Webセキュリティを勉強するなら何から始める? 効率よく学ぶための3つのポイント 【初心者用】
Webセキュリティを勉強し始めた皆さん、
- 用語が難しくて挫折しそう
- 「何が分からないか」が分からないから質問もできない
こんな状態になっていませんか? 1年前のわたくし、もちゃじがまさにそうだったんです。ITど素人がWebセキュリティの世界に飛び込んではや1年。右も左も分からず、取りあえず目に付いたものから勉強していくスタイルだったので、いろいろとつまずいてきました。
そんな今の私だからこそ、Webセキュリティの勉強を始めたての自分に言いたいこと!
- 用語にひるむんじゃない!
- 勉強の順番をちゃんと考えれば「分からん」ストレスが減ってたかも?
- 教材には気を付けろ!
これら3つの「こうすれば理解が早かったんじゃなかろうかポイント」を、もちゃじの経験談を交えて紹介します。つまずきポイントを回避して、ストレス値最小限での勉強を目指していきましょう。
目次
ポイント1/用語にひるむな!
多分最初にこれがくると思うんです。カタカナ多いんですよね。分からない言葉はだいたいカタカナ。あと英語の略語。SQLとかXSSとかCSRFとかSSLみたいなやつ。あとその合体版もありますね。SQLインジェクションとか。もちゃじは最初、注射の種類かなと思ったくらいです。
最初のつまずきポイント、用語。
大丈夫です、心配しないで。「人間はどんなことにも慣れる存在」ってドストエフスキーが言ってました、たしか。
まずは用語のイメージをつかめ
知らないからおびえてしまうのであって、少しでも知っていけば仲良くなれる可能性があります。仲良くなるために、「イメージをつかもう作戦」でいきましょう。
最初から用語の意味を正しく理解するのは、なかなか難しいですよね。意味の理解はもとより、イメージすらできていないんですよね。言葉のみ知っている、という感じ。
未知なものや難解なものって、例え話だとイメージできたりしませんか? あれ、助かりますよね。ざっくりでもイメージできると、理解への光明が見えてきます。そんな感じで、最初は用語のイメージをなんとかざっくりでもつかみましょう。
そんな器用なことできないわ、と思いました? 思いますよね? もちゃじも思いました。そんなときにたどり着いたのが、とあるWebサイト。
イラスト付きで初心者に分かりやすく解説してくれていて、しかも文体がゆるい! どうでしょう? とっつきやすそうじゃないですか? もちゃじには大変とっつきやすく、イメージしやすかったです。導入にピッタリ。
「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
https://wa3.i-3-i.info/index.html
とっつきやすさ:★★★ 専門性:★
※このサイト執筆者も言及されていますが、「なんとなく分かる」を目的に書かれていますので、このサイトをとっかかりに、他のサイトで情報を補うのが良さそうです。
次に用語の意味を正しく理解
なんとなくイメージがつかめたら、徐々に硬めの文体に移りましょう。ざっくりふんわりとしているものを、固めていくイメージです。
もちゃじが用語を理解するには、ネットの海を徘徊、入眠剤と化した本を読み、最後は先輩に聞く、という流れを取っています。
いくつか説明文を読んでいく中で、「あ、そういうことか」と分かる時がやってきます(やってこないこともあります)。自分に合った解説にたどり着くまで探すのです。もしくは、寝かせるのです。信じてひたすら待ちましょう。
総務省「国民のためのサイバーセキュリティサイト 用語辞典」
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/glossary/glossary_01.html
とっつきやすさ:★★ 専門性:★★
総務省が提供しているサイトなので、お堅いのでは?と思うかもしれませんが、そんなことありません。むしろ国民に広く理解してもらうために作られているので、優しめに説明されています。
OWASP(Open Web Application Security Project)
https://owasp.org/
とっつきやすさ:★ 専門性:★★★
IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/
とっつきやすさ:★ 専門性:★★★
ここら辺になってくると前提条件が上がっている印象です。ある程度、の知識の土台がないと理解は難しいかな、と感じます。というか、もちゃじは白目でした。
ポイント2/まずはこれを学べ!
