Webセキュリティ・認証基盤学習パス

Domain

Webセキュリティ・認証基盤

HTTPの仕組みやWeb脆弱性の基礎から、暗号・認証・認可プロトコル、セキュアな設計思想、脅威モデリング、そして攻撃者視点の脆弱性診断まで、特定のフレームワークに依存しない普遍的な原理に基づいてWebセキュリティを体系的に学ぶ学習パス。

この分野の地形

Webセキュリティの地形は、攻撃という荒波が打ち寄せる海岸線から始まる、一連の防壁の連なりとして描ける。波打ち際にあたるのは「Web脆弱性の基礎」。 HTTP という土台の上で、なぜインジェクションや XSS が生まれるのか、その仕組みと根本対策を学ぶことが、すべての防御の起点となる。

内側へ進むと、城門にあたる「認証・認可」の関門がある。ステートレスな HTTP 上でいかに本人を確かめ、権限を委譲するか。その鍵を握るのが暗号技術であり、 OAuth・OIDC・パスキーといったプロトコルがトラスト（信頼）を形づくる。

さらに奥には「設計で守る」高台がある。対症療法的なバリデーションを越え、設計段階で脆弱性が入り込めない構造を作る思想と、脅威モデリングによる体系的な防御。そして最も外周には、攻撃者の視点に立つ「攻撃と診断」の物見櫓が立つ。守るためには、攻める側の思考を知らねばならない。この分野を貫く軸は、場当たりの対策ではなく「原理から多層に守る」という一貫した姿勢にある。

この地図を共有

難易度

入門

中級

上級

依存関係

必須前提

推奨前提

参考

グラフを計算中...

