情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. 脆弱性対策情報
  4. 脆弱性体験学習ツール AppGoat
  5. 脆弱性体験学習ツール AppGoat:FAQ

脆弱性体験学習ツール AppGoat:FAQ

最終更新日:2025年4月8日

質問一覧

質問一覧は以下の「FAQ」にまとめています。 ツール解凍後のフォルダ内にある、以下のHTMLから直接FAQを参照してだくか、AppGoat起動後の総合メニューにある「FAQ」からご参照ください。

ウェブアプリケーション用学習ツール(個人学習モード)

IPATool\Faq\personal_ja.html

ウェブアプリケーション用学習ツール(集合学習モード)
  • 管理者向け:IPATool\Faq\admin_ja.html
  • 学習者向け:IPATool\Faq\user_ja.html

  1. Q1.AppGoatとはどのようなツールですか?

    A1.

    学習教材と演習環境をセットにし、ウェブアプリケーションの脆弱性の検証手法から原理、影響、対策までを個人で、もしくは多人数によるセミナー形式で学習できる国内で初めての体験型学習ツールです。「ウェブアプリケーション用学習ツール(個人学習モード)」と「ウェブアプリケーション用学習ツール(集合学習モード)」の2種類を用意しています。
    ツール概要に記載している[申請方法]の手順に従って、AppGoatをダウンロードし、個人学習の場合は利用者自身のPC、集合学習の場合は管理者の用意したサーバにインストールすることで利用できます。 利用者は、ツールの学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できます。

    本ツールは、下記の特徴があります。

    12の脆弱性カテゴリと41の学習テーマを用意

    主要な12種の脆弱性からそれぞれ目的別、レベル別に合計41の学習テーマを用意し、脆弱性の原理や対策方法について幅広く学習することができます。

    個人で学習を進める個人学習モードと多人数による集合学習モードを用意

    AppGoatには、個人学習モードと集合学習モードという2つの学習モードが用意されています。

    個人学習モード

    申請を行ってください。
    AppGoatをインストールした直後は個人学習モードでのみ起動できます。
    ダウンロードしたAppGoatを学習者が用意したPCにインストールすることでご利用いただけます。
    個人学習モードでは学習者のレベルにあった学習テーマを進めたり、理解度の低い脆弱性を重点的に学習したりなど、学習目的に沿ったテーマを任意に選択し学習を進めることができます。

    集合学習モード

    管理者はダウンロードしたAppGoatをPCにインストールして、学習者はそのPCにネットワーク経由で接続することでご利用いただけます。
    集合学習モードでは数十人規模での学習に対応しており、学習担当者(管理者)は学習者の学習テーマを個別に設定したり、学習者1人1人の学習の進捗状況を確認することができます。

    利用者レベルに応じた学習教材の充実

    脆弱性を突いた攻撃の手法と仕組みを学べるLevel1、実際の対策手法まで学習できるLeve2、さらに高難易度のLevel3と3段階に分けて学習できる教材を備えており、これからウェブアプリケーションの脆弱性を本格的に学習しようとする利用者が無理なく段階的に進めることのできる構成となっております。

    さらに、実際の開発現場で適用できるように利用者がソースコードを修正できる環境を用意しており(注釈)、プログラミング技術に長けた利用者は論理的な理解に加え、具体的な対策方法を学ぶことができます。

    1. 注釈:
      ソースコードを修正する演習は個人学習モードでのみ利用可能です。

  2. Q2.AppGoatは無償で使用できるのですか?

    A2.

    AppGoatは無償で提供しています。利用を希望される場合は、利用許諾条件合意書の内容に同意いただき、申請の上、ダウンロードして利用することが出来ます。

    1. 利用許諾条件合意書(PDF:254 KB)

  3. Q3.AppGoatでどのような学習が行えますか?

    A3.

    AppGoatでは、学習内容を脆弱性の重要度によって基礎と応用に分けています。
    また、各脆弱性ごとに学習テーマを3段階のレベルに分けて用意しています。
    学習テーマは各レベルごとに下記の流れで学習を行います。

    • 演習の流れ Level1
    • Windows ファイアウォール
    1. 注釈:
      赤字はウェブアプリケーションを使ったステージ
    • 演習の流れ Level2、3
    • Windows ファイアウォール
    1. 注釈:
      赤字はウェブアプリケーションを使ったステージ
    2. 注釈:
      赤枠は個人学習モードのみで実施できるステージ

    また、12の脆弱性カテゴリ+総合カテゴリにそれぞれ1つずつ、これまでの習熟度を測るための習熟度テスト(選択式)を用意しています。
    各脆弱性の学習内容を一通り学習した後に、総合力を試すための総合演習及び総合問題を用意しています。

  4. Q4.個人学習モードとは何ですか?

    A4.

