情報処理学会第85回全国大会 会期:2023年3月2日~4日 会場:電気通信大学

5ZL-03
攻防戦型演習を可能とするネットワークセキュリティ学習システムにおけるSQLインジェクション攻撃演習機能の追加
○寺西弘登,井口信和(近畿大)
サイバー攻撃の被害件数は年々増加しており,特にSQLインジェクション攻撃(以下,SQLi)はWebアプリケーションへの攻撃として最も危険な攻撃の一つであるため,対策方法を学習する必要がある.そこで,これまでに2人の学習者が防御側と攻撃側の視点で学習可能な攻防戦型演習を可能とするネットワークセキュリティ学習システムを開発してきた.今回,新たにSQLi演習の機能を追加実装した.本機能は,防御側が提供するWebアプリケーションに対して,攻撃側がSQLiを実施する.防御側は,脆弱性が存在するソースコードを修正することで対策を施す.新たに演習項目を増やすことで,防御側が考慮しなければならない選択肢が増え,実践的な対策学習が可能である.