。仮想マシン上に配置されているWebアプリケーションに対してローカルプロキシツールを用いてクライアントとサーバ間の通信を解析することで脆弱性の検出を行い、実際にXSS攻撃を行うことで攻撃の原理を学習する。その後、XSS攻撃を行った箇所のWeb アプリケーションのソースコードを修正することでXSSに対して安全なWebアプリケーションの作成方法を学習する事ができる。
|
現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
当初の予定していた攻撃側の動作の自動化を反転させる事にし、防御側の機能を自動化することで、一人でクロスサイトスクリプティングの実践的な演習ができる機能を実装した。クロスサイトスプリプティングは、Webアプリケーションへの攻撃として広く知られている攻撃手法であるため、これを学習する事は、より多くの学習者にとって有用であると考えた。
|
今後の研究の推進方策 |
演習を結果を自動採点する機能の実装と、演習課題の種類を増やすことで、演習システムの有用性を高める予定である。さらにシステムの評価実験を実施することでその有用性の確認を予定している。
|
次年度使用額が生じた理由 |
参加予定していて国際会議が中止になったため、旅費が繰越となりました。2020年度は、本研究の成果をまとめた論文の掲載を予定しているため論文掲載費として使用する予定にしています。
|