学習ロードマップ

セキュアコーディング — 脆弱性を作らない開発

「動くコード」 から 「攻撃に耐えるコード」 へ。 Web アプリの定番脆弱性とその塞ぎ方を体系で学び、 言語・プラットフォーム別の実装、 脆弱性診断、 クラウド/教養まで広げる読書順序。

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 : 脆弱性が生まれる原理と対策の実践 Pythonで学ぶ Webアプリのセキュアコーディング 脆弱性の見つけ方・直し方が身につく実践入門 Androidアプリ開発のためのセキュリティ入門 体験して学ぶ16の脆弱性とその対策 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術 実践 ハイブリッドクラウド・セキュリティアーキテクチャ : ゼロトラスト原則を用いたセキュリティ設計の実践的手法 情報セキュリティの敗北史 : 脆弱性はどこから来たのか
SCROLL TO BEGIN

このロードマップが扱うもの

Web /

このロードマップの全体像

セキュリティはツールを後付けで足すものではなく、 設計と実装の段階で「脆弱性を作り込まない」 ことが本質です。 まず Web の定番脆弱性を体系で押さえ、 言語/プラットフォーム別の実装、 診断、 設計思想へと広げます。

学習ステップ

1. 定番で土台: Web アプリの脆弱性原理と対策を、 定番書で体系的に。 2. 実装で手を動かす: Python・Android で、 セキュアコーディングを具体のコードで身につける。 3. 診断と設計: 脆弱性診断の手順、 クラウドのゼロトラスト設計、 そして攻防の歴史 (教養) へ。

職種を問わず、 コードや仕様に関わる人すべての守りの土台になります。

ロードマップ

6 つのステップで読み進める

  1. 01
    ステップ 01 定番で土台を固める
    体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 : 脆弱性が生まれる原理と対策の実践
  2. 02
    ステップ 02 Python で実装に落とす
    Pythonで学ぶ Webアプリのセキュアコーディング 脆弱性の見つけ方・直し方が身につく実践入門
  3. 03
    ステップ 03 Android の実装で学ぶ
    Androidアプリ開発のためのセキュリティ入門 体験して学ぶ16の脆弱性とその対策
  4. 04
    ステップ 04 脆弱性診断の手順
    Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術
  5. 05
    ステップ 05 クラウドの設計思想
    実践 ハイブリッドクラウド・セキュリティアーキテクチャ : ゼロトラスト原則を用いたセキュリティ設計の実践的手法
  6. 06
    ステップ 06 攻防の歴史で俯瞰
    情報セキュリティの敗北史 : 脆弱性はどこから来たのか

第 1 章

定番で土台を固める

  1. 定番で土台を固める

    安全な Web アプリの作り方 第2版 — 脆弱性の原理と対策を体系で押さえる王道の入口。

    体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 : 脆弱性が生まれる原理と対策の実践
    この章の 1 冊 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 : 脆弱性が生まれる原理と対策の実践

    徳丸 浩 / SBクリエイティブ / 2018

    Webアプリの脆弱性が生まれる原理を理解し、安全な実装を実践する

    この本で身につくこと
    • XSS・SQLインジェクション・CSRFが発生するメカニズムをコードレベルで説明できる
    • OWASP Top 10(2017)の各リスクに対して具体的な対処コードを書ける
    • HTTP/ブラウザの仕様に起因するセッション管理の脆弱性とその設計上の回避策を理解できる
    • XXEや安全でないデシリアライゼーションなど比較的新しい攻撃パターンへの対応を実装できる

    想定読者: Webアプリケーション開発者・セキュリティ担当者。PHPの読み書きができ、セキュアコーディングの体系的な知識を身につけたい中級者

    本の詳細を見る →

  2. Python で実装に落とす

    脆弱性の「見つけ方」 を Python のコードで体験し、 セキュアコーディングを手で覚える。

    Pythonで学ぶ Webアプリのセキュアコーディング 脆弱性の見つけ方・直し方が身につく実践入門
    この章の 1 冊 Pythonで学ぶ Webアプリのセキュアコーディング 脆弱性の見つけ方・直し方が身につく実践入門

    森 祥平 / インプレス / 2025

    Python製Webアプリで脆弱性を再現・検出・修正する実践力を身につける

    この本で身につくこと
    • SQLインジェクション・XSS・XXE・OSコマンドインジェクション・CSRFなどの主要脆弱性がどのようなコードで発生するかを実際に動作する「やられアプリ」で確認できる
    • 各脆弱性の原因コードと修正コードを対比して学ぶことで「なぜ脆弱なのか」「どう直せば安全なのか」を言語化できる
    • パストラバーサル・XXE・認証/認可の不備など見落とされやすい脆弱性カテゴリを体系的に把握できる
    • ライブラリ依存の脆弱性管理(SCA相当の考え方)と、代表的なセキュリティテストツールの使い方を習得できる

