学習ロードマップ

Web セキュリティ実践

XSS / CSRF / SQLi など OWASP Top 10 を中心に、攻撃側と防御側の両面から Web アプリの守り方を学ぶロードマップ。

実践理解!Webアプリケーション セキュリティ 実践 Webペネトレーションテスト : 攻撃者の視点で学ぶWebアプリケーションセキュリティ Webセキュリティコンパクトガイドーー攻撃の種類から具体的な対策アプローチまで 図解即戦力 情報セキュリティの技術と対策がこれ1冊でしっかりわかる教科書 みんなのAWS 〜AWSの基本を最新アーキテクチャでまるごと理解! Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術
SCROLL TO BEGIN

このロードマップが扱うもの

Web OWASP Top 10

このロードマップの全体像

このロードマップは、Web アプリの開発・レビューに関わるエンジニアやセキュリティ担当者を対象に、日常的な脆弱性への対処力を底上げすることを目的としています。学び終えたときには、OWASP Top 10 の代表的脆弱性を攻撃と防御の両面から理解し、設計・実装・レビュー・運用の各段階でセキュリティを織り込める状態を目指します。

学習ステップ

1. Web の仕組みと脅威モデル: HTTP、Cookie、Session、SOP / CORS といった前提と、信頼境界の考え方を整理します。 2. インジェクション系: SQL インジェクション、OS コマンド、テンプレートインジェクションの仕組みと、プリペアドステートメントやエスケープ戦略を学びます。 3. XSS / CSRF / SSRF: クライアント側攻撃の代表例と、CSP、SameSite Cookie、同一オリジンチェック、URL バリデーションによる防御を身につけます。 4. 認証と認可の事故パターン: 認可抜け、IDOR、セッション固定、MFA バイパスなど、よくある実装ミスを知ります。 5. 依存・設定・秘密情報: サプライチェーン、誤設定された S3 / コンテナ、秘密情報管理、セキュリティヘッダを整えます。 6. テストと運用: 脆弱性診断、静的 / 動的解析、バグバウンティ、インシデントレスポンス、継続的な脆弱性対応フローを組みます。

注意点と周辺知識

Web セキュリティは「一度直せば終わり」ではなく、フレームワーク更新や新機能追加のたびに再発のリスクがあります。特にログイン・決済・権限周りは、仕様書通りでも攻撃者視点で見直さないと穴が残りがちです。攻撃手法を学ぶ際は、許可された環境(CTF や自分の検証環境)のみで行うことも強く意識する必要があります。周辺では、暗号・TLS の基礎、認証/認可プロトコル、Web アプリフレームワークの仕組み、ネットワークとインフラ、ログ/監視、脅威モデリング、関連法令とガイドラインを並行して押さえておくと、判断の軸が安定します。

ロードマップ

6 つのステップで読み進める

  1. 01
    ステップ 01 実践理解!Webアプリケーション セキュリティ
    実践理解!Webアプリケーション セキュリティ
  2. 02
    ステップ 02 実践 Webペネトレーションテスト : 攻撃者の視点で学ぶWebアプリケーションセキュリティ
    実践 Webペネトレーションテスト : 攻撃者の視点で学ぶWebアプリケーションセキュリティ
  3. 03
    ステップ 03 Webセキュリティコンパクトガイドーー攻撃の種類から具体的な対策アプローチまで
    Webセキュリティコンパクトガイドーー攻撃の種類から具体的な対策アプローチまで
  4. 04
    ステップ 04 図解即戦力 情報セキュリティの技術と対策がこれ1冊でしっかりわかる教科書
    図解即戦力 情報セキュリティの技術と対策がこれ1冊でしっかりわかる教科書
  5. 05
    ステップ 05 みんなのAWS 〜AWSの基本を最新アーキテクチャでまるごと理解!
    みんなのAWS 〜AWSの基本を最新アーキテクチャでまるごと理解!
  6. 06
    ステップ 06 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術
    Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術

第 1 章

実践理解!Webアプリケーション セキュリティ

  1. 実践理解!Webアプリケーション セキュリティ

    実践理解!Webアプリケーション セキュリティ
    この章の 1 冊 実践理解!Webアプリケーション セキュリティ

    Malcolm McDonald/Kazuhiko Yagami / マイナビ出版 / 2026

    Webブラウザからサーバーまで脆弱性の仕組みと防御策を体系的に習得する

    この本で身につくこと
    • 同一オリジンポリシー・Cookie・CSP などブラウザのセキュリティ機構がなぜ存在するかを攻撃者視点から説明できる
    • TLS・公開鍵暗号・ハッシュの原則を理解し、通信経路の暗号化設計の根拠を示せる
    • XSS・CSRF・クリックジャッキング・DNS ポイズニングなど主要な脆弱性クラスを分類し、防御策を選択できる
    • 認証・セッション・認可の各レイヤで生じる典型的な実装ミスと修正アプローチを説明できる

    想定読者: Webアプリを開発しており、セキュリティの全体像を体系的に把握したい中級開発者。Part 1でセキュリティ原則を学びたい入門者から、Part 2で脆弱性ごとの攻防を深掘りしたい経験者まで幅広く対応する

    本の詳細を見る →

  2. 実践 Webペネトレーションテスト : 攻撃者の視点で学ぶWebアプリケーションセキュリティ

    実践 Webペネトレーションテスト : 攻撃者の視点で学ぶWebアプリケーションセキュリティ
    この章の 1 冊 実践 Webペネトレーションテスト : 攻撃者の視点で学ぶWebアプリケーションセキュリティ

