　とても悲しいことに、在学時に学内Slackでまとめていたオススメ本のリストが、Slackの90日ルールで消し飛んでしまいました。そして新年度&&最後に更新してから数年経ったこともあり、改めて初学者にオススメの本やサイトを分野別/レベル別になるべく分類して、まとめてみようと思います。

　まったくSlackさんよぉ！！

免責
対象読者
レベル感
$ whoami
構成
既読本
- セキュリティ以前の前提系
  - 超入門
  - 入門
- セキュリティに触れ始めるレベル感
未読本
アドバイス的な何か
ポエム

免責

法律は順守しましょう。
全体的に筆者の主観と雑感が多いに含まれています。所属する組織の立場や意見・見解ではありません。
上記のことから真面目に読みすぎず、軽い気持ちで読んでください。
セキュリティ、ひいては情報系に関する学習を始めた2018年から今現在に至るまでの本やサイトの紹介となっております。仕組みや原理に関する本が多めとはいえ、古くなっているものもございます。ご了承くださいませ。
また筆者が通ってきた分野的にWebやハードウェアへの偏りが激しいです。こちらに関してもご了承くださいませ。

対象読者

　「セキュリティ面白そう！ハッカーになってみたい！でも情報系の知識何もない！」な完全初学者～「ある程度情報系について知っているけど、何から手を出したらいいかわからない...」な初心者が対象です。CTFでゴリゴリやっている人は、むしろオススメ本やサイトをコメント等で教えてください。

　それと大学で情報系学部に在学している場合は、授業をしっかり聞くのをお勧めします。(マジで)

レベル感

超入門
- 右も左もわからない。迷える子羊
入門
- 完全に理解した状態。次第に「何もわからん...」になっていく
- 自信と理解度の関係を図にしました。#完全に理解した pic.twitter.com/SA638Vy9UH
  — 廻転楕円体 / Kaitendaentai (@kaitendaentai) 2018年10月17日
発展
- ここまで来たら大丈夫。あとは手を動かしていこう
- なにか気になることがあったら深堀していこう
- 下記でいうところの中級者寄りの初心者くらいのレベル感のつもり。だが、もう少し難易度が高めのが混じっている可能性大
- 初心者向けCTFのWeb分野の強化法 from kazkiti
  www.slideshare.net
雑学系
- よかった記憶があるけど、上記には含めれないやつ
- 時間があるときに読むとよいかもしれない

$ whoami

名前通りすがりの鶴 (Twitter; Citron_Turu)
仕事: セキュリティエンジニア見習い
最初期状態
- 電気電子工学に進みたかった理系
  - 学部に「基盤設計コース」なるものがあり、電気電子系できるやん！っと思ったが、基板ではなかった
  - なんやかんやで分解大好き少女になった
- HTML?CSS?ナニソレオイシイノ？メモリとCPUって何？？
- セキュリティコースあるやん、面白そ～！(っと思ったのが運の尽きかもしれない)
性格というか性質というか
- ネットの海の情報は玉石混合で、初心者が見分けるのは難しい&&体系的に学ぶことが難しいと思っているので、本(と公式ドキュメント)を優先して読むタイプ
- ただ要領が悪く、計画性がないほうなため、あまり進まない
- 質問するのがとても苦手。何でも自分で解決しようとしちゃう(で沼る)
- 紙媒体のほうが辞書としてサッと引けるし、文字が滑っていかないので、電子書籍より紙媒体派

構成

　大きく2つに分類しています。一つ目の既読本は読了済みで、ばっちりオススメできる本やサイトです。二つ目の未読本は人からおすすめされたものの未読了であったり、読了したものの、読了時からずいぶん時間がたって記憶が薄かったり、読む人を選びそうな本です。

　また既読本では、コンピュータってそもそも何？のレベルの本に始まり、Web、ネットワーク、ハードウェアやIoTといった分類に加えて、先述のレベル感に分類しています。一方の未読本では、Web、ネットワークといった分類はしているものの、レベル感の振り分けができていないです。何時か読了したら、既読本に追加等するかもしれません。