収録書籍

全 12 冊

暗号技術入門第3版

秘密の国のアリス

結城浩

セキュアなソフトウェアの設計と開発

脅威モデリングに基づく普遍的アプローチ

Loren Kohnfelder

実践理解！Webアプリケーションセキュリティ

Malcolm McDonald

ハッキングAPI

Web APIを攻撃から守るためのテスト技法

Corey Ball

OAuth徹底入門

セキュアな認可システムを適用するための原則と実践

Justin Richer、Antonio Sanso

OpenID Connect入門

アプリケーション開発者のための実践技術解説

土岐孝平

パスキーのすべて

導入・UX設計・実装

えーじ、倉林雅、小岩井航介

Real World HTTP 第3版

歴史とコードに学ぶインターネットとウェブ技術

渋川よしき

セキュア・バイ・デザイン

安全なソフトウェア設計

Dan Bergh Johnsson、Daniel Deogun、Daniel Sawano

体系的に学ぶ安全なWebアプリケーションの作り方第2版

脆弱性が生まれる原理と対策の実践

徳丸浩

Webセキュリティ担当者のための脆弱性診断スタートガイド第2版

上野宣が教える新しい情報漏えいを防ぐ技術

上野宣

ホワイトハッカー入門第2版

阿部ひろき

依存関係

01Real World HTTP 第3版体系的に学ぶ安全なWebアプリケーションの作り方第2版推奨前提 / HTTPの原理から脆弱性対策へ
理由: 認証もセッションもCookieもHTTPの上に成り立つ。まずHTTPの挙動を原理から押さえると、徳丸本で学ぶ脆弱性が「プロトコルのどの隙間で生まれるのか」を構造的に理解できる。
出典
- HTTP - MDN Web Docs
- OWASP Top 10 - OWASP Foundation
02体系的に学ぶ安全なWebアプリケーションの作り方第2版実践理解！Webアプリケーションセキュリティ推奨前提 / 国内定番から現代的全体像へ
理由: 徳丸本で脆弱性の原理と根本対策を固めたら、ブラウザからサーバーまで各層を横断する現代的な全体像で補強する。サプライチェーンや侵害後対応まで視野を広げ、防御の解像度を上げる。
出典
- OWASP Top 10 - OWASP Foundation
03体系的に学ぶ安全なWebアプリケーションの作り方第2版暗号技術入門第3版推奨前提 / 脆弱性の基礎から暗号の土台へ
理由: 脆弱性対策の全体像を掴んだら、その多くが依拠する暗号の土台へ降りる。ハッシュ・署名・公開鍵暗号の論理を理解しておくと、TLSやトークン検証を「魔法」ではなく原理で扱えるようになる。
出典
- A02:2021 Cryptographic Failures - OWASP Top 10
04暗号技術入門第3版 OAuth徹底入門推奨前提 / 暗号の土台から認可プロトコルへ
理由: 署名と公開鍵暗号の土台があって初めて、トークンベースの認可を正しく理解できる。OAuth 2.0は権限委譲のデファクトであり、その各グラントとフローを原理から学ぶ。
出典
- RFC 6749: The OAuth 2.0 Authorization Framework - IETF
05OAuth徹底入門 OpenID Connect入門推奨前提 / 認可のOAuthから認証のOIDCへ
理由: OAuth 2.0は本来「認可」のプロトコルで、それを誤用した擬似認証は脆弱性の温床になる。本人確認を標準化したOIDCへ進むことで、IDトークン検証を含む正しい認証の組み立てが分かる。
出典
- How OpenID Connect Works - OpenID Foundation
06暗号技術入門第3版パスキーのすべて推奨前提 / 公開鍵暗号からパスキーへ
理由: パスキーは公開鍵暗号方式を認証に応用した仕組み。暗号の基礎を押さえてから読むと、なぜサーバーにパスワードを保存せずフィッシング耐性が生まれるのか、チャレンジ署名の検証まで腑に落ちる。
出典
- Web Authentication: An API for accessing Public Key Credentials - W3C
- Passkeys (Passwordless Authentication) - FIDO Alliance
07OpenID Connect入門セキュア・バイ・デザイン推奨前提 / 認証・認可の実装から設計での排除へ
理由: 認証・認可を仕組みとして実装できるようになったら、視点を一段上げる。セキュア・バイ・デザインは、入力検証やエスケープという対症療法を越え、設計段階で不正なデータが入り込めない構造を作る発想を与える。
出典
- OWASP Proactive Controls - OWASP Foundation
08セキュア・バイ・デザインセキュアなソフトウェアの設計と開発推奨前提 / 設計思想から脅威モデリングのプロセスへ
理由: 型ベースの堅牢な設計思想を掴んだら、それを開発プロセスに組み込む段へ進む。STRIDEによる脅威モデリングは、アタックサーフェスと信頼境界を体系的に洗い出し、設計レビューの軸を与える。
出典
- Threat Modeling - OWASP Foundation
09実践理解！WebアプリケーションセキュリティハッキングAPI推奨前提 / 防御の基礎から攻撃者視点（API）へ
理由: 防御の原則を固めたら、攻撃者の視点を取り入れる。SPAやマイクロサービスで主戦場となったAPIの脆弱性（BOLA/IDOR等）を攻める側から学ぶと、堅牢なAPI設計を逆算できる。
出典
- OWASP API Security Project - OWASP Foundation
10体系的に学ぶ安全なWebアプリケーションの作り方第2版 Webセキュリティ担当者のための脆弱性診断スタートガイド第2版推奨前提 / 学んだ脆弱性を診断で検証へ
理由: 脆弱性の原理を学んだら、自分の手で確かめる。OWASP ZAPやBurp Suiteを使った動的解析で、理論として知っていた攻撃が実際のトラフィック上でどう成立するかを体感し、理論と実践の溝を埋める。
出典
- OWASP Web Security Testing Guide - OWASP Foundation
11セキュアなソフトウェアの設計と開発 Webセキュリティ担当者のための脆弱性診断スタートガイド第2版参考 / 脅威モデリングの想定を実機診断で実証へ
理由: 脅威モデリングで「どこが危ういか」を設計段階で洗い出したら、その想定が正しいかを実機の診断で確かめる。設計上の脅威と実際の挙動を突き合わせ、防御の実効性を確認する。
出典
- OWASP Web Security Testing Guide - OWASP Foundation
12実践理解！Webアプリケーションセキュリティホワイトハッカー入門第2版参考 / 防御の基礎から攻撃手法全般の視座へ
理由: Webの防御原則を押さえたら、視野をネットワークやサーバーを含む攻撃全般へ広げる。攻撃者の思考手順を知ることは、Webアプリ単体に閉じない能動的な防御の気付きをもたらす。
出典
- OWASP Top 10 - OWASP Foundation

次に探索する

全体の地図を見るすべての分野を見る