忙しいWebアプリケーションエンジニアのためのWebセキュリティ第一歩

忙しいWebアプリケーションエンジニアのためのWebセキュリティ第一歩

Webセキュリティをどこで勉強すればいいのか分からないですよね

他の技術分野と同様にセキュリティの学習をネットで始めようとするエンジニアは多いと思いますが、これはかなり非効率と言えます。残念ながらネット上には所謂初心者サイトが少なく、踏み込んだ情報は散在していて体系的に学べる情報源は多くありません。

例として情報処理推進機構が公開しているセキュアプログラミング講座は非常によくまとまった情報源の一つですが、セキュリティ対策寄りの情報が主のため、Webセキュリティを発生原理から学習する材料としては情報が不足していると考えられます。

我々セキュリティエンジニアもお客様から「何から勉強すればいいか」というご質問を頂くことが多々ありますが、これといってオススメ出来るサイトが無いのが実情です。

Webセキュリティを基礎から効率的に学ぶには

これからWebセキュリティを学習される方には、Webアプリケーションセキュリティの第一人者である徳丸 浩 氏が書かれた書籍「体系的に学ぶ 安全なWebアプリケーションの作り方 (通称:徳丸本)」をオススメしています。


Webセキュリティ界隈で教科書として広く認知されており、Webアプリケーションエンジニアは必携と紹介する声も多い書籍です。

この本はタイトル通りWebアプリケーションエンジニア向けに書かれており、脆弱性が発生する原理から対策方法まで丁寧に解説されています。PHPがメインに解説されておりますが、脆弱性診断の発生原理は言語に依存しない部分も多いため、どの言語のエンジニアにも入門書としてオススメします。

著者の徳丸氏が発売時のエントリーでも述べられている通り、セキュリティの専門家のみが使う用語は極力避けられているため、開発者にとって非常に読み易いです。

ネットなどで「入門的な本なのに専門用語だらけで分かりにくい」という批判を目にすることがあります。これはもっともな意見ですが、しかしセキュリティの説明を専門用語を使わないで説明することも難しいと考えました。そこで、セキュリティの専門家のみが使う用語はできるだけ避け、開発者が知っておくべき用語は遠慮なく使うという方針を採用することにしました。
http://d.hatena.ne.jp/ockeghem/20110214/p1

セキュリティ用語は、原理を知らなかったりすると意味を連想しづらいものも多いですが、知らない用語が出る度に調べたりしていると本題に集中出来ません。これらの用語が少ない事でサクサク読み進めやすい構成になっていると思います。また、本書では攻撃の方法まで具体的に記載されており、付属の仮想環境で実際に試すことが可能です。やはり脆弱性の原理だけを説明されてもイメージが掴みづらいですし、実際に手を動かすと理解が深まります。

おわりに

この記事がこれからWebセキュリティを学習するエンジニアの後押しになれば幸いです。ただし、間違っても適当なサイトにアタックするのはやめましょう。

関連記事

ピックアップ記事

  1. IPA(独立行政法人 情報処理推進機構)から発表された「情報セキュリティ10大脅威 2018」では組…
  2. 忙しいWebアプリケーションエンジニアのためのWebセキュリティ第一歩 Webセキュリティをどこで…
  3. 「ローカルプロキシツール(BurpSuite)の紹介」 ローカルプロキシツールの有効性 We…
ページ上部へ戻る