仮想マシンを活用したSQL・NoSQLインジェクション対策演習支援システム

2023 年度 研究成果報告書

• 研究課題/領域番号: 21K12185
• 研究種目: 基盤研究(C)
• 配分区分: 基金
• 応募区分: 一般
• 審査区分: 小区分62030:学習支援システム関連
• 研究機関: 近畿大学
• 研究代表者: 井口 信和 近畿大学, 情報学部, 教授 (50351565)
• 研究期間 (年度): 2021-04-01 – 2024-03-31
• キーワード: 攻防戦型セキュリティ演習機能 / SQLインジェクション攻撃演習 / 仮想マシン

研究成果の概要

Webアプリケーションに対するSQLおよびNoSQLインジェクション対策の学習を支援する、仮想マシンを活用した実践的な演習システムの開発研究を目的とし研究を遂行した。本システムによって、学習者は安全かつ手軽にセキュリティ対策の実践的な演習が実施できる。さらに学習者は一人で対策演習と攻撃演習を実施することが可能である。
本課題では，予定どおりSQLインジェクションとNoSQLインジェクションの対策演習機能と攻撃演習機能を実装した。さらに，これまでに開発したDoS攻撃、ARP Spoofing攻撃等の演習機能を統合化した。本システムにより，実践的なセキュリティ演習の実施が可能となる。

自由記述の分野

情報ネットワーク

研究成果の学術的意義や社会的意義

サイバー攻撃が増加し、手口も巧妙化することで対策の難易度が上昇している。こうした現状を改善するために、防御側視点だけでなく、攻撃側視点からも攻撃の性質やプロセスを学習し、対策に活かすことが重要である。
本課題で開発した仮想マシンを活用したSQL・NoSQLインジェクション対策演習支援システムは、一般に広く使われているWebアプリケーションに対するセキュリティ攻撃への実践的な対策演習を可能とするものである。本課題の成果によって、ソフトウェアによるセキュリティ対策の実践的演習システムが実現できる事、ネットワークセキュリティ技術者の早期の養成を目的とした学習環境の構築が可能である事を明らかにした。