Webエンジニア・セキュリティエンジニアが知っておくべきセキュリティ用語を解説。XSS・SQLインジェクション・CSRF・JWT・OAuth・ゼロトラストなどを現役エンジニアが分かりやすく説明します。
「あなたは誰か」を確認すること。パスワード・生体認証・MFA(多要素認証)が代表的な手段。認可(Authorization)と区別して覚える。
「あなたは何をしてよいか」を制御すること。認証済みのユーザーに対して、リソースへのアクセス権限を付与・制限する。
データを第三者が読めない形式に変換すること。共通鍵暗号(AES)・公開鍵暗号(RSA・ECC)の2種類が基本。
通信の暗号化・認証に使うプロトコル。ブラウザとサーバー間のHTTPS通信を守る。TLSがSSLの後継だが、慣習的に「SSL証明書」と呼ばれる。
悪意あるスクリプトをWebページに埋め込み、他ユーザーのブラウザ上で実行させる攻撃。入力値のエスケープ処理が基本対策。
悪意あるSQL文をフォーム等から入力してDBを不正操作する攻撃。プリペアドステートメントの使用が根本的な対策。
ユーザーが意図しないリクエストを罠サイトから送信させる攻撃。CSRFトークンやSameSite Cookieで対策する。
ソフトウェア・システムに存在するセキュリティ上の弱点。CVEで管理・公開され、CVSSスコアで深刻度を評価する。
認証情報をBase64エンコードされたJSONとして運ぶトークン規格。ヘッダー・ペイロード・署名の3部構成。APIの認証で広く使われる。
外部サービスへの権限委譲を安全に行うための認可フレームワーク。「Googleでログイン」などソーシャルログインの基盤。
「社内ネットワークだから安全」という前提を捨て、すべてのアクセスを常に検証するセキュリティモデル。リモートワーク普及で注目が高まっている。
Webアプリケーションの主要な脆弱性を10種類にまとめたリスト。XSS・SQLi・CSRF・認証不備・シークレット露出などが含まれる。Webエンジニア必修の知識。
「認証はIDカードで本人確認すること、認可はIDカードを見せた後で入れる部屋が決まること」というアナロジーが分かりやすいです。AuthN(Authentication)とAuthZ(Authorization)と略されます。
XSSは「攻撃者のスクリプトを被害者のブラウザで実行させる」攻撃。CSRFは「被害者に意図しないリクエストを送らせる」攻撃です。どちらもWebアプリの重要な脆弱性ですが、原因と対策が異なります。
はい。OWASPトップ10の脆弱性は、バックエンド・フロントエンドを問わず全エンジニアが理解すべき内容です。特に認証・入力バリデーション・暗号化の知識はコードレビューでも問われます。
ITエンジニア向け転職サービス2強を並行利用するのが最も効果的です。
※どちらも完全無料。登録だけで市場価値を確認できます。