C
セキュリティ 一覧
前へ1 / 4次へ
セキュリティ//Lesson 01

セキュリティ

30分·theory

セキュリティ

🎯 このlessonを読み終えたら

このlessonを読み終えると、以下の3つを自信を持ってできるようになります。

  • ✅ 「セキュリティ」のセキュリティパターン
  • ✅ OWASP (Webセキュリティ標準団体) Top 10 のマッピング
  • ✅ 実務での落とし穴(SQL Injection (DB改ざん攻撃)、XSS (スクリプト挿入)、CSRF (なりすましリクエスト)

学習目標をチェックリストとして、すべてに答えられるようになったらlessonを閉じてください。

🔒 セキュリティを作った4人 — 暗号学から現代Webセキュリティまで

01
Whitfield Diffie & Martin Hellmanディフィー&ヘルマン
Pioneers of Public-Key CryptographyStanford University1944~ / 1945~

公開鍵暗号の扉を開いた二人 — 現代インターネットセキュリティの始まり

  • 1976 論文「暗号理論の新方向」発表 — 公開鍵の概念を初めて提唱
  • 1976 Diffie-Hellman鍵交換アルゴリズム発表 — HTTPS・VPN・SSHの基盤
  • 1992 Sun Microsystems入社 — セキュリティアーキテクチャを確立(Diffie)
  • 2015 共同でチューリング賞を受賞 — 公開鍵暗号学への貢献が公式に認定される
TLS・SSH・VPN — インターネット上のあらゆるセキュア通信の数学的基盤PUBLIC-KEY · 公開鍵の創始者
02
Rivest · Shamir · AdlemanRSAの三人
Inventors of RSA AlgorithmMIT1947~ / 1952~ / 1945~

RSA — ディフィー&ヘルマンの概念を実用的なアルゴリズムとして完成させた三人

  • 1977 MITでRSA公開鍵暗号アルゴリズムを発表 — 素因数分解の困難性に基づく
  • 1982 RSA Security創業 — 商用暗号化市場を開拓
  • 2000 RSA特許失効 — 全世界での無償利用時代が到来
  • 2002 3名共同でチューリング賞を受賞
RSA — TLS証明書・デジタル署名・電子商取引の基本暗号方式RSA · アルゴリズムの創始者
03
Phil Zimmermannフィル・ジマーマン
Creator of PGPPGP Inc. → Silent Circle1954年~現在

PGP — 個人が政府の監視に対抗できるようにしたメール暗号の父

  • 1991 PGP(Pretty Good Privacy)1.0を公開 — メール暗号化を普及
  • 1993 米国政府による武器輸出規制法違反の捜査 — 1996年に不起訴で終結
  • 1997 PGP Inc.を創業し、OpenPGP標準化を推進
  • 2012 Silent Circleを共同創業 — エンドツーエンド暗号通信サービス
OpenPGP・GPG・メールのエンドツーエンド暗号化 — 個人プライバシーの象徴PGP · メール暗号化
04
Bruce Schneierブルース・シュナイアー
Cryptographer & Security AuthorCounterpane → IBM → Harvard1963年〜現在

現代セキュリティの良心 — アルゴリズムを設計し政策を批判した権威者

  • 1993 Blowfish対称鍵暗号アルゴリズムを設計 — 無償・ライセンスなし
  • 1996 「Applied Cryptography」を出版 — 業界標準の教科書として確立
  • 1998 Twofishを発表 — AES最終候補5つに選出
  • 2016 ハーバード・ケネディスクールフェロー — セキュリティポリシー・プライバシーの権威
Blowfish・Twofishの設計 + Schneier on Security — セキュリティ思考の標準MODERN SECURITY · 現代セキュリティの権威
👥
一言で
ディフィー&ヘルマン(公開鍵の概念)→ RSAの三人(実用アルゴリズム)→ ジマーマン(普及)→ シュナイアー(現代の権威者)。この4チームがインターネットセキュリティの骨格を作った。

なぜセキュリティを知らなければならないのか

一言で: 脆弱性が一つあるだけで、会社の評判・法的責任・サービス終了につながる。セキュリティは最後のセーフティネットではなく、基本設計である。

ツールのマッピング

領域主要標準
Web脆弱性OWASP Top 10 (最も一般的なWeb脆弱性10項目のリスト)
暗号化AES · RSA · ECDSA · TLS (データ・通信の暗号化標準)
認証bcrypt · argon2 (パスワードハッシュ) · OAuth (Google・Kakaoログイン委任) · JWT (署名付き認証トークン)
セキュリティヘッダーCSP (スクリプト許可ポリシー) · HSTS (HTTPS強制) · X-Frame-Options
モニタリングSentry · Datadog · WAF (Webアプリケーションファイアウォール)
シークレットHashiCorp Vault · AWS Secrets Manager (秘密鍵の安全な保管)

5つの重要な理由

理由意味
XSS · CSRF(スクリプト挿入・なりすましリクエスト)最も一般的なWeb脆弱性。escape (特殊文字の無効化) を一行でも漏らすとユーザーアカウントが乗っ取られる
SQL Injection(DB改ざん攻撃)パラメータ未使用 → DB全体が漏洩。parameterized query (値分離クエリ) は必須
HTTPS(暗号化されたHTTP)平文通信 = パケット傍受。無料証明書で基本的な義務
ハッシュアルゴリズム(パスワードの一方向変換)MD5・SHA1は廃止。bcrypt · argon2 (現代の標準) のみ使用
OWASP Top 10(10大脆弱性リスト)すべてのバックエンド面接の定番。知らないと採用なし

核心: セキュリティは機能ではなく、基本的な姿勢である。一度破られると復旧は不可能。

🤖 AIにこう依頼してみよう

このlessonの概念を理解すれば、AIに具体的に指示できます。漠然とした「直して」ではなく、語彙のある依頼 — それがトークン節約の出発点です。

  • 「このコードのセキュリティ上の脆弱点を確認して」
  • 「セキュリティ関連のOWASP Top 10 (Web上位10大脆弱性) 項目をマッピングして」
  • 「このパスワード保存ロジックをbcrypt (現代のパスワードハッシュ標準) に変更して」

なぜこれがトークンを削減するのか

概念を知らないと、AI の回答を受け取っても「それは何ですか?」と再度聞く必要があります。その「再質問」がトークンを消費します。概念を一度習得しておけば、会話が一度で終わります

先に読むとよい概念: ファイルシステム・スケジューリング・高度
次のおすすめ: Web攻撃 — OWASP Top 10 + XSS・CSRF・SQLインジェクション
前へ一覧次へ
セキュリティ - セキュリティ