既読本

セキュリティ以前の前提系

超入門

コンピュータサイエンス図鑑
- 情報系で必要となる言葉などがざっくり網羅されている
  - イラストが多めで、超初学者にはオススメ
- 決定版コンピュータサイエンス図鑑 | クレール・クイグリー, パトリシア・フォスター, 山崎正浩, ヘレン・コールドウェル | コンピュータ・IT | Kindleストア | Amazon
パソコンの仕組みの絵本
- CPUって何？メモリって何？どんな役割をしているの？がまとまった本
- こちらもイラストが多くてオススメ
  - 久しぶりに見たら結構色々載っている
- パソコンの仕組みの絵本 | アンク |本 | 通販 | Amazon

入門

おうちで学べるシリーズ　(セキュリティ、ネットワーク、サーバ)
- ガサっとまとめたけど、この辺は各々網羅性があって入門書としておすすめ
- 他にもシリーズがあるけど、上記3つ抑えておくと大体大丈夫なはず。
マスタリングTCP/IP 入門編
- 言わずと知れたネットワークの基礎の本
- ネットワークとIoT以外についてする場合は「あとで必ず読む」であったり、さらっと流し読みしておくとよいかも。
- なお初学者的には激重。要注意
- マスタリングTCP/IP―入門編―(第6版) | 直也, 井上, 公保, 村山, 隆史, 竹下, 透, 荒井, 幸雄, 苅田 |本 | 通販 | Amazon

セキュリティに触れ始めるレベル感

Web

超入門

PortSwiggerのWeb Security Academyの解説文
- webアプリケーションに関することならほぼほぼ載っているといっても過言ではない
- ハンズオン形式で学ぶことができるが、ひとまず解説文だけでも読ももう
体系的に学ぶ安全なWebアプリケーションの作り方第2版脆弱性が生まれる原理と対策の実践
- 言わずと知れた鈍器。セキュリティ界隈だと「徳丸本」と言われる
- PortSwiggerのAcademyは解説&攻撃のハンズオンであるのに対して、解説とどういった影響があるのかに絞っているような気がする
  - 発生個所・影響を受けるページ・影響の種類・利用者関与の度合い・対策概要が一か所にまとまって書いてあるので、脆弱性診断士にとってはかなりうれしい
  - 辞書として使うととてもよい
- 体系的に学ぶ安全なWebアプリケーションの作り方第2版脆弱性が生まれる原理と対策の実践 | 徳丸浩 |本 | 通販 | Amazon

入門

PortSwiggerのWeb Security AcademyのLAB(Apprentice&Practitioner)
- まず一種類の脆弱性について、一通りApprenticeをやってからPractitionerをすると、体系的に身についてよかった気がする
- Practitionerについては解答見ながらでも一通りやってみるべし。ある程度時間をおいてからもう一回すると、意外と解けるようになっているぞ！！
XSS game
- XSSについて5問出題される。
- 結構初心者向きだと思う
OWASP Juice Shop | OWASP Foundation
- ソフトウェアセキュリティの向上を目指して活動している団体であるOWASPが出している
  - OWASPについてはこちら : https://owasp.org/
- Dockerで動かすことができる
- 「どっから始めたらええねん！？」となるが、ちょっとずつヒントが出るので、ヒントに従ってやってみよう。星2を解答見ずにできるようになると、発展に片足突っ込むくらいのレベル感になると思う

発展

OAuth徹底入門セキュアな認可システムを適用するための原則と実践
- OAuth2.0の特にアーキテクチャについて知りたくなったら手を出す本
- 良いタイミングで図解が入っていたり、わかりやすい
- 実装サンプルが載っているところが推せる
- OAuth徹底入門セキュアな認可システムを適用するための原則と実践 | Justin Riche, Antonio Sanso, 須田智之, Authlete Inc. | コンピュータ・IT | Kindleストア | Amazon
Lord of SQLInjection
- SQL Injectionについて色々試せるサイト
- 50問ほどあるので、実力を試す意味でも、更なる高みへ目指す意味でもよい

