独立行政法人情報処理推進機構(IPA)は6月18日、ウェブサイト運営で発生するさまざまな問題とその対処法について体験的な学習が行えるWindows用ソフトウェア「安全なウェブサイト運営入門−7つの事件を体験し、ウェブサイトを守り抜け!−」をIPAのウェブサイト上で公開した。無償で利用できる。
同ソフトには、ウェブサイトの脆弱性によるビジネスへの被害を中心とした7つのシナリオが用意されており、ユーザーは物語を読み進めながら、サイト運営に際して発生しうる問題と、その問題に対する適切な対応に関して理解を深めることができる。
主人公は、企業のコマースサイトを担当することになったプロジェクトリーダーという設定。サイト運営の中でさまざまな事件に直面しながら、時に選択肢を選んで、どのように対応をするかを決定しながらシナリオを進めていく。間違った選択肢を選んでしまうと、サイトが閉鎖させられたり、企業が倒産するといった、いわば「ゲームオーバー」的な結末を迎える場合もある。
シナリオ内でサイト運営上の事件として取り上げられているのは「電子メールの誤送信」「クロスサイト・スクリプティング」「SSLサーバ証明書の期限切れ」「ウイルス感染」「DoS攻撃(サービス運用妨害)」「セッション管理の不備」「SQLインジェクション」の7つ。1話あたりの所要時間は15分から20分で、全話で2時間程度となる。各話終了後には、より詳細な解説コンテンツも参照が可能なほか、途中での中断や再開を行うためのセーブ機能も備える。シナリオの作成にあたっては、現実に問題が発生した事例なども題材に、より実際のサイト運用の場面に即した構成を心がけたという。
IPAでは、企画、開発、運用といったウェブサイト運営の各フェーズで必要なセキュリティ対策の教育、啓発などの活動を行っている。特に近年では、SQLインジェクションによる攻撃の増加などから、脆弱性への対応が行われないことによる被害の拡大が懸念されており、今回公開した「安全なウェブサイト運営入門」は、情報セキュリティ専門の担当者や部門を持つことが難しい中小規模の組織の担当者が、事件や事故が発生した場合の被害を理解し、事前対策の必要性を学べるよう企画されたものという。
IPAのウェブサイトからダウンロードできる「安全なウェブサイト運営入門」。DoS攻撃やSQLインジェクション攻撃などに対し、企業のウェブサイト担当者がどのように対処すべきかをストーリー仕立てで学習できる。
