セキュリティ学習コンテンツ
概要
ID/認証システムを安全に構築・運用するためのセキュリティ知識を体系的に学ぶコンテンツ集です。
セキュリティ知識の全体像
┌─────────────────────────────────────────────────────────────────────────┐
│ ID/認証システムのセキュリティ │
└─────────────────────────────────────────────────────────────────────────┘
│
┌───────────────────────────┼───────────────────────────┐
│ │ │
▼ ▼ ▼
┌───────────────┐ ┌───────────────┐ ┌───────────────┐
│ 基礎知識 │ │ 実装技術 │ │ 運用・監視 │
│ (なぜ守る?) │ │ (どう守る?) │ │ (守れてる?) │
└───────┬───────┘ └───────┬───────┘ └───────┬───────┘
│ │ │
▼ ▼ ▼
・OWASP Top 10 ・セキュリティヘッダー ・セキュリティログ
・入力バリデーション ・セッション管理 ・異常検知
・トークン保存 ・インシデント対応
・OAuth/OIDCセキュリティ
・クレデンシャル攻撃対策
═══════════════════════════════════════════════════════════════════════════
【攻撃と対策の対応関係】
攻撃手法 対策
─────────────────────────────────────────────────────────────
SQLインジェクション ───────> パラメータ化クエリ、ORM
XSS ───────> HTMLエスケープ、CSP
CSRF ───────> CSRFトークン、SameSite Cookie
セッションハイジャック ───────> HTTPS、HttpOnly Cookie
Authorization Code横取り ─────> PKCE
ブルートフォース ───────> レート制限、アカウントロック
パスワードスプレー ───────> グローバルレート制限、MFA
═══════════════════════════════════════════════════════════════════════════
【多層防御(Defense in Depth)】
┌─────────────────────────────────────────────────────────┐
│ Layer 1: ネットワーク │
│ WAF, DDoS対策, IP制限 │
├─────────────────────────────────────────────────────────┤
│ Layer 2: トランスポート │
│ HTTPS(TLS), HSTS, 証明書検証 │
├─────────────────────────────────────────────────────────┤
│ Layer 3: アプリケーション │
│ 入力バリデーション, 出力エスケープ, CSP │
├─────────────────────────────────────────────────────────┤
│ Layer 4: 認証・認可 │
│ MFA, PKCE, セッション管理, スコープ制御 │
├────────────────────────────────────��─────────────────────┤
│ Layer 5: データ │
│ 暗号化, ハッシュ化, 最小権限 │
├─────────────────────────────────────────────────────────┤
│ Layer 6: 監視・検知 │
│ ログ, SIEM, アラート, インシデント対応 │
└─────────────────────────────────────────────────────────┘
対象読者
- Webアプリケーション開発者
- ID基盤・認証システム開発者
- セキュリティエンジニア
- 運用担当者
所要時間について: 各ドキュメントの所要時間は目安です。初学者の方は2〜3倍の時間を見込んでください。
はじめに読むべきドキュメント
| ドキュメント | 説明 |
|---|---|
| 用語集 | セキュリティ用語の解説。わからない用語があればここを参照 |
コンテンツ一覧
基礎知識
| ドキュメント | 学べること | 所要時間 |
|---|---|---|
| OWASP Top 10とID/認証 | OWASP Top 10の脆弱性をID・認証の観点で理解 | 30分 |
| 入力バリデーシ�ョン | インジェクション攻撃(SQL, XSS, コマンド)の仕組みと対策 | 25分 |
OAuth/OIDC セキュリティ
| ドキュメント | 学べること | 所要時間 |
|---|---|---|
| OAuth 2.0セキュリティ脅威 | PKCE, state, nonce等の標準的なセキュリティ対策 | 30分 |
| トークン保存のセキュリティ | トークンの保存場所(メモリ/Cookie/localStorage)の比較 | 20分 |
Webセキュリティ
| ドキュメント | 学べること | 所要時間 |
|---|---|---|
| セキュリティヘッダー | HSTS, CSP, SameSite Cookie等のHTTPヘッダー設定 | 30分 |
| セッションセキュリティ | セッション固定攻撃、ハイジャック対策、Cookie属性 | 25分 |
攻撃対策
| ドキュメント | 学べること | 所要時間 |
|---|---|---|
| クレデンシャル攻撃対策 | ブルートフォース、クレデンシャルスタッフィング、パスワードスプレー対策 | 30分 |
運用セキュリティ
| ドキュメント | 学べること | 所要時間 |
|---|---|---|
| セキュリティログと監視 | 監査ログ設計、異常検知、SIEM連携 | 25分 |
学習パス
初心者向け(推奨順序)
1. OWASP Top 10とID/認証
↓
2. 入力バリデーション
↓
3. OAuth 2.0セキュリティ脅威
↓
4. セッションセキュリティ
実装者向け
1. セキュリティヘッダー
↓
2. トークン保存のセキュリティ
↓
3. クレデンシャル攻撃対策
運用者向け
1. セキュリティログと監視
↓
2. クレデンシャル攻撃対策(検知の観点)
関連リソース
外部リファレンス
- OWASP Top 10
- OWASP Cheat Sheet Series
- OAuth 2.0 Security Best Current Practice
- NIST Digital Identity Guidelines
関連する学習コンテンツ
- OAuth基礎 - OAuth 2.0の基本概念
- OpenID Connect - OIDC認証フロー
- JWT/JOSE - トークンの構造と署名
- 暗号技術 - 暗号アルゴリズムの基礎
チェックリスト
学習完了後、以下を確認できるようになることを目指します:
- OWASP Top 10の主要な脆弱性を説明できる
- SQLインジェクション、XSSの攻撃と対策を説明できる
- OAuth 2.0のセキュリティ対策(PKCE, state, nonce)を実装できる
- 適切なセキュリティヘッダーを設定できる
- セッション管理のベストプラクティスを適用できる
- トークンの安全な保存場所を選択できる
- クレデンシャル攻撃への対策を実装できる
- セキュリティログの設計と異常検知ルールを作成できる
最終更新: 2025-12-25