独立行政法人国立高等専門学校機構　一関工業高等専門学校">

実務家教員による講義「Webアプリケーションの脆弱性診断演習」を実施しました

　本校では、ビジネスの第一線で活躍する民間企業のプロフェッショナル人材である実務家教員（副業先生）が複数の授業を担当しております。12月に実施した「情報セキュリティインシデントハンドリング演習」に続き、今回は情報・ソフトウェア系4年生を対象に、企業の現場でセキュリティエンジニアとして活躍されている実務家教員の倉茂廉太郎先生による講義が実施されました。

　講義では、仮想サーバ上に構築されたWebサーバに対して、Webアプリケーションの脆弱性や攻撃につながる可能性のある設定の不備を見つけるグループ演習を行った後、脆弱性に関する分析およびその対策を検討し、さらにグループごとに報告書の作成を行いました。倉茂先生からは、将来システム開発などを行う際に、必ずセキュリティの観点が必須となること、また、技術者にとっては報告書作成に代表されるアウトプットが重要であること等、学生にとって非常に有益なアドバイスがありました。

　学生たちからは、「攻撃手法の再現と対策について、再現可能な検証手順や記録を整理・共有できた」、「データベースへの攻撃に関するリスクを検証し、最小権限化などの具体的な対策まで検討できた」、「セキュリティ検証ツールの使い方をチームで共有し、誰でも再現できるように証跡（画面・ログ）整理して報告書づくりを進められた」など、多くの感想が寄せられました。

　本校では、今後も実務家教員との連携を強化し、実践的な情報セキュリティ教育を推進してまいります。

※本演習では、EGセキュアソリューションズの徳丸浩氏が開発した脆弱性診断実習用Webアプリケーション「BadTodo」を使用させて頂きました。実習用教材提供に快くご協力頂き深く感謝申し上げます。