Shelfy
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
中級者ベストセラープログラミング

【要約・書評】『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践』の評判・おすすめポイント

徳丸浩|SBクリエイティブ|2018-06-20|688ページ

5.0
(4件)
¥3,520Amazonで購入楽天ブックスKindle版

この本を一言で言うと

通称「徳丸本」——SQLインジェクション・XSS・CSRFなど主要脆弱性の原理と対策を体系的に解説した、Webセキュリティのバイブル的一冊。

この本の概要

著者の徳丸浩氏はWebセキュリティの第一人者として知られており、本書は「徳丸本」の通称で親しまれているWebセキュリティの定番書だ。2011年の初版刊行から約7年ぶりに改訂された第2版で、現在のWeb環境の変化に対応した内容になっている。実習環境付き(VirtualBox仮想マシン)で実際に脆弱性を体験しながら学べる構成が大きな特徴だ。 本書の構成は虎の穴ラボの書評(2025年3月)でも詳しく紹介されており、「Webアプリケーションのセキュリティ対策を体系的に学べる定番書」「実践的な学びを支える豊富な工夫」と評価されている。SQLインジェクション・XSS(クロスサイトスクリプティング)・CSRF(クロスサイトリクエストフォージェリ)・セッションハイジャックなど、Web開発者が必ず知るべき主要脆弱性を第4章で機能別に網羅する。 目次はwasbook.orgの公式サイトで公開されており、XSS・SQLインジェクション・CSRF・セッション管理・ファイルアップロード・OSコマンドインジェクション・XXEなど現代のWebセキュリティで重要なトピックを全て取り上げている。688ページという大ボリュームは、この分野の包括的なリファレンスとして機能する。 Amazonレビューは「わかりやすく読みやすい」「支援士合格への近道」「基礎から理解できる良書。ハンズオンなしでも読める」という高評価が並ぶ。情報処理安全確保支援士試験の受験者にも参考書として活用されており、現場エンジニアから資格受験者まで幅広く使える一冊だ。

「SQLインジェクション対策はやってる」で終わっていた自分が、セキュリティを体系的に理解できた本

正直言うと、SQLインジェクション対策は知っていた。プリペアドステートメントを使えばいい、という話は研修でも習ったし、自分でもそう書いていた。でもXSSとCSRFの違いも曖昧で、「ヘッダーに何かつければいいんでしょ」というノリで実装していた部分もあった。 この本を読もうと思ったのは、レビューで「徳丸本」と呼ばれているのを見て、名前だけは知っていたからだ。分厚い本は避けたかったが688ページというのを見て一瞬怯んだが、読み始めると文章が読みやすいのですんなり進めた。 一番大きかった発見は、脆弱性の「原理」から説明してくれる点だ。「XSSの対策はエスケープ処理」という知識は持っていたが、「なぜエスケープしないとダメなのか」「ブラウザ側でどう悪用されるのか」というメカニズムを理解できていなかった。この本はHTTPとセッション管理の基礎から始まり、「同一オリジンポリシー」という概念を理解させた上で、各脆弱性の原理を説明する。だから「なるほど、だからこういう攻撃が成立するのか」という納得感がある。 第4章が本書のメインで、機能別に脆弱性を分類して解説している。SQLインジェクション・XSS・CSRF・セッションハイジャック・ファイルアップロード・OSコマンドインジェクション……と次々と出てくる。普段意識していなかった「ファイルアップロードの脆弱性」や「リダイレクト処理の問題」など、「そういう攻撃があるのか」という発見が多かった。 実習環境(VirtualBox仮想マシン)がついているので、実際に脆弱なアプリに攻撃を試みることができる。「OWASP ZAP」というセキュリティテストツールの使い方も解説されており、机上の学習だけで終わらない。ただ「ハンズオンなしでも読める」というAmazonレビューの通り、実習環境を使わなくても理解できる構成になっている。 情報処理安全確保支援士の試験を受けようと思っている人にも使えると聞いて、試験範囲と本書の内容の重複を確認したら確かに広くカバーされていた。セキュリティを体系的に学びたいWebエンジニアには、まずこれを読んでほしい。688ページは多いが、後悔しない一冊だ。

27歳 バックエンドエンジニア。PHPとMySQLでWebアプリを開発して3年。セキュリティは「とりあえずSQLインジェクション対策はやってる」程度の知識しかない

この本で学べること

脆弱性の「原理」から理解する体系的解説

対策の暗記ではなく、なぜ脆弱性が生まれるのかという原理から解説する。HTTPとセッション管理の基礎から入り、同一オリジンポリシーを理解した上で各脆弱性のメカニズムを説明する構成。

実習環境付きでハンズオン学習が可能

VirtualBox仮想マシンとOWASP ZAPを使った実習環境が付属し、実際に脆弱なアプリへの攻撃を体験できる。机上の学習を超えた実践的な理解が得られる。

SQLインジェクション・XSS・CSRFなど主要脆弱性を網羅

第4章で機能別にSQLインジェクション・XSS・CSRF・セッション管理・ファイルアップロード・OSコマンドインジェクションなど現代のWebセキュリティで必須の脆弱性を全て解説。