    西谷 完太/山崎 啓太郎/渡部 裕 / オライリー・ジャパン / 2025

    Webアプリの脆弱性を攻撃者視点でハンズオン習得する

    この本で身につくこと
    • Docker と Burp Suite を用いたペネトレーションテスト用ラボ環境を自前で構築できる
    • SQLインジェクション・XSS・CSRF・権限昇格など14種類の主要攻撃手法を実機演習で習得できる
    • 複数の脆弱性を組み合わせた現実的な攻撃シナリオを通じ、リスク評価の判断軸を持てる
    • WAFバイパスやアクセス制御回避など防御側の盲点になる技法を攻撃者視点で理解できる

    想定読者: セキュリティエンジニアやWebエンジニアで、ペネトレーションテストの実務スキルをゼロから体系的に身につけたい人。Docker + Burp Suite 環境を手元に用意して手を動かしながら学べる環境がある人。

    本の詳細を見る →

  3. Webセキュリティコンパクトガイドーー攻撃の種類から具体的な対策アプローチまで

    Webセキュリティコンパクトガイドーー攻撃の種類から具体的な対策アプローチまで
    この章の 1 冊 Webセキュリティコンパクトガイドーー攻撃の種類から具体的な対策アプローチまで

    佐々木 現興/佐々木 康介/株式会社ラック/福田 俊介/阿部 久珠幸/金子 春信 / 技術評論社 / 2025

    Webシステムを守るセキュリティ知識を攻撃手口から対策まで体系化する

    この本で身につくこと
    • ネットワークセキュリティの基本概念(防御システム・VPN・暗号化・クラウドセキュリティ)を整理できる
    • Emotetやランサムウェアの攻撃手口とエンドポイントセキュリティの現実的な対策を理解できる
    • マイクロセグメンテーションを含むランサムウェア対策のアプローチを説明できる
    • Webサイトの脆弱性診断に必要な知識・スキルと、実際の攻撃例を把握できる

    想定読者: Webシステムの開発・運用に携わるITエンジニアで、ネットワークセキュリティ・マルウェア対策・脆弱性診断・認証技術を一冊で体系的に把握したい人

    本の詳細を見る →

  4. 図解即戦力 情報セキュリティの技術と対策がこれ1冊でしっかりわかる教科書

    図解即戦力 情報セキュリティの技術と対策がこれ1冊でしっかりわかる教科書
    この章の 1 冊 図解即戦力 情報セキュリティの技術と対策がこれ1冊でしっかりわかる教科書

    中村行宏、若尾靖和、林静香 / 技術評論社 / 2021

    情報セキュリティの概念・攻撃手法・対策技術を体系的に習得する

    この本で身につくこと
    • CIAトライアドをはじめとする情報セキュリティの7要素と、OECDセキュリティガイドラインの考え方を説明できる
    • パスワード攻撃・マルウェア・標的型攻撃・SQLインジェクションなど主要サイバー攻撃の手口と分類を整理できる
    • 共通鍵・公開鍵暗号、PKI、デジタル証明書の仕組みをリスク管理の文脈で使い分けられる
    • リスクマネジメントのプロセス(情報資産分類→リスクアセスメント→リスクコントロール)を実務フローとして把握できる

    想定読者: 情報セキュリティマネジメント試験の受験を検討しているITエンジニアや情報システム担当者。セキュリティの基礎を図解で整理したい実務者にも向く

    本の詳細を見る →

  5. みんなのAWS 〜AWSの基本を最新アーキテクチャでまるごと理解!

    みんなのAWS 〜AWSの基本を最新アーキテクチャでまるごと理解!
    この章の 1 冊 みんなのAWS 〜AWSの基本を最新アーキテクチャでまるごと理解!

    菊池 修治、加藤 諒/城岸 直希、甲木 洋介/濱田 孝治/藤井 元貴/渡辺 聖剛/臼田 佳祐 / 技術評論社 / 2020

    AWS の基礎からサーバレス・データ基盤まで実践的に学ぶ

    この本で身につくこと
    • VPC・サブネット・セキュリティグループを組み合わせた AWS ネットワーク設計の基礎を理解できる
    • ECS/Fargate でのコンテナアプリ構築と CodePipeline・CodeBuild を使った CI/CD パイプラインを組める
    • AWS CDK を用いて Lambda・API Gateway・DynamoDB を組み合わせたサーバレスバックエンドを実装できる
    • Amazon S3・CloudFront による静的フロントエンド配信基盤を Vue.js アプリと合わせて構築できる

    想定読者: AWS を使ったサービス開発をこれから始めたいバックエンド・インフラエンジニア初学者

    前提知識: Linux の基本コマンド操作と TCP/IP・HTTP の概念 / Python または JavaScript/TypeScript の基礎的な読み書き能力 / git/GitHub の基本操作(clone・commit・push)

    本の詳細を見る →

  6. Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術

    Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術
    この章の 1 冊 Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術

    上野 宣 / 翔泳社 / 2019

    OWASP ZAPとBurp Suiteで実践するWebアプリケーション脆弱性診断

    この本で身につくこと
    • HTTPリクエスト・レスポンスの構造をセキュリティ診断の視点で読み解く力
    • OWASP ZAPを使った自動脆弱性スキャンの実行手順と結果の解釈
    • Burp Suiteを使ったプロキシ操作・パラメータ改ざんによる手動診断の技法
    • BadStore仮想マシンを使った実習環境でのSQLインジェクション・XSS等の再現と確認

    想定読者: Webアプリケーションの脆弱性診断を担当するセキュリティ担当者・開発者で、診断ツールの実践的な使い方を体系的に習得したい人

    本の詳細を見る →

続けて読む

次に読むロードマップ

全ロードマップを検索する →