学習ロードマップ

CTF 入門

pwn / web / crypto / reversing といった CTF ジャンルの入り口を知り、練習しながらセキュリティの基礎体力をつけるためのロードマップ。

サイバー忍者入門 忍者・スパイ・軍隊・ハッカーに学ぶ フルスタック・ハッキング 実践 Webペネトレーションテスト : 攻撃者の視点で学ぶWebアプリケーションセキュリティ 7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性 ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習 ポートスキャナ自作ではじめるペネトレーションテスト : Linux環境で学ぶ攻撃者の思考 ハッキングAPI : Web APIを攻撃から守るためのテスト技法
SCROLL TO BEGIN

このロードマップが扱うもの

CTF

このロードマップの全体像

このロードマップは、セキュリティに興味があり、手を動かして学びたい学生・若手エンジニア・趣味として始めたい社会人を対象にしています。学び終えたときには、CTF の代表的ジャンルの基礎問題を独力で解き、実務にも活きるセキュリティの基礎体力と学習習慣を持てる状態を目指します。

学習ステップ

1. CTF 全体像を俯瞰する: Jeopardy / Attack-Defense、主要ジャンル(web / pwn / crypto / rev / forensics / misc)の特徴と難易度感を把握します。 2. 基礎ツールと環境: Linux CLI、ネットワークツール、デバッガ、逆アセンブラ、仮想環境での検証環境づくりを整えます。 3. Web 系チャレンジ: 入門的な SQLi、XSS、認可バイパスを通じて、Web セキュリティの基礎を手で学びます。 4. 暗号と Forensics: 古典暗号、モジュラ演算、簡単な暗号ミス、パケット解析、ファイルカービングに触れます。 5. reversing と pwn の入り口: アセンブリの読み方、スタック、バッファオーバーフロー、簡単な exploit を、安全な練習環境で試します。 6. 継続学習と倫理: 練習サイトや過去問で続ける習慣、Write-up の書き方、法と倫理を守った活動指針を整えます。

注意点と周辺知識

CTF は「楽しさ」がモチベーション源になりますが、攻撃手法を許可されていないシステムに試すことは法的・倫理的に問題があります。学ぶ対象はあくまで自分の環境や許可された練習場で、業務には書かれた手続きを通すという姿勢を最初に身につけることが重要です。難問に挑み続けるとバーンアウトしがちなので、レベルに合った問題を選び、Write-up を読む / 書く文化を活用すると継続しやすくなります。周辺では、Linux、ネットワーク、Web の仕組み、基礎的な暗号、C / アセンブリ、Python など自動化に強い言語を並行して押さえておくと、チャレンジが格段に解きやすくなります。

ロードマップ

6 つのステップで読み進める

  1. 01
    ステップ 01 サイバー忍者入門 忍者・スパイ・軍隊・ハッカーに学ぶ フルスタック・ハッキング
    サイバー忍者入門 忍者・スパイ・軍隊・ハッカーに学ぶ フルスタック・ハッキング
  2. 02
    ステップ 02 実践 Webペネトレーションテスト : 攻撃者の視点で学ぶWebアプリケーションセキュリティ
    実践 Webペネトレーションテスト : 攻撃者の視点で学ぶWebアプリケーションセキュリティ
  3. 03
    ステップ 03 7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性
    7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性
  4. 04
    ステップ 04 ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習
    ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習
  5. 05
    ステップ 05 ポートスキャナ自作ではじめるペネトレーションテスト : Linux環境で学ぶ攻撃者の思考
    ポートスキャナ自作ではじめるペネトレーションテスト : Linux環境で学ぶ攻撃者の思考
  6. 06
    ステップ 06 ハッキングAPI : Web APIを攻撃から守るためのテスト技法
    ハッキングAPI : Web APIを攻撃から守るためのテスト技法

第 1 章

サイバー忍者入門 忍者・スパイ・軍隊・ハッカーに学ぶ フルスタック・ハッキング

  1. サイバー忍者入門 忍者・スパイ・軍隊・ハッカーに学ぶ フルスタック・ハッキング

    サイバー忍者入門 忍者・スパイ・軍隊・ハッカーに学ぶ フルスタック・ハッキング
    この章の 1 冊 サイバー忍者入門 忍者・スパイ・軍隊・ハッカーに学ぶ フルスタック・ハッキング

    IPUSIRON / 翔泳社 / 2026

    サイバー・物理・ソーシャルの3領域を横断するフルスタック・ハッキングを習得する

    この本で身につくこと
    • 忍術・諜報・軍事・ハッキングの手法を横断的に対応づけ、攻撃の思考フレームを体系化できる
    • サイバーセキュリティ・ソーシャルエンジニアリング・物理的セキュリティの3層を統合的に捉える視点が得られる
    • フルスタック・ハッカーとして攻撃面と防御面を同時に意識した思考ができるようになる
    • 歴史的な忍者・スパイの手口と現代のサイバー攻撃の構造的な類似性を理解できる

    想定読者: サイバーセキュリティに関心を持ちながらも、コンピューター技術に限らない総合的な視点でハッキング・諜報・防衛を学びたいセキュリティ担当者、ハッカー志望者、探偵・警備関係者

    本の詳細を見る →

  2. 実践 Webペネトレーションテスト : 攻撃者の視点で学ぶWebアプリケーションセキュリティ

    実践 Webペネトレーションテスト : 攻撃者の視点で学ぶWebアプリケーションセキュリティ
    この章の 1 冊 実践 Webペネトレーションテスト : 攻撃者の視点で学ぶWebアプリケーションセキュリティ

