情報系?ナニソレオイシイノ?から始めるセキュリティ入門本まとめ
とても悲しいことに、在学時に学内Slackでまとめていたオススメ本のリストが、Slackの90日ルールで消し飛んでしまいました。そして新年度&&最後に更新してから数年経ったこともあり、改めて初学者にオススメの本やサイトを分野別/レベル別
になるべく分類して、まとめてみようと思います。
まったくSlackさんよぉ!!
免責
- 法律は順守しましょう。
- 全体的に筆者の主観と雑感が多いに含まれています。所属する組織の立場や意見・見解ではありません。
- 上記のことから真面目に読みすぎず、軽い気持ちで読んでください。
- セキュリティ、ひいては情報系に関する学習を始めた2018年から今現在に至るまでの本やサイトの紹介となっております。仕組みや原理に関する本が多めとはいえ、古くなっているものもございます。ご了承くださいませ。
- また筆者が通ってきた分野的にWebやハードウェアへの偏りが激しいです。こちらに関してもご了承くださいませ。
対象読者
「セキュリティ面白そう!ハッカーになってみたい!でも情報系の知識何もない!」な完全初学者 ~ 「ある程度情報系について知っているけど、何から手を出したらいいかわからない...」な初心者が対象です。CTFでゴリゴリやっている人は、むしろオススメ本やサイトをコメント等で教えてください。
それと大学で情報系学部に在学している場合は、授業をしっかり聞くのをお勧めします。(マジで)
レベル感
- 超入門
- 右も左もわからない。迷える子羊
- 入門
- 完全に理解した状態。次第に「何もわからん...」になっていく
-
自信と理解度の関係を図にしました。#完全に理解した pic.twitter.com/SA638Vy9UH
— 廻転楕円体 / Kaitendaentai (@kaitendaentai) 2018年10月17日
- 発展
- ここまで来たら大丈夫。あとは手を動かしていこう
- なにか気になることがあったら深堀していこう
- 下記でいうところの中級者寄りの初心者くらいのレベル感のつもり。だが、もう少し難易度が高めのが混じっている可能性大
- www.slideshare.net
- 雑学系
- よかった記憶があるけど、上記には含めれないやつ
- 時間があるときに読むとよいかもしれない
$ whoami
- 名前 通りすがりの鶴 (Twitter; Citron_Turu)
- 仕事: セキュリティエンジニア見習い
- 最初期状態
- 電気電子工学に進みたかった理系
- 学部に「基盤設計コース」なるものがあり、電気電子系できるやん!っと思ったが、基板ではなかった
- なんやかんやで分解大好き少女になった
- HTML?CSS?ナニソレオイシイノ?メモリとCPUって何??
- セキュリティコースあるやん、面白そ~!(っと思ったのが運の尽きかもしれない)
- 電気電子工学に進みたかった理系
- 性格というか性質というか
- ネットの海の情報は玉石混合で、初心者が見分けるのは難しい&&体系的に学ぶことが難しいと思っているので、本(と公式ドキュメント)を優先して読むタイプ
- ただ要領が悪く、計画性がないほうなため、あまり進まない
- 質問するのがとても苦手。何でも自分で解決しようとしちゃう(で沼る)
- 紙媒体のほうが辞書としてサッと引けるし、文字が滑っていかないので、電子書籍より紙媒体派
構成
大きく2つに分類しています。一つ目の既読本
は読了済みで、ばっちりオススメできる本やサイトです。二つ目の未読本
は人からおすすめされたものの未読了であったり、読了したものの、読了時からずいぶん時間がたって記憶が薄かったり、読む人を選びそうな本です。
また既読本
では、コンピュータってそもそも何?のレベルの本に始まり、Web、ネットワーク、ハードウェアやIoTといった分類に加えて、先述のレベル感に分類しています。一方の未読本
では、Web、ネットワークといった分類はしているものの、レベル感の振り分けができていないです。何時か読了したら、既読本
に追加等するかもしれません。
既読本
セキュリティ以前の前提系
超入門
- コンピュータサイエンス図鑑
- 情報系で必要となる言葉などがざっくり網羅されている
- イラストが多めで、超初学者にはオススメ
決定版 コンピュータサイエンス図鑑 | クレール・クイグリー, パトリシア・フォスター, 山崎 正浩, ヘレン・コールドウェル | コンピュータ・IT | Kindleストア | Amazon
- 情報系で必要となる言葉などがざっくり網羅されている
- パソコンの仕組みの絵本
- CPUって何?メモリって何?どんな役割をしているの?がまとまった本
- こちらもイラストが多くてオススメ
- 久しぶりに見たら結構色々載っている
入門
- おうちで学べるシリーズ (セキュリティ、ネットワーク、サーバ)
- ガサっとまとめたけど、この辺は各々網羅性があって入門書としておすすめ
- 他にもシリーズがあるけど、上記3つ抑えておくと大体大丈夫なはず。
- マスタリングTCP/IP 入門編