    個人学習モードとは、学習者のPCにAppGoatをインストールすることにより、学習を行うことができる学習モードになります。

    個人学習モードでは学習者のレベルにあった学習テーマを進めたり、理解度の低い脆弱性を重点的に学習したりなど、学習目的に沿ったテーマを任意に選択し学習を進めることができます。

  5. Q5.集合学習モードとは何ですか?

    A5.

    集合学習モードとは、1人の学習担当者がAppGoatの管理者権限でログインし、複数人の学習者の学習状況を一元管理することができる学習モードになります。

    集合学習モードでは1人の学習担当者が用意したPCにAppGoatをインストールし、そのPCに学習者がネットワーク経由で接続することにより、学習者が個々にAppGoatをインストールすることなく学習を行うことができます。

    学習担当者は主に学習者の各学習テーマの進捗状況、習熟度テストの正答率、現在実施中の学習テーマ等を画面上から確認することができます。

    集合学習モードについてさらに知りたい場合や、AppGoatを集合学習モードで利用したい場合は、以下のAppGoatの集合学習モードのページをご参照ください。

  6. Q6.AppGoatが起動しない場合はどうしたらよいですか?

    A6.

    以下のことを確認してください。

    インストールフォルダのパスに全角文字(日本語)や半角スペース、半角記号などが含まれていませんか?

    全角文字(日本語)や半角スペース、半角記号などを含むパスに、AppGoatをインストールした場合は動作しないことがあります。全角文字や半角スペース、半角記号などを含まないパスにインストールして実行してください。

    AppGoatのダウンロードファイル(zip形式)を解凍せずにAppGoatを起動してませんか?

    Windows10以降ではzip形式の圧縮されたファイルやフォルダを解凍せずにファイルの操作が行えます。AppGoatのダウンロードファイル(zip形式)は任意のパスやフォルダに解凍を行い、その上でAppGoatを起動してください。

    他のプログラムがポート80番を使用していませんか?

    AppGoatのデフォルト設定ではポート80番を使用してApache Webサーバを起動します。ご利用の環境で既にポート80番を使用しているプログラムがある場合は、そのプログラムを終了させるか、AppGoat環境設定の画面でポート番号を80番から未使用のポート番号に変更および保存してからAppGoatを起動してください。

    他のプログラムがポート50001番を使用していませんか?

    AppGoatのデフォルト設定では特定の演習用にポート50001番を使用します。ご利用の環境で既にポート50001番を使用しているプログラムがある場合は、そのプログラムを終了させるか、AppGoat環境設定の画面でポート番号を50001番から未使用のポート番号に変更および保存してからAppGoatを起動してください。

    AppGoatを停止した直後ではありませんか?

    AppGoatを停止して間もない場合、停止前にAppGoatが使用していたポートが開放されていないことがあります。ポートが開放されるまである程度時間を置くか、環境設定アプリでポート番号を変更してAppGoatを起動してください。

    Apache Webサーバが異常終了していませんか?

    Apache Webサーバが正常に終了できていなかった場合、AppGoatが起動しないことがあります。Apache Webサーバが起動していない状態で「\IPATool\Framework\Apache24\logs\httpd.pid」というファイルが存在する場合には、そのファイルを削除してからAppGoatを起動してください。

    Apache Webサーバは起動していますか?

    AppGoatのパッケージに含まれているApache Webサーバが正しく起動されていないとAppGoatは動作しません。

    AppGoatSetting.exeを起動し画面中の「Apache起動」をクリックした後、Apache Webサーバが正しく起動していないことは、次のようなことで確認できます。

    • タスクマネージャに「Apache HTTP Server (32ビット) 」が表示されていない。
    • タスクバーにApacheのアイコン(赤い羽根)が新しく表示されていない。
    • AppGoatSetting.exe (AppGoat環境設定の画面)のタイトルバーに「(応答なし)」の表示がされている。

    AppGoatのパッケージに含まれているMicrosoft Visual C++再頒布可能パッケージをインストールした後、AppGoatの起動をお試しください。

    ファイル
    AppGoat展開フォルダ\IPATool\IPATool\Framework\Tools\vcredist_x86.exe

    注釈:「vcredist_x86.exe」をクリックすることでインストールが始まります。

    セキュリティソフトウェアでアプリの起動が停止したり、必要なファイルが検疫されていませんか?

