TL
ホーム/ セキュリティ

SECURITY TRACK

セキュリティ

OAuth・OIDC・JWT などの認証・認可の方式の比較から、XSS・SQLインジェクション・最小権限といった攻撃と防御の考え方まで。まず TL;DR で。

14
Methods
20
TL;DR
DEFENSE の方式・製品・原則をつなぎ、守る判断力を養う入口です。

Identity Index

認証・認可の方式から知る

「結局どれで認証する?」を、目的・トークン・強み弱みで比較できます。

方式を比較する →
OAuth 2.0認可(アクセス委譲)OpenID Connect認証(本人確認)SAML 2.0認証(エンタープライズ SSO)JWT認証/認可情報の運搬セッション認証(Cookie)認証API キー認証(主に機械間)mTLS(相互 TLS)相互認証

Defense Index

セキュリティ製品・対策から知る

EPP・EDR・WAF・SASE・ID 管理… 何を守る製品? カテゴリと代表サービスを整理。

製品カテゴリを見る →
エンドポイント保護(EPP)端末をマルウェアから保護EDR / XDR侵入後の検知・対応WAF(Web アプリケーションファイアウォール)Web アプリ層の攻撃を遮断SASENW とセキュリティをクラウド統合SSE(Security Service Edge)SASE のセキュリティ部分ID 管理(IAM / IDaaS)誰が何にアクセスできるかを管理SIEMログを集約し脅威を検知

Concept Map

攻撃と防御・考え方

XSS・SQLインジェクション・最小権限など、守るために知っておく土台。まず TL;DR で。

TL;DR中級

CSRF(クロスサイトリクエストフォージェリ)

ログイン中のあなたのブラウザを“代理人”にして、罠サイトが本物サイトへ勝手にリクエストを送らせる攻撃。Cookie が自動で付く性質を悪用される。

TL;DR基礎

DDoS 攻撃と対策

多数の機器から大量のトラフィックを送りつけ、サービスを過負荷で停止させる攻撃です。CDN や WAF、レート制限などで緩和します。

TL;DR中級

OWASP Top 10

Web アプリで特に頻出かつ影響の大きい脆弱性リスクを、OWASP が定期的にランキング化したものです。設計・レビューの共通言語として使われます。

TL;DR中級

SQL インジェクション

入力欄に書いた文字列を SQL の一部として実行させてしまう攻撃。ログイン回避やデータ全件漏洩につながる。文字列連結をやめ、プレースホルダ(プリペアドステートメント)で値を「データ」として渡すのが本質的対策。

TL;DR中級

SSRF(サーバサイドリクエストフォージェリ)

攻撃者がサーバを操り、任意の宛先へリクエストを送らせる攻撃です。外部からは届かない内部資源やクラウドメタデータが狙われます。

TL;DR中級

XSS(クロスサイトスクリプティング)

他人の入力をそのまま画面に出すと、その文字列が「JavaScript」として動いてしまう。攻撃者のスクリプトを他ユーザーのブラウザで実行させ、Cookie やセッションを盗む攻撃。

TL;DR中級

クリックジャッキング

透明にした他サイトのフレームを重ね、ユーザーに意図しないクリックをさせる攻撃です。X-Frame-Options や CSP の frame-ancestors で防ぎます。

TL;DR中級

サプライチェーン攻撃

依存ライブラリやビルド経路など、ソフトウェアの調達過程を汚染して多数の利用者を一度に侵害する攻撃です。SBOM や署名、依存検証で対策します。

TL;DR中級

シークレット管理

API キーやパスワード、トークンなどの機密情報を、漏れにくく差し替えやすい形で安全に保管・配布する取り組みです。

TL;DR中級

セキュリティヘッダ

HTTP レスポンスヘッダでブラウザの挙動を制御し、XSS やクリックジャッキングなどへの防御を一段上乗せする仕組みです。

TL;DR中級

ゼロトラスト

「社内ネットワークだから安全」をやめる設計思想。誰であろうとどこからであろうと、アクセスのたびに本人・端末・権限を検証し、侵害は起きる前提で被害を封じ込める。

TL;DR中級

パスワードの安全な保存(ハッシュとソルト)

パスワードは「平文で保存しない」のが大前提。だが単純なハッシュ化だけでは破られる。ソルトで使い回しを潰し、bcrypt/Argon2 でわざと遅くするのが正解。

TL;DR基礎

ハッシュ化と暗号化の違い

ハッシュ化は元に戻せない一方向変換(検証用)、暗号化は鍵で戻せる可逆変換(秘匿用)です。目的が違い、混同が事故を招きます。

TL;DR中級

ペネトレーションテスト

攻撃者の視点で実際に侵入を試み、悪用できる弱点と影響を確かめる診断です。脆弱性スキャンと違い、見つけた穴を実際に突いて検証する点が特徴です。

TL;DR基礎

レート制限

一定時間あたりのリクエスト回数に上限を設け、総当たりや DoS、API の乱用を防ぐ仕組みです。トークンバケットなどのアルゴリズムで実装します。

TL;DR基礎

暗号の基礎(共通鍵・公開鍵・ハッシュ・署名)

暗号は「隠す」だけの道具ではない。秘匿(共通鍵/公開鍵)・改ざん検知(ハッシュ)・本人保証(署名)という別目的の道具を、用途で正しく使い分けるのが要点。

TL;DR中級

公開鍵基盤(PKI)と証明書

公開鍵が「確かに本人のものか」を第三者の認証局が保証する仕組みです。証明書チェーンと失効の管理で成り立ち、TLS の土台になっています。

TL;DR中級

最小権限の原則と多層防御

「とりあえず全権限」をやめ、必要な分だけ渡す。さらに防御を一枚ではなく何層も重ねて、どこか1つ破られても被害を止める設計の考え方。

TL;DR基礎

多要素認証(MFA)

パスワードに加えて「所持」や「生体」など別の要素を組み合わせ、パスワード漏洩だけでは突破されないようにする認証方式です。

TL;DR中級

認証と認可の違い

認証(AuthN)は「あなたは誰か」、認可(AuthZ)は「あなたは何をしてよいか」。順番も役割も別物で、混同すると「ログインさえすれば全部見える」事故になる。