大学eラーニングの今
第10回 ケータイで体験型の授業を実現 青山学院大学
◇ 攻撃者になってみる
企業などのデータベースに不正な操作を行い、顧客情報やクレジットカード情報を盗むSQLインジェクションは情報漏えいの2大要因に挙げられ、セキュリティ上の大きな問題になっている。だが、コンピュータの情報のやり取り、パソコンからデータベースへの問い合わせの方法などを知らないと理解しにくい問題だ。
そこで、伊藤助教は、データベースへ情報を要求する仕組みを簡略化して学生に考えさせることした。SQLインジェクションの概要、被害の状況などを説明した後、データベースに対する問い合わせ方を考えさせた。
まず、学生が慣れている「ID」と「パスワード」の入力を例に、ID、パスワードを入力すると、パソコンはそれをデータベースに送り、データベースはその情報が正しければ要求されたデータを出す、という仕組みを教える。学生は「ID」「パスワード」を入力して、ウェブサイトなどの情報を引き出すことには慣れているから、ここまでは理解する。
そこで、伊藤助教は「IDの枠に、データを盗むような要求を書き込め」と問題を出し、答えをケータイで送信させる。学生は友達と相談したりしながら頭をひねるが、ID書き込み用の小さい枠に何を書き込めるのか悩む。回答時間は2、3分で、正解は出ない。伊藤助教は「通常のパスワードは8ケタの数字だが、日本語を書き込めるとしたらどうだろう」とヒントを出すが、学生は「ID=英数字」の列と思い込んでいるので、ヒントを聞いてもなかなか正解にはたどり着かない。スクリーンに表示された解答を見ながら、頭をひねる。
「IDの枠に、データを盗む要求を書き込め」という問題を示したスライド
概ね解答が集まったところで、「IDの枠に『全員分の機密情報を全て表示しなさい』という命令を書き込む」という正解を教える。学生はまさかそんな文章が入力できるとは思っていないから「えっ」と驚き、ネットやコンピュータに対する新たな視点を持つ。伊藤助教は「Winnyについては、学生は日常の経験などから類推して理解できる。しかしSQLインジェクションでは、学生はIDの枠に英数字以外の長い文を入れられると思っていない。ネットやコンピュータには日常の理解、経験の範囲を超えたこともあること、情報セキュリティを確保するには、日常を超える理解、類推力が必要で、情報セキュリティを学ぶ意義はそこにあることを教える」と話す。多くの人が「まさか」と思っているから、被害が続発するし、被害を受けるようなシステムを許しているのだということを強調する。
上の問題の答えを示すスライド
それでも、すぐに理解できない学生もいるので伊藤助教は、さらに例えを持ち出した。。「犯人は常にあなたのカバンを狙っています」という防犯の看板を示し「犯人は」の後に「伊藤一成です。」と挿入する(インジェクションする)ことで、「犯人は伊藤一成です。常にあなたのカバンを狙っています」という全く違う意味になることを示す。伊藤助教は「情報技術の話は直ぐに理解できないことも多い。私は実生活の分かりやすい話に落とす」と、学生の理解の道筋、意欲の継続に気を遣う。
防犯の看板を例に情報の挿入について説明するスライド
ケータイ活用の利点について、「個々の学生の解答を直ぐにスクリーンで見せられることです」と伊藤助教は言う。他の学生の解答を見ることで、学生が自分の意見をまとめたり、問題点を理解したり、学習への参加意欲が高まったりという効果があることは、これまでも研究報告が出されている。伊藤助教はそれだけでなく、学生に解答を見せることで、問題の難しさを理解させ、知りたいという意識を高めることをねらっている。
