title: “基礎理論 Part の狙い” part: “Part 1” chapter: “1-0”
Part 1:基礎理論の位置づけ
Part 1 では、後続の Web / API / モバイル / クラウド Pentest を支える「共通言語」として、攻撃モデル・リスク評価・標準ガイドラインを整理する。
ツールや個別のテクニックだけを学んでも、「どの脆弱性から優先して対処すべきか」「経営層にどのように説明するか」が分からなければ、実務での価値は限定的になる。
本 Part の目的は、以降の Part で扱う個別技術を、「どのような攻撃ライフサイクルの中で、どのリスクを低減するために使うのか」という文脈に結びつけることである。
本 Part で扱う主なトピックは次のとおりである。
- 攻撃モデル:
- Cyber Kill Chain
- MITRE ATT&CK
- STRIDE
- リスク評価:
- DREAD を中心とした定性的評価
- 標準ガイドライン:
- OWASP ASVS / OWASP Web Security Testing Guide(WSTG)
- OWASP Top 10(Web)
- OWASP API Security Top 10
これらは、診断設計・報告・改善計画のすべてのフェーズで繰り返し利用する概念であるため、ここで一度まとめて把握しておく。
ただし、本書の射程は「代表的なモデルと標準の概要と役割」を押さえることにあり、各モデル・標準の全項目や詳細仕様を網羅的に解説することは目的としない。
すべてを一度に暗記する必要はなく、「どのようなモデルや標準が存在するか」をざっくり掴み、必要に応じて公式ドキュメントや原文を参照できる状態を目指す。
本 Part を読む前提
以下のような前提知識を想定する。
- HTTP や Web アプリケーションのごく基本的な構造を知っている
- 何らかのプログラミング言語で簡単な Web アプリを触ったことがある
上記が完全でなくても、用語の意味は本文中で補足するため、読み進めながら補完していけばよい。
本 Part を読み終えるとできること
Part 1 を読み終えた読者は、少なくとも次のような状態に到達することを目標とする。
- Kill Chain / ATT&CK / STRIDE といった代表的な攻撃モデルの役割と違いを説明できる
- DREAD や OWASP Top 10 などの概念を「リスクを整理するための道具」として認識できる
- 後続の Part で登場する用語(ASVS、API Top 10 など)を見ても、大まかな位置づけを思い出せる
本 Part で学ぶ内容は、詳細を暗記するよりも、「こうした枠組みがあり、後で振り返る拠り所になる」と理解しておくことが重要である。
関連資料
次に読む章
本章のポイント
- Part 1 は、後続の各 Part に共通する「攻撃モデル」「リスク評価」「標準ガイドライン」を整理する。
- 本 Part の狙いは暗記ではなく、診断設計・実施・報告の各フェーズで枠組みを適切に使い分けられる状態を作ることである。
- 詳細は必要に応じて公式ドキュメントを参照し、本書では役割と位置づけの理解を重視する。