Skilore
Skilore
ログイン無料登録

セキュリティ基礎

セキュリティはソフトウェア開発の基盤。OWASP Top 10、暗号技術、ネットワークセキュリティ、アプリケーションセキュリティ、クラウドセキュリティ、セキュリティ運用まで、エンジニアに必要なセキュリティ知識を体系的に解説する。

7 セクション
25 ガイド

01Basics

01

セキュリティ概要

情報セキュリティの根幹であるCIA三原則から、追加属性、脅威分類、リスク評価、主要フレームワーク、多層防御、セキュリティ組織文化まで体系的に解説する。セキュリティの全体像を俯瞰し、以降の各章で深掘りする内容の基盤を構築する。

02

脅威モデリング

システムに潜む脅威を体系的に洗い出すためのSTRIDE、DREAD、PASTA、アタックツリー、データフロー図、キルチェーン分析を用いた実践的手法を解説する。設計段階でのセキュリティ組み込みにより、修正コストを数十倍削減する脅威モデリングの全体像を習得する。

03

セキュリティ原則

最小権限、多層防御、ゼロトラスト、セキュアバイデフォルトなど、堅牢なシステム設計の土台となるセキュリティ原則を解説する。これらの原則は1975年にSaltzerとSchroederが発表した「The Protection of Information in Computer Systems」に端を発し、50年経った現在でもすべてのセキュアシステム設計の基盤である。

02Web Security

04

OWASP Top 10

Webアプリケーションにおける最も深刻な10のセキュリティリスクを、攻撃手法・影響・対策コード付きで包括的に解説する。

05

XSS対策

Reflected、Stored、DOM-based XSSの各攻撃手法を理解し、エスケープ、CSP、サニタイゼーションによる多層防御を実装する。

06

CSRF/クリックジャッキング

CSRF(クロスサイトリクエストフォージェリ)とクリックジャッキングの攻撃メカニズムを解説し、トークン方式、SameSite Cookie、X-Frame-Optionsによる防御を実装する。

07

インジェクション

SQL、NoSQL、コマンド、LDAPインジェクションの攻撃手法と、パラメータ化クエリ、ORM、入力検証による体系的な防御策を解説する。

08

認証脆弱性

パスワード管理、セッション管理、ブルートフォース対策、多要素認証、JWTセキュリティを中心に、安全な認証システムの設計と実装方法を包括的に解説する。認証は「あなたは誰か」を確認するプロセスであり、その脆弱性は直接的な不正アクセスにつながるため、セキュリティにおいて最も重要な領域の一つである。

03Cryptography

09

暗号基礎

対称鍵暗号、非対称鍵暗号、ハッシュ関数、MAC、暗号化モード(AES-GCM)、ハイブリッド暗号方式を体系的に解説し、安全な暗号実装の基盤を構築する。暗号技術はセキュリティの土台であり、「なぜそのアルゴリズムを選ぶのか」「なぜその使い方が危険なのか」を理解することが、安全なシステム設計の第一歩である。

10

TLS/証明書

TLS ハンドシェイクから証明書チェーン、Let's Encrypt による自動化、mTLS まで、安全な通信の基盤技術を体系的に学ぶ

11

鍵管理

暗号鍵のライフサイクル管理、HSM/KMS による安全な鍵保管、エンベロープ暗号化の仕組みまで、暗号鍵を正しく運用するための包括的ガイド

04Network Security

12

ネットワークセキュリティ基礎

ファイアウォール、IDS/IPS、VPN を中心に、ネットワーク層でのセキュリティ対策を体系的に学ぶ

13

DNS セキュリティ

DNSSEC による応答の完全性保証、DNS over HTTPS によるプライバシー保護、ポイズニング対策まで、DNS に対する脅威と防御手法を体系的に学ぶ

14

API セキュリティ

OAuth 2.0/JWT による認証認可、レートリミットによる過負荷防止、入力検証による攻撃防御、GraphQL セキュリティまで、API を安全に公開するための包括的ガイド

05Application Security

15

セキュアコーディング

入力検証、出力エンコード、安全なエラーハンドリングを中心に、アプリケーションコードレベルでの脆弱性を防止するための実践的ガイド。OWASP Top 10 に対応したセキュアコーディングの原則、具体的な攻撃手法と防御策、言語別ベストプラクティスを網羅する。

16

依存関係セキュリティ

SCA (Software Composition Analysis) による脆弱性検出、Dependabot による自動更新、SBOM による可視化まで、サードパーティ依存関係のリスクを管理するガイド。サプライチェーン攻撃の内部メカニズム、推移的依存関係の深層分析、規制対応まで網羅する。

17

コンテナセキュリティ

コンテナイメージのスキャン、最小権限でのランタイム保護、安全な Dockerfile の書き方、Kubernetes のセキュリティポリシーまで、コンテナ化されたアプリケーションを守るための包括的ガイド

18

SAST/DAST

静的解析 (SAST) と動的解析 (DAST) の特性を理解し、SonarQube や OWASP ZAP を活用して CI/CD パイプラインにセキュリティテストを組み込むガイド

06Cloud Security

19

クラウドセキュリティ基礎

責任共有モデルの正しい理解、IAM による最小権限アクセス制御、保存時・転送時の暗号化まで、クラウド環境のセキュリティ基盤を体系的に学ぶ

20

AWS セキュリティ

GuardDuty による脅威検知、Security Hub による統合管理、CloudTrail による監査ログまで、AWS 環境を安全に運用するための実践ガイド

21

IaC セキュリティ

tfsec、Checkov によるインフラコードの自動セキュリティチェック、ポリシー as コードによるガバナンス適用まで、Infrastructure as Code のセキュリティを体系的に学ぶ

07Operations

22

インシデント対応

インシデント対応フローの設計、CSIRT の組織体制、フォレンジック調査の手法、自動化による封じ込めまで、セキュリティインシデント発生時に迅速かつ正確に対応するためのガイド。インシデント対応は「技術」だけでなく「プロセス」と「人」の三位一体で成り立つ。

23

監視/ログ

SIEM によるログの集約・相関分析、効果的なログ収集アーキテクチャ、異常検知の手法まで、セキュリティ監視の基盤を体系的に学ぶ

24

コンプライアンス

GDPR、SOC 2、PCI DSS を中心に、セキュリティに関する法規制・業界標準への準拠方法と実装のポイントを体系的に学ぶ

25

セキュリティ文化

DevSecOps による開発プロセスへのセキュリティ統合、バグバウンティプログラムの運用、組織全体のセキュリティ意識を向上させるための実践ガイド