徳丸浩のWebセキュリティ教室

著者 : 徳丸浩

• 日経BP (2015年10月22日発売)

作品紹介・あらすじ

Webサイトを狙った攻撃が相次いでいる。

多くの企業にとって、仕事のうえで欠かせないWebサイトが乗っ取られたり、不正侵入されたりすると、会社の信用も含めて被害は甚大なものになる。つまりセキュリティ確保は喫緊の課題なのだ。

もちろんWebサイトをビジネスに活用している企業にとって、Webセキュリティは技術者だけの問題ではない。ユーザー部門やマネジメント層も関わるべき重要な課題だ。

そこで本書では、Webセキュリティの第一人者である徳丸浩氏に、Webセキュリティの本質や新常識について分かりやすく解説してもらう。

感想・レビュー・書評

[takehiko102982さんの感想 · 2022年11月12日]

よくまとまっているし、事例や技術解説も豊富なのでよい。ただ、連載をまとめたものなのか、重複が多いのが気になる。読む分には問題ないけど。発行年が古いので直接参考になるものは多くないかもしれないが、今のセキュリティルールがなぜそうなっているのかがわかるので、セキュリティの歴史を知る上でも過去の本を読むのは意味がある気がする。

[ふうさんの感想 · 2019年12月18日]

雑誌に掲載された記事とのことなので、何度か同じ内容が出ていた。（仕方がないけど） Webサイトへの侵入手口が図で書かれていて、わかりやすかった。いろんな攻撃方法があるんだなぁと思ったと同時に自分も気をつけなきゃなと思った。

[shotatoyodaさんの感想 · 2019年1月21日]

Wordsメモ
脆弱性、パスワード、SQLインジェクション、XSS、CSRF、ファイアウォール、、HTTPS、安全なウェブサイトの創り方、JavaScript、IPA、クッキー

tipsメモ
○ウェブサイトの侵入経路は二種類。
・ソフトウェアの脆弱性を悪用
・認証を突破

○2012パソコン遠隔操作事件
→CSRF。2ちゃんねるに投稿したページにJavaScriptを仕込み、犯行予告を掲示板に投稿させた。
・投稿したのは被害者のPC
→捜査当局は投稿元のIPアドレスを過信し誤認逮捕へ。

○XSS
　→意図しないJavaScriptが実行される。
・JavaScriptからクッキーにアクセスできる
→クッキーを盗めなくてもウェブページの情報を盗める
→ウェブブラウザからは実行されたJavaScriptがどこに配置されているか判別できない
→HTMLのエスケープ対策等の必要あり

メモ
日経コンピュータのウェブセキュリティ関連の連載をまとめた本。
エンタープライズ向けの実例が多い。
SQLインジェクションが比較的多い。

[tarojiroroさんの感想 · 2016年10月23日]

雑誌の連載のまとめた内容になっているためか、読みやすく、スイスイ読み進めていける内容だった。それぞれに内容について具体的に知りたい場合は、以前に出た”徳丸本”を読むのがいいと思う。

[りりーさんの感想 · 2016年2月9日]

他の本の批判が目立ちすぎる。

[sou (08thse)さんの感想 · 2016年1月13日]

情報システムのセキュリティ入門書。
どちらかというと一般人（というか発注者側）向けであり、技術的に細かい話はほとんどありません。

[yusuke0205さんの感想 · 2015年12月6日]

セキュリティ担当者にとっての基礎知識を得るため、本書は必読。

著者プロフィール

1985年京セラ株式会社に入社後、ソフトウェアの開発。企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会を通じてセキュリティの啓蒙活動を行っている。EGセキュアソリューションズ株式会社代表、OWASP Japanアドバイザリーボード、独立行政法人情報処理推進機構（IPA）非常勤研究員。

「2018年 『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』 で使われていた紹介文から引用しています。」