雑学系

セキュリティエンジニアの教科書
- セキュリティエンジニアの仕事って？に重きを置いている
- リスクマネジメントの話であったり、セキュリティエンジニアだけでなく、セキュリティに関わる何かしらの職につくなら知っておくと良さそうな話もある
- セキュリティエンジニアの教科書 | セキュアデザインセンター | 工学 | Kindleストア | Amazon

Network & ペネトレーションテスト系

　今まで若干避けてきたのと、最近ちょこちょこやり始めたこともあって、まだロードマップは出来上がってないですが、それでもオススメできそうなものを記載しておきます。

　(実は未読本に分類した本が多いので、そちらを参照してください、ごめんなさい)

超入門 (Offense系)

未読本(手元になくて、レベル感の再確認ができなかった)に一冊置いてます

TryHackMe | Cyber Security Training
- チュートリアルであったり、前提知識が結構載っている印象がある
- ちょっとずーーーつ知識レベルを上げていけると思うので、セキュリティ初学者には向いているかも(もしかしたら難しく感じるとこもあるかもしれない)

超入門 (Defense系)

Linuxサーバーセキュリティ徹底入門オープンソースによるサーバー防衛の基本
- どちらかというと運用寄りの本
- サーバのセキュリティ設定に関する勘所というか、最低限やっておくことが詰まっていると思う
  - 何らかのサーバを構築する際にこれを片手に構築したりしている (門外漢なのでね！)
- Linuxサーバーセキュリティ徹底入門オープンソースによるサーバー防衛の基本 | 中島能和 |本 | 通販 | Amazon

入門 (offense系)

サイバーセキュリティテスト完全ガイド Kali Linuxによるペネトレーションテスト
- サイバーキルチェーンにおける全段階について、攻撃者側が何をしているか書かれている
- 未読本寄りではあるけど、一連の流れについて確認して、良かった記憶があるので記載
- サイバーセキュリティテスト完全ガイド ~Kali Linuxによるペネトレーションテスト~ | Peter Kim, 八木橋優, 前田優人, 美濃圭佑, 保要隆明, 八木橋優, 前田優人, 美濃圭佑, 保要隆明, 株式会社クイープ |本 | 通販 | Amazon
ハッカーの学校
- 言わずと知れたハッカー御用達の本
- こちらもネットワークのハッキングについて詳しく書かれている
- 後述のハッキングラボの作り方より難しめで、前述のサイバーセキュリティテスト完全ガイドと比較して、+aな情報が多くて超重量級
  - コマンドのオプションについてもしっかり書かれている印象がある
- ハッカーの学校 | IPUSIRON |本 | 通販 | Amazon
Hack The Box: Hacking Training For The Best | Individuals & Companies
- 難易度的にはTryHackMeをある程度して、自信がついてからするとよさげ
- CTF形式であったり、マシンを攻略していくタイプもある
- なお私はCTF形式(Web)しかやっていないので、その他分野がどうなっているかは知りません、ご了承ください

雑学系

サイバー術プロに学ぶサイバーセキュリティ
- ハッカーの思考と忍者の思考の原理が絡められてて、確かに～っといった感想を持つことが多い
- 著者は海外のかたにもかかわらず、忍術の巻物を列挙されてたり、どういった術があるか調べられてて普通に凄い
- なお実際にどうやるのか？の実例はないので、ハッカーの思考を垣間見る気持ちで読むとよさげ
- ついでにハッカーの学校の圧倒的情報量に圧倒され、しんどくなったタイミングで読むと、いい気分転換になりそう
- https://www.amazon.co.jp/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E8%A1%93-%E3%83%97%E3%83%AD%E3%81%AB%E5%AD%A6%E3%81%B6%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-Ben-McCarty/dp/4839977380/ref=tmm_pap_swatch_0?_encoding=UTF8&qid=1681519930&sr=8-1