    無料や商用のセキュリティソフトウェアをインストールした環境でAppGoatの起動に必要なApache WebサーバやAppGoatの動作に必要なファイルが不正と判定され、正しく起動が行われない場合があります。
    セキュリティソフトウェアの検知ログや動作履歴を参照して、アプリの起動やファイルの検疫、削除がされていないことを確認してください。不正ファイルとして判定されていた場合は不正ファイルの解除や検疫除外などの処置を施すなどを実施した後、AppGoatのダウンロードファイル(zip形式)を展開(解凍)をして、AppGoatを起動してください。

  7. Q7.AppGoatの演習で表示できない箇所があります

    A7.

    演習ページに埋め込まれているフレームのソースコード表示ができません

    ブラウザの仕様変更により、疑似的なブラウザ上で右クリックをして「フレームのソースを表示」はご利用いただけません。
    次の手順にてご利用のブラウザ毎にソースコードを確認してください。

    Microsoft Edgeの場合
    (1)疑似的なブラウザ内の文字(どの文字でも構いません)を選択してから右クリックします。
    「開発者ツールで調査する」をクリックして、ソースコードを表示してください。
    (2)ソースコードが一部のみ表示されるため、適宜 ▲ をクリックして表示を広げてコードを確認ください

    Google Chromeの場合
    (1)疑似的なブラウザ内の文字(どの文字でも構いません)を選択してから右クリックします。
    「検証」をクリックして、ソースコードを表示してください。
    (2)ソースコードが一部のみ表示されるため、適宜 ▲ をクリックして表示を広げてコードを確認ください。

    その他のブラウザにおけるコードの確認方法については、AppGoat起動後の次のページをご確認ください。
    「学習を進める前に」→「学習の進め方~演習~」
    ・演習(発見)の操作方法

  8. Q8.指定されたURLからダウンロードできません。(個人学習モード、集合学習モード)

    A8.

    Google ドライブを使用してファイルのダウンロードを案内しています。表示されるメッセージに応じて以下のことを確認してください。

    ブラウザ内や表示されたタブなどに「AppGoat_web_v305_xxxx.zip」のファイル名が表示され、 「ファイルをプレビューできませんでした。 オフラインか、接続が制限されている可能性があります。代りにダウンロードしてみてください。」と表示される。

    [ダウンロード]を選び、ファイルがダウンロードできるかご確認ください。

    Google ドライブから「アクセス権が必要です。」などアクセス権限のリクエスト画面が表示される。

    職場や組織のGoogleアカウントを使用中に表示される場合があります。使用中のGoogleアカウントを一度、ログアウトした後にダウンロードできるかご確認ください。

    Google ドライブから「このファイルのウイルス スキャンを実行できません。」と注意画面が表示される。

    このまま「AppGoat_web_v305_xxxx.zip」をダウンロードして問題ありません。
    AppGoatのファイルサイズがGoogleドライブが用意しているウィルススキャンでチェックできる容量を超えている」ことを示しています。

    URLフィルタやプロキシからHTTPステータス500番台のエラーや「接続ができません」と表示される。

    ご利用のインターネット環境にて、Google ドライブへのアクセスがプロキシ(URLフィルタ含む)やファイアウォールなどで制限されている可能性があります。
    職場などの組織からインターネット接続している場合は、Google ドライブへの接続が制限されていないかご確認ください。

    AppGoatのダウンロードURLが変更されている。

    AppGoatのダウンロードには有効期限があり、期限が過ぎるとURLが変更となります。
    個人学習モードを利用している方は、申請フォームより再度申請を行ってください。
    集合学習モードを利用している方は、メールにて再度申請を行ってください。

更新履歴

  • 2025年4月8日

    FAQ Q7の項目をQ8へ移行し、Q7の項目を新た作成

  • 2024年4月15日

    FAQ Q7の項目を追加

  • 2023年12月8日

    FAQ Q6の項目を追加

  • 2023年9月14日

    FAQ Q6の項目を追加

  • 2023年3月31日

    FAQの内容を一部修正

  • 2023年1月19日

    FAQの内容を一部追加

  • 2022年11月4日

    FAQの内容を一部修正

  • 2021年6月2日

    FAQの内容を一部追加

  • 2022年6月6日

    FAQの内容を一部修正

  • 2016年10月31日

    AppGoat (ウェブアプリケーション用学習ツール) V3.0.0 の公開