Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

title: “本書の概要と読み方” part: “Part 0” chapter: “0-1”

本書の概要

本書『実務で使えるペネトレーションテスト大全:Web・API・モバイル・クラウドの統合セキュリティ実践』は、ペネトレーションテスト(以下、Pentest)を体系的に学び、実務で再現可能なレベルのスキル獲得を目的とした技術書である。

単なるツール解説や個別の脆弱性カタログではなく、攻撃モデル・リスク評価・Web / API / モバイル / クラウド / インフラといった複数レイヤを一貫したストーリーで解説し、演習とテンプレートを通じて「明日から使える」形に落とし込むことを重視する。

本書は、ITDO 内部研修や顧客向けトレーニングとしての利用を前提としつつ、個人の自己学習にも耐えうる構成とする。

本書のゴール

本書を通じて、読者は次の状態に到達することを目標とする。

  • Web / API / モバイル / クラウドを対象とした Pentest の全体像を説明できる
  • 代表的な攻撃手法と脆弱性カテゴリ(OWASP ASVS、OWASP Top 10、API Top 10 など)の位置づけを理解している
  • Burp Suite、MobSF、Frida、Prowler など代表的なツールを用いて、基本的な診断・検証が実施できる
  • Juice Shop、DVWA、crAPI などの演習環境を用いて、PoC 作成からレポート作成までを一連の流れとして体験できる
  • 付属のチェックリスト・テンプレートを活用し、実務で再利用可能なアウトプットを作成できる

想定読者

本書は、以下のような読者を想定している。

  • Web エンジニア/フルスタックエンジニアで、攻撃側の視点を体系的に学びたい方
  • インフラ/クラウドエンジニアで、自身の設計・運用の弱点を理解したい方
  • セキュリティ担当者として、診断ベンダとのコミュニケーションや内製診断の品質を高めたい方
  • Pentest スキルを習得し、実務で通用するレベルを目指す初中級エンジニア
  • 社内研修を設計・実施する教育担当者

前提知識

本書は入門書ではなく、「基礎を一通り学んだ技術者が、実務レベルの Pentest スキルに到達するための導線」を意図している。そのため、以下の前提知識を推奨する。

  • Linux の基本操作(シェル操作、パッケージ管理、サービス起動とログ確認など)
  • HTTP および Web アプリケーションの基本構造
  • ネットワークの基礎(TCP/IP、DNS、TLS の概要レベル)
  • 何らかのプログラミング言語による開発経験(言語は問わない)

ただし、必要な部分については各 Part で適宜復習を兼ねた解説を行うため、事前に深い専門知識を要求するものではない。

12 週間カリキュラムとの関係

本書は、ITDO 内部で設計した「12 週間 Pentest カリキュラム」をベースとしている。カリキュラムでは以下のような流れで学習を行う。

  • 1〜2 週目:攻撃モデルとリスク評価、OWASP ASVS / Top 10 などの基礎理論
  • 3〜5 週目:Web / API を対象とした脆弱性理解と Burp Suite を用いた実践
  • 6〜8 週目:OAuth2 / OIDC、モバイルアプリ、クライアントサイドの攻撃手法
  • 9〜10 週目:クラウド(主に AWS)および Linux / コンテナを含むインフラ
  • 11〜12 週目:総合演習(スコーピングからレポート作成まで)

本書の Part 構成は、この 12 週間カリキュラムを書籍形式に再構成したものであり、研修と書籍を併用することも、書籍のみで独学することもできるよう設計している。

各 Part の位置づけ

本書は、次の Part から構成される。

  • Part 0:はじめに
    本書の目的、想定読者、前提知識、学習上の注意点、環境構築方針を示す。
  • Part 1:基礎理論
    攻撃モデル、リスク評価、OWASP ASVS / OWASP Web Security Testing Guide(WSTG)、OWASP Top 10 / API Top 10 など、後続の Part を支える理論的基盤を整理する。
  • Part 2:Web セキュリティ基盤
    HTTP、Cookie、CORS、セッション管理、JWT、OAuth2 / OIDC など、Web アプリケーションを安全に設計・診断するための技術基盤を扱う。
  • Part 3:Web Pentest 実践
    Burp Suite を中心とした Web Pentest の実践手順と、典型的な脆弱性検証の流れを示す。
  • Part 4:API Pentest と認証/権限管理
    BOLA や Mass Assignment、Rate Limit など API 特有のリスク、および OAuth2 / OIDC や RBAC / ABAC を含む認可の検証を扱う。
  • Part 5:モバイル Pentest
    MobSF、Frida、objection を用いたモバイルアプリの静的/動的解析と、データ保護・認証・暗号化に関する検証を扱う。
  • Part 6:クラウド・インフラ Pentest
    AWS を中心としたクラウド構成の評価、SSRF から IMDS への攻撃パス、Linux 権限昇格、コンテナ環境のセキュリティを扱う。
  • Part 7:総合演習
    スコーピングから情報収集、脆弱性発見、悪用、権限昇格、レポート作成までを 1 週間程度のカリキュラムとして統合する。

読者は、Part 0 から順に読み進めることを推奨するが、特定の分野(例:API やクラウド)に関心がある場合は、該当 Part から読み始めてもよい。その場合でも、必要に応じて Part 1〜2 の該当節を参照し、理論的背景を補いながら進めると理解が深まる。

学習の進め方

本書を最大限活用するために、以下の読み方を推奨する。

  • 章ごとに「理論 → 演習 → まとめ」のサイクルで学習する
  • 付属のチェックリストと照らし合わせながら、自身の理解の抜け漏れを確認する
  • 可能な限り、自身で検証環境を構築し、書籍の手順をトレースする
  • 演習で得られた結果を、付属のレポートテンプレートに記録しておく

単に読んで理解したつもりになるのではなく、「実際に手を動かして再現できるか」「第三者に説明できるか」を意識することで、実務に耐えうるスキルセットを獲得できる。

本章のポイント

  • 本書は脆弱性カタログではなく、攻撃モデルから各レイヤの実践までを一貫したストーリーで学ぶことを目的とする。
  • 学習の中心は「再現可能なアウトプット」であり、演習とテンプレートを通じて PoC とレポート作成まで到達する。
  • 12 週間カリキュラムをベースにしつつ、読者は関心のある Part から着手してもよい(必要に応じて Part 1〜2 を参照する)。