    西谷 完太/山崎 啓太郎/渡部 裕 / オライリー・ジャパン / 2025

    Webアプリの脆弱性を攻撃者視点でハンズオン習得する

    この本で身につくこと
    • Docker と Burp Suite を用いたペネトレーションテスト用ラボ環境を自前で構築できる
    • SQLインジェクション・XSS・CSRF・権限昇格など14種類の主要攻撃手法を実機演習で習得できる
    • 複数の脆弱性を組み合わせた現実的な攻撃シナリオを通じ、リスク評価の判断軸を持てる
    • WAFバイパスやアクセス制御回避など防御側の盲点になる技法を攻撃者視点で理解できる

    想定読者: セキュリティエンジニアやWebエンジニアで、ペネトレーションテストの実務スキルをゼロから体系的に身につけたい人。Docker + Burp Suite 環境を手元に用意して手を動かしながら学べる環境がある人。

    本の詳細を見る →

  3. 7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性

    7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性
    この章の 1 冊 7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性

    野溝 のみぞう / 翔泳社 / 2024

    TryHackMeで7日間、サイバー攻撃を実際に手を動かして体得する

    この本で身につくこと
    • nmapによるポートスキャンで対象システムの構成を把握する手順
    • 辞書攻撃(dirb / hydra)でWebディレクトリおよびログイン認証を突破するプロセス
    • CVEを突いたエクスプロイトとSQLインジェクションによるDB侵害の流れ
    • SUIDビット悪用と権限昇格の仕組みと、防御側が取るべき対策の対応関係

    想定読者: セキュリティを「手を動かして」学びたいIT入門者・情報システム担当者。Linuxの基本操作程度の経験があり、ペネトレーションテストの概念を実感として掴みたい人。

    本の詳細を見る →

  4. ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習

    ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習
    この章の 1 冊 ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習

    IPUSIRON / 翔泳社 / 2024

    仮想環境で16種の脆弱マシンを攻略し、攻撃の原理から体得する

    この本で身につくこと
    • VirtualBoxを使ってハッキング・ラボ(隔離仮想ネットワーク)を自力で構築できる
    • ParrotOSの基本操作とセキュリティツール群の使い方を実環境で習得できる
    • ポートスキャン・脆弱性探索・権限昇格までの攻撃フローを16種の演習マシンで反復できる
    • Metasploitフレームワーク・Burp Suite・findmyhashなどの代表的ツールの実践的な使い所を理解できる

    想定読者: セキュリティの基礎を手を動かして身につけたい入門〜初級者。LinuxやVirtualBoxを触り始めたばかりで、ペネトレーションテストの全体像を掴みたいエンジニアや学生

    本の詳細を見る →

  5. ポートスキャナ自作ではじめるペネトレーションテスト : Linux環境で学ぶ攻撃者の思考

    ポートスキャナ自作ではじめるペネトレーションテスト : Linux環境で学ぶ攻撃者の思考
    この章の 1 冊 ポートスキャナ自作ではじめるペネトレーションテスト : Linux環境で学ぶ攻撃者の思考

    株式会社ステラセキュリティ 小竹 泰一 / オライリー・ジャパン / 2023

    ポートスキャナ自作を起点に攻撃者の思考とペネトレーションテスト技法を体得する

    この本で身につくこと
    • TCP/UDP の通信仕組みを理解したうえで Python/Scapy を用いて独自のポートスキャナを実装できる
    • Nmap の主要オプションと NSE スクリプトを活用し、ネットワーク上のホストや開放ポートを体系的に列挙できる
    • Nessus による脆弱性スキャンの設定・実行・結果解釈のワークフローを習得できる
    • Metasploit Framework でエクスプロイトを選択・実行し、ポストエクスプロイテーション(権限昇格・情報収集)の手順を理解できる

    想定読者: Linux 基礎知識を持ち、脆弱性診断やペネトレーションテストの実務技術を一から身につけたいセキュリティエンジニア・インフラエンジニア

    本の詳細を見る →

  6. ハッキングAPI : Web APIを攻撃から守るためのテスト技法

    ハッキングAPI : Web APIを攻撃から守るためのテスト技法
    この章の 1 冊 ハッキングAPI : Web APIを攻撃から守るためのテスト技法

    Corey Ball/石川 朝久/北原 憲/洲崎 俊 / オライリージャパン / 2023

    攻撃者視点のAPIセキュリティテスト技法を体系的に習得する

    この本で身につくこと
    • crAPIやOWASP Juice Shopを使ったローカルラボを構築し、安全な環境で攻撃手法を反復練習できる
    • Burp Suite・Postman・Wfuzzなどの汎用ツールでAPIエンドポイントを探索・列挙するワークフローを実行できる
    • 認証・認可への攻撃(水平/垂直の権限昇格、JWTの改ざん)を手順ベースで再現できる
    • ファジング・マスアサインメント・インジェクション攻撃といったOWASP API Security Top 10の主要攻撃を実演できる

    想定読者: APIの脆弱性診断・ペネトレーションテストに取り組むセキュリティエンジニア、およびAPIを公開・運用するWebアプリ開発チームのセキュリティ担当者

    本の詳細を見る →

続けて読む

次に読むロードマップ

全ロードマップを検索する →