CSIRT人材には、デジタル証拠への調査や被害範囲の確認等でフォレンジック調査に関する知識やスキルが求められる。しかし、コンテンツが豊富な体験型のセキュリティ演習システムは演習環境の導入や運用コストの高さから教育現場への導入は進んでいない。本研究では、マルウェアの基本的な動作に関する知識を有する学習者が、無料の仮想環境上で攻撃体験、ログ取得、フォレンジック調査の流れを体験・オペレーションできる演習システムを開発している。本稿では、Webサーバへ侵入しWebサイトを改ざんした後、アクセスログや削除されたファイルについて調査するWebページ改ざんシナリオの設計について述べる。