安全なウェブサイト運営入門

セキュリティ対策は経営的に コストとしか考えられていない。

積極的な経営戦略と 捉えるべき。

しかし現実には、痛い目を 見ないと、動こうとしない。

お金を使おうとしない。

「攻撃されるしかない」

「やられるしかない」

と考えがち。

それじゃぁいけないだろう。

事故起こしてからでは遅い。

擬似的に事故を体験 し脅威を理解させられ ないか。自分の意志で 対応を選択するゲー ムのような。

面白く、わかりやすい 教材はないか。

このような コンセプト から生まれ たのが．．．

4.4 安全なウェブサイト運営入門

７つのインシデント

1. 電子メールの誤送信

2. クロスサイト・スクリプティング 3. SSLサーバ証明書の

期限切れ 4. ウイルス感染

5. サービス運用妨害 6. セッション管理の不備 7. SQLインジェクション

・非技術者でも分かり易いよう心掛けた内容や言葉遣い。

難しい専門用語にはルビで説明。

・各章の終わりで、寄り道として補足コンテンツが有り。

話を振り返り正しい対策論、その脅威の数字的なダメージなどを学ぶ事も可能。

結果でシナリオが変化、会社の経営に影響も！

結果の積重ねでサイトの評判に影響し売上にも影響。引いては会社の経営にも影響。

最悪会社が危機的状況に！上手く行けば事業拡大、分社化しプレイヤーが本部長に。

問題の対策をプレイヤーが選択

お客様からの問合せ殺到・・・ インシデント発生！

ショッピングサイト運営中の主人公に …

主人公がｲﾝﾀｰﾈｯﾄショッピングサイト責任者に！

プレイヤーが主人公として７つのセキュリティ事故を体験し対応する

4.4 安全なウェブサイト運営入門

z ニュースサイト記事やブログで評判

メディアや体験者からの評判は良好！

記事：

INTERNET Watch、Security NEXT、ZDNet Japan、Itmedia

レビュー： 夕刊フジ、@IT、Slashdot、EnterpriseZine、CodeZine、RBB TODAY、マイコミジャーナル セキュリティやWebサイト運営の基礎的な内容から解説されているそうなので、入門用教材として良いかと思わ れます。（出典：Slashdot ）

選択肢についてはさほど難しく感じることは少なかった。しかし、実際に、自らの運営するWebサイトにセキュリ ティ事件が発生した場合、このような冷静な判断ができるであろうか

? (

中略

)

本ソフトでは、あえて「正しくない」選択をした場合にどのような結末を迎えるのか、それを読むのも有意義である と思う。

(中略)

本ソフトの最後に「商品と同様に安全を売るショップということでも注目を集めた」という台詞がある。これこそが ネットショップに、今、求められるものではないだろうか。（出典：マイコミジャーナル）

ブログ：30 以上ものブログで評価

「このようなゲーム感覚でセキュリティについて学ぶというのは、より実践的な経験を積むことができるので、セキ ュリティ教育にはとてもよい教材だと思いますグッド！」できれば、小学校、中学校、そして高校の授業でこのソフ トを用いたセキュリティ教育をしていただきたいものです。（出典：情報セキュリティ学院）

4.4 安全なウェブサイト運営入門

z 社内教育や大学授業、イベントでの利用も

社内教育： コンサルティング会社、他 大学授業：

A

大学

イベントでのセキュリティ啓蒙： 地域ict未来フェスタ2008inとくしま メーリングリスト：

N地域地場産業振興センター

4.4 安全なウェブサイト運営入門

z ダウンロード

z アンケート協力のお願い

本日配布したＣＤ－ＲＯＭ内に、「安全なウェブ サイト運営入門」が入っておりますので、是非、

ご利用頂きたく思います。

今後の普及啓発ツール・資料等の作成に活用さ せていただくため、同封のアンケートにご協力頂 き、記載の電話番号に ＦＡＸ をお願い致します。

¾

「安全なウェブサイト運営入門」－７つの事件を体験し、ウェブサイトを守り抜け！－

http://www.ipa.go.jp/security/vuln/7incidents/index.html

セキュリティセンター（ IPA/ISEC ） http://www.ipa.go.jp/security/

★情報セキュリティ関連相談窓口：

ＴＥＬ ０３（５９７８）７５０９ (平日10:00-12:00、13:30-17:00)

ＦＡＸ ０３（５９７８）７５１８

E-mail： virus@ipa.go.jp (ウイルス関連)

crack@ipa.go.jp (不正アクセス関連) winny119@ipa.go.jp (Winny関連)

isec-info@ipa.go.jp (その他セキュリティ全般)

ネット通販セキュリティ対策セミナー

ネット通販サイト開発者向け具体的対策

～デモを交えウェブアプリケーション開発時の対策など～

独立行政法人 情報処理推進機構 セキュリティセンター

本コースについて

• 対象

–

インターネット通販事業者のウェブサイト運営者、

運営委託、代行者、開発者の方々

• ポイント

–

ショッピングサイトにおけるセキュリティ事故につ いて、デモとケーススタディから脅威と対策の技 術的側面を紹介。

本コースの内容

ケーススタディ

１．

SQL

インジェクション

２．クロスサイト・スクリプティング

ケーススタディ1

SQLインジェクション

企業サイトがウイルス感染の加害者に

～脆弱性の脅威と技術的解決を学ぶ～

SQLインジェクション

1.1 SQLインジェクションとは

1.2 事例:ショッピングサイトでウイルス感染？

1.3 SQLインジェクション対策のポイント 1.4 SQLインジェクション対策

ケーススタディ 1

ドキュメント内 1. 今 何が起こっているのか? 1.1 インターネットを取り巻く状況は? 1.2 ウェブアプリケーションの脆弱性 1.3 ウェブサイト形態と対応責任 2. 脆弱性の解説 3. ウェブサイトのセキュリティ対策方針 4. セキュリティ対策ツールの紹介 Copyright 2009 独立行政法人情報処理 (ページ 58-70)