事例が多く、勉強しやすい「三大脆弱性」
Webセキュリティと切っても切れない関係なのが、「脆弱性」。ここを理解していないとセキュリティの話につながっていきません。脆弱性なんて、それこそ星の数ほどあるので何から手を付ければと思うかもしれませんが、有名どころを押さえればいいんです! まずは三大脆弱性から始めましょう。
三大脆弱性
- SQLインジェクション
- クロスサイトスクリプティング(XSS)
- クロスサイトリクエストフォージェリ(CSRF)
三大脆弱性から勉強を始めるメリットは、事例が多いため、ゆるめから硬い文体まで書かれているものが多く、自分にとって分かりやすく書かれたものに行き当たりやすい、ということです。文体の硬度は難易度に比例する(もちゃじ調べ)と思っているので、事例が豊富なのは勉強する身にはうれしいですね。頻出単語ですから。押さえましょう!
もちゃじ渾身の三大脆弱性の記事もあるので、良かったら読んでみてください。
当サイトのブログ
SQLインジェクションとは?対策は?例を使って分かりやすく解説!
クロスサイトスクリプティング(XSS)とは?対策は?例を使って分かりやすく解説!
クロスサイトリクエストフォージェリ(CSRF)とは?対策は?例を使って分かりやすく解説!
とっつきやすさ:★★★ 専門性:★★
脆弱性を学んでいく中で、「データベース」「サーバー」「スクリプト」などの用語を理解していないと進めないことが出てくるかと思います(もちゃじ実体験)。
そこでひるみそうですが、ぐっと堪えてまずは概念から。概念をなんとなくつかめたら「おお、すごいじゃないか!」と、ここで自分を褒めましょう。なんたって初心者なのですから。分からないことに目を向け続けると、諦めのささやきに支配されてしまいますから、ここは自己肯定感高くいきましょう。
自分「サーバーの動きなんとなく分かったかも」
脳内親「え、もうなんとなく分かったの? この子天才かもしれないわ〜」
自分「そうかなぁ? じゃあもうちょっと詳しく調べようかな〜?」
脳内親「さらに知ろうとするなんて、末は博士か大臣か!」
脳内自分子育て、おすすめです!
もちゃじのつまづきポイント
決して「ペネトレーションテスト」から勉強を始めてはいけない(もちゃじ経験談)。
そんな人はまれだと思いますが、右も左も分からない人が最初にペネトレーションテストを勉強してはいけません(大事なので2回言いました)。
「どうせ全部分からないんだから」と、手当たり次第もいけません。モノには理解しやすい順番ってものがあってだな。何から学ぶか、その順番はストレス値に直結するぞ(したぞ)。学ぶ順番を軽視したことがもちゃじのつまずきポイントでもありました。
ポイント3/教材には気を付けろ! まずは平易なものから
初心者がいきなり「OWASP」や「徳丸本」で有名な徳丸浩氏のコンテンツ(ブログやTwitter、YouTube)は、ハードルが高いということ、声を大にして言いたい!
両方ともWebセキュリティを勉強するからには、スルーできないところです。初心者のもちゃじも、先輩からその名を聞き、早速見てみましたが、全く理解できず心が折れそうになりました。
何が言いたいかというと、初心者がいきなり専門的なコンテンツを見るとつまずくぞ! ということ。
英語を勉強し始めた頃、英検4級を目指しているレベルで、TOEICに挑戦するようなものなんです。挫折の予感しかない。
自分のレベルに合ったものを、迷わず初心者用、入門編を選びましょう。
実際に使ってみて良かったおすすめ教材
では、実際にもちゃじが使ってみて、分かりやすい! と思った教材をご紹介しますね。
書籍
もちゃじ最初の1冊はこれ
図解まるわかり セキュリティのしくみ(Amazonの購入ページへ)
著者:増井 敏克
情報が多すぎないのがうれしいポイント。セキュリティの基本的な考え方から、攻撃や脆弱性への対応、セキュリティに関する法律やルールまで分かりやすく書かれています。会員特典として、追加コンテンツのダウンロードもできます(予告なく終了することがあります)。
個人的には、青系の色味なのが気に入っています。勉強する時は青ペンを使うと頭に入るっていう都市伝説を信じているもちゃじ。
先輩や上司から、俺も読んだぞと言われた
イラスト図解式 この一冊で全部分かるWeb技術の基本(Amazonの購入ページへ)
著者:NRIネットコム株式会社 小林 恭平・坂本 陽