- 言わずと知れたネットワークの基礎の本
- ネットワークとIoT以外についてする場合は「あとで必ず読む」であったり、さらっと流し読みしておくとよいかも。
- なお初学者的には激重。要注意
- マスタリングTCP/IP―入門編―(第6版) | 直也, 井上, 公保, 村山, 隆史, 竹下, 透, 荒井, 幸雄, 苅田 |本 | 通販 | Amazon
セキュリティに触れ始めるレベル感
Web
超入門
- PortSwiggerのWeb Security Academyの解説文
- webアプリケーションに関することならほぼほぼ載っているといっても過言ではない
- ハンズオン形式で学ぶことができるが、ひとまず解説文だけでも読ももう
- 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
- 言わずと知れた鈍器。セキュリティ界隈だと「徳丸本」と言われる
- PortSwiggerのAcademyは解説&攻撃のハンズオンであるのに対して、解説とどういった影響があるのかに絞っているような気がする
発生個所・影響を受けるページ・影響の種類・利用者関与の度合い・対策概要
が一か所にまとまって書いてあるので、脆弱性診断士にとってはかなりうれしい- 辞書として使うととてもよい
- 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践 | 徳丸 浩 |本 | 通販 | Amazon
入門
- PortSwiggerのWeb Security AcademyのLAB(Apprentice&Practitioner)
- まず一種類の脆弱性について、一通りApprenticeをやってからPractitionerをすると、体系的に身についてよかった気がする
- Practitionerについては解答見ながらでも一通りやってみるべし。ある程度時間をおいてからもう一回すると、意外と解けるようになっているぞ!!
- XSS game
- XSSについて5問出題される。
- 結構初心者向きだと思う
- OWASP Juice Shop | OWASP Foundation
- ソフトウェアセキュリティの向上を目指して活動している団体であるOWASPが出している
- OWASPについてはこちら : https://owasp.org/
- Dockerで動かすことができる
- 「どっから始めたらええねん!?」となるが、ちょっとずつヒントが出るので、ヒントに従ってやってみよう。星2を解答見ずにできるようになると、発展に片足突っ込むくらいのレベル感になると思う
- ソフトウェアセキュリティの向上を目指して活動している団体であるOWASPが出している
発展
OAuth徹底入門 セキュアな認可システムを適用するための原則と実践
- OAuth2.0の特にアーキテクチャについて知りたくなったら手を出す本
- 良いタイミングで図解が入っていたり、わかりやすい
- 実装サンプルが載っているところが推せる
- OAuth徹底入門 セキュアな認可システムを適用するための原則と実践 | Justin Riche, Antonio Sanso, 須田 智之, Authlete Inc. | コンピュータ・IT | Kindleストア | Amazon
-
- SQL Injectionについて色々試せるサイト
- 50問ほどあるので、実力を試す意味でも、更なる高みへ目指す意味でもよい
雑学系
- セキュリティエンジニアの教科書
- セキュリティエンジニアの仕事って?に重きを置いている
- リスクマネジメントの話であったり、セキュリティエンジニアだけでなく、セキュリティに関わる何かしらの職につくなら知っておくと良さそうな話もある
- セキュリティエンジニアの教科書 | セキュアデザインセンター | 工学 | Kindleストア | Amazon
Network & ペネトレーションテスト系
今まで若干避けてきたのと、最近ちょこちょこやり始めたこともあって、まだロードマップは出来上がってないですが、それでもオススメできそうなものを記載しておきます。
(実は未読本
に分類した本が多いので、そちらを参照してください、ごめんなさい)
超入門 (Offense系)
未読本(手元になくて、レベル感の再確認ができなかった)に一冊置いてます
- TryHackMe | Cyber Security Training
- チュートリアルであったり、前提知識が結構載っている印象がある
- ちょっとずーーーつ知識レベルを上げていけると思うので、セキュリティ初学者には向いているかも(もしかしたら難しく感じるとこもあるかもしれない)
超入門 (Defense系)
- Linuxサーバーセキュリティ徹底入門 オープンソースによるサーバー防衛の基本
- どちらかというと運用寄りの本
- サーバのセキュリティ設定に関する勘所というか、最低限やっておくことが詰まっていると思う
- 何らかのサーバを構築する際にこれを片手に構築したりしている (門外漢なのでね!)