ハードウェアやIoT

超入門

(書籍ってわけではないけど...) The Arduino Starter Kit（日本語版） — スイッチサイエンス
- 研究室に転がっていたこのキットと同封の解説書を使い、友人たちにも教えてもらいつつ電子工作を覚えた
- そこからモータードライバの仕様書を読んだりして、回路図の読み方を覚えていったので、ハードウェアの入門としては良さげ
- が、学生的には中々お値段がするので、研究室の先生にお願いしてみると買ってくださるかもしれないです。大人は自分で買いましょう。
電子工作入門以前
- IoTハッキングをするにあたって、基板やチップの仕様書を理解する場面が出てくるので、一回読んでおくとよいかも
  - 上記電子工作を通ったならパスして良いかも(回路図の知識があるならば)
- 電子工作入門以前 | 後閑哲也 | 工学 | Kindleストア | Amazon

入門

ハッカーの学校 IoTハッキングの教科書
- その名の通り教科書としてよく使っていた
  - 教科書以外の言葉が出ぬ
- ハッカーの学校 IoTハッキングの教科書 | 黒林檎, 村島正浩 |本 | 通販 | Amazon

発展

IoTソフトウェア無線の教科書ハッカーの技術書
- 無線系について知りたくなった時に手を出す本
- フレームフォーマットについても記載されていて、結構参考になる
  - ネットワーク寄りではあるが、ひとまずIoT枠としてここに記載
- IoTソフトウェア無線の教科書 (ハッカーの技術書) | 上松亮介 |本 | 通販 | Amazon

暗号系

超入門

暗号技術入門第3版秘密の国のアリス
- 暗号に関する基礎的なことはすべて詰まっている
- ただ、初学者にとっては激重
- 暗号技術入門第3版 | 結城浩 |本 | 通販 | Amazon

なお暗号系(CTFだとCrypto)は完全に専門外なので、入門以降はないです。おそらく楕円曲線暗号など暗号そのものをより深堀していくんでしょうけど、先ほどもあったように専門外なので、だれかあああああああ！！おススメ教えてえええええええ！！

コンピュータアーキテクチャ系

CTFでいうところのPwnに当たるところを含みます。

超入門

Maruさんのスライド
- 超わかりやすい
- PwnやReversingに関する超基礎が詰まってると思う

ここから先は私には無理だったので、誰かパス！よろしく！！

未読本

Web

Webブラウザセキュリティ Webアプリケーションの安全性を支える仕組みを整理する
- 全体的にわかりやすくて良い....と思う
  - ただ私自身の理解度と知識量の不足を無茶苦茶感じるので、理解して血肉にするまで至ってないのと、発展に分類するにしても初心者にはちょいと厳しすぎるんじゃない？ってことで一旦こちらに分類
- Webブラウザセキュリティ Webアプリケーションの安全性を支える仕組みを整理する | 米内貴志 |本 | 通販 | Amazon

Network & ペネトレーションテスト

Offense系

ハッキング・ラボのつくりかた仮想環境におけるハッカー体験学習
- 多分王道だし、レベル感的には超入門でいいとおもう
  - なお大学で読んだかなんかで現物がなく、内容の確認が取れなかったのでこちらに分類
- ハッキング・ラボのつくりかた仮想環境におけるハッカー体験学習 | IPUSIRON |本 | 通販 | Amazon
サイバーセキュリティレッドチーム実践ガイド
- もはやパケ買いした本(表紙かっこいい)
  - サイバーセキュリティテスト完全ガイドのアップデート版と期待して買った記憶があるような、ないような....
- サイバーセキュリティレッドチーム実践ガイド | Peter Kim, 竹迫良範, 廣田一貴, 保要隆明, 前田優人, 三村聡志, 美濃圭佑, 八木橋優, 渡部裕, 竹迫良範, 廣田一貴, 保要隆明, 前田優人, 三村聡志, 美濃圭佑, 八木橋優, 渡部裕, 株式会社クイープ |本 | 通販 | Amazon