監修:佐々木 拓郎
いつまでたってもレベルアップの様子がないもちゃじに対して、優しい先輩と上司から勧められた初心者用の一冊。「Web」についての基本的な概念を教えてくれます。この本を読んだ時「『Webセキュリティ』を勉強するなら『Web』からだよな。こっちから先に読めば良かった」と思ったものです。紙質がしっかりしているので、書き込みたい人にもピッタリ。色はオレンジ系です。
Webサイト
総務省「国民のためのサイバーセキュリティサイト」
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/index.html
総務省が提供しているサイト。用語辞典もご紹介しましたが、その他のコンテンツも充実しており、平易な文章で書かれているのがうれしい。項目の説明も簡潔で、むしろ、初学者はこのサイトを熟読しておけばいいのでは?と思うくらい。
オンライン学習
もちゃじはUdemyで講座を購入しました。Webセキュリティで絞り込むとたくさんの講座が出てきて迷います。ベストセラーか、評価が高いか、内容をよく読み購入を検討してくださいね。もちゃじはプレビューで、内容もですが、講師の方の声や話し方もチェックしました。(声の相性ってある気がします)
そして選んだのが、こちら
【セキュリティ知識を深める!】情報セキュリティ基礎+情報セキュリティマネジメント試験 合格講座
https://www.udemy.com/course/securitymanagement/
図やイラスト多めの解説、その後にクイズが出されるので、身についたかどうかが分かって楽しい。講師の先生の声も優しげで良い!
Udemyはちょくちょくセールを行っているので、セール期間中を狙って購入するといいですよ。
デモ動画
これは少し今までご紹介したのと毛色が違いますが、脆弱性のデモ動画がとても良かったです。脆弱性がある場合、どんなふうに攻撃されてしまうのか実際に見られて、なるほど、と納得。実際の動きを見ることによって、一気に理解が深まりました。
デモ動画があったら見てみることをおすすめします。
もちゃじが見たのは、元々は先輩が展示会用に作ったデモ動画だったのですが、展示会でも好評だったので、なんと作り直してしまいました。
良かったら、学習の参考にどうぞご覧ください。
当サイトのブログ
クロスサイトスクリプティング(XSS)の例を動画で解説!【デモ動画シリーズ第1回】
SQLインジェクションの例を動画で解説!【デモ動画シリーズ第2回】
権限の不備の例を動画で解説!【デモ動画シリーズ第3回】
パストラバーサルの例を動画で解説!【デモ動画シリーズ第4回】
とっつきやすさ:★★★ 専門性:★★
まとめ
もちゃじ的「Webセキュリティ勉強するなら」、3つのポイントをご紹介しました。
①用語にひるむ必要なし。概念をつかんでから、イメージを固めよう
②まずは脆弱性から勉強を始めよう
③教材は初心者用の平易なもの、OWASPはもう少し成長してから!
せっかくWebセキュリティを学ぼうとしているのですから、挫折の気配が漂ったり、ストレスになったらつまらないですよね。理解できると楽しくなってくるのが勉強と聞いたので、つべこべ言わずに初心者用の教材を手に取るべし!
今回出てきた用語
| OWASP | Open Web Application Security Projectの略で読みは「オワスプ」。WebセキュリティやWebアプリケーションについて研究し、技術の共有や普及を目的にしているオープンソースコミュニティー。 |
ふう、書き終えた
使わなくなったPCをそろそろ処分したいと思いつつ、腰が重いまま年末がすぐそこに。(記事の公開は年明けになりました)
ライター/もちゃじ
IT業界に縁なく秘書畑をさすらい、前職はインドで社長秘書。ほぼ日本語とパッションのみで乗り切ったずうずうしさはスキルの一つか。完全なインドア派ながらたまにふらりと旅に出る。行き場のない母性を持て余し、友人の犬を溺愛するもほえられる。体が硬く、インドでヨガティーチャーに笑われたことに深く傷つく一面も。
ITド素人の私がWebセキュリティについて学び、レベルアップしていく(予定です)様子をお届けします。学びを発信することで、少しでもWebセキュリティに関する「難しそう」というイメージが下がり、苦手意識のある方たちに届いたらうれしいです。