情報処理安全確保支援士試験にも対応

Webセキュリティの試験範囲を幅広くカバーしており、「支援士合格への近道」というAmazonレビューが示す通り、資格受験者の参考書としても活用されている。

本の目次

  1. 1第1章 Webアプリケーションの脆弱性とは
  2. 2第2章 実習環境のセットアップ
  3. 3第3章 Webセキュリティの基礎
  4. 4第4章 Webアプリケーションの機能別に見るセキュリティバグ
  5. 5第5章 安全なWebアプリケーションのための設計と実装
  6. 6第6章 文字コードとセキュリティ
  7. 7第7章 脆弱性診断入門

良い点・気になる点

良い点

  • 脆弱性の原理から対策まで体系的に学べるWebセキュリティの定番書
  • 実習環境付きで実際の脆弱性を体験しながら学べる
  • 情報処理安全確保支援士試験の参考書としても活用できる

気になる点

  • 688ページと分量が多く通読に時間がかかる
  • 2018年出版のため最新のクラウドネイティブ・コンテナ環境のセキュリティは限定的

みんなの評判・口コミ

n
nao

バックエンドエンジニア

5.0

徳丸本の名に恥じない内容でした。SQLインジェクションやXSSの仕組みを原理から理解できたことで、対策の意味が腑に落ちました。実習環境で実際に試せるのも理解を深めるのに効果的です。セキュリティを学ぶWebエンジニア必携です。

m
miku

Webマーケター

4.5

688ページは多いですが、文章が読みやすいので苦にならずに読めました。第4章の機能別脆弱性解説が特に充実していて、普段意識していなかった脆弱性も多く学べました。情報処理安全確保支援士の勉強にも使えました。

y
yui

フロントエンドエンジニア

5.0

Webセキュリティの基礎から実践まで一冊で学べます。「なぜ脆弱性が生まれるか」という原理の説明が特に良く、対策の意味を理解した上で実装できるようになりました。2018年の本ですが今でも内容は有効です。

ゆうと

EC企業マーケター

4.5

セキュリティ関連の技術書の中でも特に完成度が高いです。XSSやCSRFのような概念が図解と実例でわかりやすく説明されています。開発チーム全員に読ませたいレベルの本です。ハンズオン環境なしでも読めます。

著者について

こんな人におすすめ

Webアプリを開発しているバックエンドエンジニア

SQLインジェクション・XSS・CSRFなど開発者が必ず知るべき脆弱性の原理と対策を体系的に習得できます。

情報処理安全確保支援士(登録セキスペ)試験の受験者

「支援士合格への近道」と評されており、試験範囲のWebセキュリティを体系的に学ぶ参考書として活用できます。

セキュリティレビューを担当するチームリーダー・アーキテクト

コードレビューやアーキテクチャ設計でセキュリティ観点を持ちたいシニアエンジニアに、体系的な知識の基盤を提供します。

脆弱性診断・ペネトレーションテストを学びたい人

実習環境とOWASP ZAPの使い方解説が含まれており、脆弱性診断の入門としても活用できます。

よくある質問

Q. 『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』はプログラミング初心者でも読めますか?
A. Webアプリケーション開発の基礎知識(HTTP・SQL・HTML等)があることが前提です。プログラミング初心者よりも、Web開発の経験がある中級者以上に向いています。
Q. 実習環境(VirtualBox仮想マシン)は必須ですか?
A. 必須ではありません。「ハンズオンなしでも読める」というレビューがある通り、実習環境を使わなくても理解できる内容です。ただし実際に攻撃を体験することで理解が深まるため、環境構築できる場合はおすすめします。
Q. 2018年出版ですが内容は古くなっていませんか?
A. SQLインジェクション・XSS・CSRFなど基本的な脆弱性の原理と対策は変わっていないため、今でも有効な内容です。ただし最新のクラウドネイティブ環境やコンテナ・マイクロサービス特有のセキュリティは限定的です。
Q. 「徳丸本」と呼ばれる理由は何ですか?
A. 著者の徳丸浩氏はWebセキュリティの第一人者として知られており、本書は初版(2011年)からWebセキュリティの定番書として広く浸透しました。著者の名前から「徳丸本」の愛称で呼ばれています。
Q. 情報処理安全確保支援士試験に合格するだけなら本書を読めば十分ですか?
A. 本書はWebセキュリティの範囲を体系的にカバーしていますが、試験にはネットワーク・暗号・法規制など他の範囲も含まれます。試験対策としては本書と合わせて試験用の参考書や過去問を活用することをおすすめします。
Q. 第1版と第2版はどう違いますか?
A. 第2版は2018年の改訂で、初版(2011年)から約7年ぶりの改訂です。現代のWebを取り巻く環境の変化(HTTPS普及・HTML5・新たな攻撃手法等)に対応した内容に更新されています。

プログラミング学習ロードマップ

効率的な学習順序がわかるロードマップを無料でダウンロード

※ 登録いただいたメールアドレスは資料送付にのみ使用します