Defense系

一時CSIRT系のことをしたいなぁーっと思っていたので、その関連の本が多いです

セキュリティのためのログ分析入門サイバー攻撃の痕跡を見つける技術
- ログ分析系の超入門書的位置づけだと思っている
  - 某青でNOC&SOCするにあたって買ったけど、読むタイミングを見失ってしまった本
- セキュリティのためのログ分析入門サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ) | 折原慎吾, 鐘本楊, 神谷和憲, 松橋亜希子, 阿部慎司, 永井信弘, 羽田大樹, 朝倉浩志, 田辺英昭 |本 | 通販 | Amazon
実践パケット解析第3版 ―Wiresharkを使ったトラブルシューティング
- ログ分析入門の後に読むとよいかもしれない
- Wiresharkのフィルタ方法とかの部分に付箋が貼ってあったし、なんとなく読んだ記憶がある
  - が、血肉になっている気がしないのでこっちに分類
- 実践パケット解析第3版 ―Wiresharkを使ったトラブルシューティング | Chris Sanders, 高橋基信, 宮本久仁男, 岡真由美 |本 | 通販 | Amazon
データ分析によるネットワークセキュリティ
- タイトル見て、面白そうだと思って買った本
  - まだ見れてないんだよなぁこれが
- データ分析によるネットワークセキュリティ | Michael Collins, 中田秀基, 木下哲也 |本 | 通販 | Amazon
ゼロトラストネットワーク ―境界防御の限界を超えるためのセキュアなシステム設計
- 丁度ゼロトラストネットワークについて色々言われてた時期に、流行に乗るために買って読んだ本
- 位置づけ的には発展だと思う。
- 一度理解したはずなのに、記憶が飛んでる気がする..
- ゼロトラストネットワーク ―境界防御の限界を超えるためのセキュアなシステム設計 | Evan Gilman, Doug Barth, 鈴木研吾 |本 | 通販 | Amazon
実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画
- 元々CSIRT系のことをしたかったこともあってとりあえず買った本
  - 付箋ははってあるので、読んだらしい(なお記憶)
- 実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画 | Jeff Bollinger, Brandon Enright, Matthew Valites, 飯島卓也, 小川梢, 柴田亮, 山田正浩, 谷崎朋子 |本 | 通販 | Amazon
インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法
- これも何かの機会に買った本
  - これも付箋ははってあるので(以下同
- インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法 | Scott J. Roberts, Rebekah Brown, 石川朝久 |本 | 通販 | Amazon
実践ネットワークセキュリティ監査―リスク評価と危機管理
- 実践CSIRTプレイブックの関連書籍として出てきていたので買った本
- タイトルと内容の雰囲気的にCSIRTがすることと直結していそう
  - 読んだ形跡はないので、感想をお待ちしております
- 実践ネットワークセキュリティ監査―リスク評価と危機管理 | クリスマクナブ, McNab,Chris, 公章, 鍋島, ネットワークバリューコンポネンツ |本 | 通販 | Amazon

雑学系

エンジニアの教科書シリーズ(インフラ, インフラ2, ネットワーク)
- セキュリティエンジニアの教科書が良かったので買ったものの、ちゃんと読めてないのでここに分類

ハードウェアやIoT

The IoT Hacker's Handbook: A Practical Guide to Hacking the Internet of Things
- 多分IoTハッキングの教科書と同等かそれ以上に詳しい気配がしている
  - なお全編英語なので挫折した
- Amazon | The IoT Hacker's Handbook: A Practical Guide to Hacking the Internet of Things | Gupta, Aditya | Internet & Networking