    想定読者: Pythonを使ってWebアプリを開発しているエンジニアで、セキュリティ対策を体系的に学びたい人。ハンズオン形式で手を動かしながらセキュリティを習得したい中級者

    本の詳細を見る →

  3. Android の実装で学ぶ

    16 の脆弱性を体験して学ぶ — モバイル実装でのセキュリティ勘所。

    Androidアプリ開発のためのセキュリティ入門 体験して学ぶ16の脆弱性とその対策
    この章の 1 冊 Androidアプリ開発のためのセキュリティ入門 体験して学ぶ16の脆弱性とその対策

    小西 達也 / 翔泳社 / 2025

    『Android アプリ開発のためのセキュリティ入門 — 体験して学ぶ 16 の脆弱性とその対策』(2025 年 11 月、翔泳社)は、Android アプリ開発者が押さえるべきセキュリティの基礎と実践対策を、ハンズオン形式で 1 冊にま…

    この本で身につくこと
    • Android 特有の 16 の脆弱性を識別できる — Intent / Storage / Crypto / WebView 等
    • OWASP Mobile Top 10 を Android 文脈で押さえられる — 業界標準への対応
    • アプリのセキュリティ診断項目を持てる — リリース前チェックリスト
    • 暗号 / 鍵管理 / 通信の安全化が分かる — TLS / Keystore / EncryptedSharedPreferences
    本の詳細を見る →

  4. 脆弱性診断の手順

    担当者のための脆弱性診断スタートガイド — 作ったものを攻撃者視点で点検する。

    Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術
    この章の 1 冊 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術

    上野 宣 / 翔泳社 / 2019

    OWASP ZAPとBurp Suiteで実践するWebアプリケーション脆弱性診断

    この本で身につくこと
    • HTTPリクエスト・レスポンスの構造をセキュリティ診断の視点で読み解く力
    • OWASP ZAPを使った自動脆弱性スキャンの実行手順と結果の解釈
    • Burp Suiteを使ったプロキシ操作・パラメータ改ざんによる手動診断の技法
    • BadStore仮想マシンを使った実習環境でのSQLインジェクション・XSS等の再現と確認

    想定読者: Webアプリケーションの脆弱性診断を担当するセキュリティ担当者・開発者で、診断ツールの実践的な使い方を体系的に習得したい人

    本の詳細を見る →

  5. クラウドの設計思想

    ゼロトラスト原則によるハイブリッドクラウドのセキュリティ設計へ視座を広げる。

    実践 ハイブリッドクラウド・セキュリティアーキテクチャ : ゼロトラスト原則を用いたセキュリティ設計の実践的手法
    この章の 1 冊 実践 ハイブリッドクラウド・セキュリティアーキテクチャ : ゼロトラスト原則を用いたセキュリティ設計の実践的手法

    Mark Buckwell/Stefaan Van daele/Carsten Horst/石川 朝久 / オライリー・ジャパン / 2026

    ハイブリッドクラウド環境にゼロトラスト原則でセキュリティを設計する

    この本で身につくこと
    • デザイン思考とゼロトラスト原則をセキュリティアーキテクチャ設計に適用する判断軸を持てる
    • エンタープライズコンテキストの分析から機能・非機能要件を導出し、セキュリティ制約として設計に落とし込める
    • オンプレミスとクラウド双方の責任共有モデルを理解し、インフラ・アプリケーション各レイヤのセキュリティ境界を設計できる
    • DevSecOps の観点から安全な開発プロセスと保証活動を組み込む方法を説明できる

    想定読者: セキュリティアーキテクトまたはインフラ・アプリケーションアーキテクトで、オンプレミスとクラウドが混在する環境の設計を体系化したいエンジニア

    本の詳細を見る →

  6. 攻防の歴史で俯瞰

    情報セキュリティの敗北史 — なぜ脆弱性は生まれ続けるのか、 教養として締める。

    情報セキュリティの敗北史 : 脆弱性はどこから来たのか
    この章の 1 冊 情報セキュリティの敗北史 : 脆弱性はどこから来たのか

    アンドリュー・スチュワート/小林啓倫 / 白揚社 / 2022

    半世紀の攻防史から情報セキュリティの構造的失敗を読み解く

    この本で身につくこと
    • コンピュータ誕生以前から現代のクラウド・ランサムウェア戦争まで、セキュリティ失敗の歴史的経緯を一本の文脈で把握できる
    • 攻撃者は脆弱性を一つ見つければよいが、防御側はすべてを守らなければならないという構造的非対称性を言語化できる
    • ソフトウェアセキュリティ・経済的インセンティブ・ユーザ心理がどのように連動して脆弱性を再生産するかを説明できる
    • 社会工学(ソーシャルエンジニアリング)が技術的パッチの普及に応じて台頭してきた歴史的必然を理解できる

    想定読者: セキュリティ業務に携わる実務者や、現場のセキュリティ対策がなぜ機能しないかの根本を理解したいITエンジニア

    本の詳細を見る →

続けて読む

次に読むロードマップ

全ロードマップを検索する →