セキュリティの教科書

Web セキュリティ・認証認可・暗号化・ネットワークなど、セキュリティの基礎知識を体系的に解説します。一般の方が日常で気をつけるべきポイントから、エンジニア向けの技術的な対策まで幅広くカバーしています。

セキュリティを学ぶ

セキュリティの基礎から学びたい方はここからスタート

セキュリティとは?

情報セキュリティの基本概念と、なぜ重要なのかを解説

なぜセキュリティが重要なのか

実際の被害事例から学ぶセキュリティの重要性

脅威の全体像

現代のサイバー脅威の種類と傾向を把握する

セキュリティ理解度テスト

10 分の○×クイズであなたのセキュリティ知識をチェック

カテゴリから探す

目的に合わせてカテゴリを選んでください

一般・共通

20 コマンド

AI とセキュリティ

4 コマンド

開発者共通

11 コマンド

フロントエンド

15 コマンド

アプリケーション

9 コマンド

バックエンド

7 コマンド

データベース

5 コマンド

インフラ

8 コマンド

ネットワーク

10 コマンド

クラウド

9 コマンド

AI セキュリティ

8 コマンド

実践ガイド

セキュアコーディングや運用のベストプラクティスを解説

これだけは押さえたいセキュリティ習慣

IT に詳しくなくても今日から実践できるセキュリティ対策。このページの内容を守るだけで、セキュリティ事故のリスクを大幅に低減できます。

オフボーディングチェックリスト

退職・異動時に漏れなく実施すべきセキュリティ対応の一覧。日本企業でありがちな「あるある」な落とし穴と対策をまとめています。

セキュリティ教育プログラムの作り方

半年に 1 回の教育でも社員の意識は大きく変わる。企業が実施すべきセキュリティ教育の頻度・内容・進め方の指針。

セキュリティ理解度テスト

一般向け・開発者向けの○×クイズ。半年に 1 回の教育や入社時研修にそのまま使えます。この 10 分のテストを解かせるだけでも、セキュリティ意識は確実に変わります。

一般向けセキュリティ理解度テスト 2026年4月版

全社員向け 28 問の○×クイズ。パスワード管理・フィッシング・メール誤送信・端末紛失・USB・印刷物廃棄など、職種を問わず必要な知識を 10 分でチェック。

開発者向けセキュリティ理解度テスト 2026年4月版

一般向け 28 問 + 開発者向け 10 問の計 38 問。SQLi・XSS・CSRF・JWT・CSP など、開発業務に必要なセキュリティ知識を網羅的にチェック。

セキュリティ対策チェックリスト

一般向けと開発者向けに分けてセキュリティ対策の優先度・費用対効果を一覧表示。低コストで高コスト施策をカバーできるケースも明示

OWASP Top 10

Web アプリケーションの重大なセキュリティリスク Top 10。2013 年から 2025 年までの推移を一覧で確認でき、年ごとのランキング順にソート可能

OWASP API Security Top 10

API 固有のセキュリティリスクに特化した OWASP のランキング。認可の不備やレート制限の欠如など、Web API 設計・運用で見落としやすい脅威を体系的に整理

OWASP Mobile Top 10

モバイルアプリケーション固有のセキュリティリスク Top 10。安全でないデータ保存や不適切な認証など、iOS / Android アプリ開発で注意すべき脅威を網羅

OWASP Top 10 for LLM Applications

大規模言語モデル（LLM）を活用したアプリケーション固有のセキュリティリスク Top 10。プロンプトインジェクションやデータ汚染など、AI 時代の新たな脅威を整理

よく見られているトピック

まずはここからチェック

パスワードポリシー

パスワードの強度・管理・運用に関するルール。NIST SP 800-63B に基づく最新のガイドラインでは、定期変更よりも長く推測困難なパスワードが推奨される。 共通鍵暗号（AES 等）

送信者と受信者が同じ鍵を共有して暗号化・復号を行う方式。AES が現在の標準。高速だが鍵配送に課題がある。 公開鍵暗号（RSA 等）

公開鍵と秘密鍵のペアを使う暗号方式。鍵配送の問題を解決し、デジタル署名にも応用される。 インシデント対応計画

セキュリティインシデント発生時の対応手順を体系化した計画。検知・封じ込め・根絶・復旧・教訓の 5 フェーズで構成される。 XSS（クロスサイトスクリプティング）

悪意あるスクリプトを Web ページに注入する攻撃手法。反射型・格納型・DOM Based の 3 種類がある。 セキュリティヘッダ

HTTP レスポンスヘッダでブラウザのセキュリティ機能を有効化する。CSP, HSTS, X-Frame-Options など複数のヘッダを組み合わせて防御層を構築する。 CSRF（クロスサイトリクエストフォージェリ）

ログイン済みのユーザーに意図しないリクエストを送信させる攻撃。 OAuth 2.0

サードパーティにパスワードを渡さずにリソースへのアクセスを委譲する認可フレームワーク。 JWT（JSON Web Token）

JSON ベースのトークン形式。署名により改ざんを検知できるが、適切に運用しないとセキュリティリスクになる。 SQL インジェクション

ユーザー入力を通じて不正な SQL 文を実行させる攻撃。データの漏洩・改ざん・削除が可能になる。 DB アクセス制御

データベースへのアクセスを適切に制限する仕組み。最小権限の原則に基づき、ユーザー・ロール・権限を管理する。 コンテナセキュリティ

Docker や Kubernetes 環境におけるセキュリティ対策。イメージの脆弱性スキャン、ランタイム保護、ネットワークポリシーの設定を含む。 シークレット管理

API キー、パスワード、証明書などの機密情報を安全に保管・配布・ローテーションする仕組み。ハードコーディングの防止が基本。 クラウドへのセキュアなアクセス

AWS SSO / SSM Session Manager / IAM Identity Center など、ゼロトラストを意識したクラウドインフラへの接続方式。SSH 鍵の直接管理や踏み台サーバーに頼らない運用を実現する。 ファイアウォール

ネットワークトラフィックを監視・制御し、不正なアクセスを遮断するセキュリティ装置。パケットフィルタリングやステートフルインスペクションなどの方式がある。 ゼロトラストアーキテクチャ

「信頼しない、常に検証する」を原則とするセキュリティモデル。ネットワークの内外を問わず、すべてのアクセスを検証する。 TLS/SSL（通信暗号化）

インターネット通信を暗号化するプロトコル。HTTPS の基盤技術であり、盗聴・改ざん・なりすましを防ぐ。