コンピュータアーキテクチャやリバースエンジニアリング系

自作エミュレータで学ぶx86 アーキテクチャ　コンピュータが動く仕組みを徹底理解！
- 後述のデバッガによるx86プログラム解析入門寄りは優しかった印象
- ただ現物が手元にないため内容を確認できないので、既読本に入れなかった
- 自作エミュレータで学ぶx86アーキテクチャコンピュータが動く仕組みを徹底理解！ | 内田公太, 上川大介 | 工学 | Kindleストア | Amazon
デバッガによるx86プログラム解析入門 x64対応版
- 読んだ形跡と記憶はあるけど、だいぶ苦しんだ記憶がある
  - 内容は忘却の彼方
- デバッガによるx86プログラム解析入門 | Digital Travesia管理人うさぴょん |本 | 通販 | Amazon
リバースエンジニアリングバイブルコード再創造の美学
- すごくオススメされて買ったは良いものの、当時初学者から初心者くらいのレベル感の私には無理でした
- 当分使う機会がないですが、いつかリトライしたい
- リバースエンジニアリングバイブル ~コード再創造の美学~ | 姜秉卓, 金輝剛, 金凡峻 |本 | 通販 | Amazon
初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る
- こちらもかくしかで買った本
- 結局読んだのは表層解析の部分までだったと思う
- おそらく結構わかりやすい部類にあると思う
- https://www.amazon.co.jp/%E5%88%9D%E3%82%81%E3%81%A6%E3%81%AE%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E8%A7%A3%E6%9E%90-%E2%80%95Windows%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E3%82%92%E8%A7%A3%E6%9E%90%E3%81%99%E3%82%8B%E3%81%9F%E3%82%81%E3%81%AE%E6%A6%82%E5%BF%B5%E3%80%81%E3%83%84%E3%83%BC%E3%83%AB%E3%80%81%E3%83%86%E3%82%AF%E3%83%8B%E3%83%83%E3%82%AF%E3%82%92%E6%8E%A2%E3%82%8B-Monnappa-K/dp/4873119294/ref=sr_1_1?__mk_ja_JP=%E3%82%AB%E3%82%BF%E3%82%AB%E3%83%8A&crid=316V44346FDWA&keywords=%E5%88%9D%E3%82%81%E3%81%A6%E3%81%AE%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2&qid=1681305007&s=digital-text&sprefix=%E5%88%9D%E3%82%81%E3%81%A6%E3%81%AE%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%2Cdigital-text%2C162&sr=1-1-catcorr
マルウェアデータサイエンス　サイバー攻撃の検出と分析
- こちらは普通に気になって買ってみたものの、読むタイミングを見失ってしまった本
- マルウェアデータサイエンスサイバー攻撃の検出と分析 | Joshua Saxe, Hillary Sanders, 株式会社クイープ | 工学 | Kindleストア | Amazon

雑多なその他

ソーシャル・エンジニアリング
- 普通に面白い
- 仕掛けようと思ったら仕掛けられる側だと自分自身思っているので、やりませ...ん、多分

アドバイス的な何か

初学者・初心者からしたらわからない言葉だらけでしんどいかもしれませんが、まず一周してみましょう。また似た系統の本があれば読んでみましょう。
健康大事！根を詰めすぎないように！！

ポエム

　さて、すべての本やサイトのURLを記載したことによって、文字数が26000字を超えました。どうしてこうなった(マジで)

　そして本を改めて読んでみたり、眺めてみたのですが、忘れていることが多いですね！使わない知識などはどんどん消えていくんだなぁっと改めて思いました。また、一時期迷走していた名残で、ネットワーク系が酷いことになってますね....何時かなんとかします。

　さて、足跡の振り返りもできたので、自分的にはいい機会だったように思います。冒頭のほうでも記載したかと思いますが、ちょくちょくこの一覧は更新していこうかと思いますが、自分の読書記録に近いので、最新の本や情報が載っているとは思わないようにしてください。

　また後進のことを言える立場ではないですが、やはり後の人達が苦しむことが減ったら良いと思うので、先達の皆さんには「この本オススメだよ！このサイトいいよ！」などコメントをいただきたく存じます。

p.s.

　先日家族に、「東京にいるのにオシャンなカフェ巡りとかしないってどういうこと！？カフェと言ったらファミレスしか思い浮かばんのちゃう！？東京のおしゃれなOLっぽいことしなよ！人生の豊かさも追及しろ！」と言われてしまいました。

　おしゃれなOLって何するんでしょうねぇ～....とりあえず引きこもりをしているので、外出る訓練として剣道を再開します。また奨学金とかの清算...etc.が終わったらGB350に乗って、各所を巡ってみたいなぁっと思います。

　オタクの皆も、ゲームとかCTFとか楽しいの分かるけど外出ような！！