Linuxサーバーセキュリティ徹底入門 オープンソースによるサーバー防衛の基本 | 中島 能和 |本 | 通販 | Amazon
入門 (offense系)
サイバーセキュリティテスト完全ガイド Kali Linuxによるペネトレーションテスト
- サイバーキルチェーンにおける全段階について、攻撃者側が何をしているか書かれている
- 未読本寄りではあるけど、一連の流れについて確認して、良かった記憶があるので記載
- サイバーセキュリティテスト完全ガイド ~Kali Linuxによるペネトレーションテスト~ | Peter Kim, 八木橋優, 前田優人, 美濃圭佑, 保要隆明, 八木橋優, 前田優人, 美濃圭佑, 保要隆明, 株式会社クイープ |本 | 通販 | Amazon
ハッカーの学校
- 言わずと知れたハッカー御用達の本
- こちらもネットワークのハッキングについて詳しく書かれている
- 後述の
ハッキングラボの作り方
より難しめで、前述のサイバーセキュリティテスト完全ガイドと比較して、+aな情報が多くて超重量級- コマンドのオプションについてもしっかり書かれている印象がある
- ハッカーの学校 | IPUSIRON |本 | 通販 | Amazon
Hack The Box: Hacking Training For The Best | Individuals & Companies
- 難易度的にはTryHackMeをある程度して、自信がついてからするとよさげ
- CTF形式であったり、マシンを攻略していくタイプもある
- なお私はCTF形式(Web)しかやっていないので、その他分野がどうなっているかは知りません、ご了承ください
雑学系
- サイバー術 プロに学ぶサイバーセキュリティ
- ハッカーの思考と忍者の思考の原理が絡められてて、確かに~っといった感想を持つことが多い
- 著者は海外のかたにもかかわらず、忍術の巻物を列挙されてたり、どういった術があるか調べられてて普通に凄い
- なお実際にどうやるのか?の実例はないので、ハッカーの思考を垣間見る気持ちで読むとよさげ
- ついでにハッカーの学校の圧倒的情報量に圧倒され、しんどくなったタイミングで読むと、いい気分転換になりそう
- https://www.amazon.co.jp/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E8%A1%93-%E3%83%97%E3%83%AD%E3%81%AB%E5%AD%A6%E3%81%B6%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-Ben-McCarty/dp/4839977380/ref=tmm_pap_swatch_0?_encoding=UTF8&qid=1681519930&sr=8-1
ハードウェアやIoT
超入門
- (書籍ってわけではないけど...) The Arduino Starter Kit(日本語版) — スイッチサイエンス
- 研究室に転がっていたこのキットと同封の解説書を使い、友人たちにも教えてもらいつつ電子工作を覚えた
- そこからモータードライバの仕様書を読んだりして、回路図の読み方を覚えていったので、ハードウェアの入門としては良さげ
- が、学生的には中々お値段がするので、研究室の先生にお願いしてみると買ってくださるかもしれないです。大人は自分で買いましょう。
- 電子工作入門以前
- IoTハッキングをするにあたって、基板やチップの仕様書を理解する場面が出てくるので、一回読んでおくとよいかも
- 上記電子工作を通ったならパスして良いかも(回路図の知識があるならば)
- IoTハッキングをするにあたって、基板やチップの仕様書を理解する場面が出てくるので、一回読んでおくとよいかも
入門
- ハッカーの学校 IoTハッキングの教科書
- その名の通り教科書としてよく使っていた
- 教科書以外の言葉が出ぬ
- その名の通り教科書としてよく使っていた
発展
- IoTソフトウェア無線の教科書 ハッカーの技術書
- 無線系について知りたくなった時に手を出す本
- フレームフォーマットについても記載されていて、結構参考になる
- ネットワーク寄りではあるが、ひとまずIoT枠としてここに記載
暗号系
超入門
- 暗号技術入門 第3版 秘密の国のアリス
- 暗号に関する基礎的なことはすべて詰まっている
- ただ、初学者にとっては激重
- 暗号技術入門 第3版 | 結城 浩 |本 | 通販 | Amazon
なお暗号系(CTFだとCrypto)は完全に専門外なので、入門以降はないです。おそらく楕円曲線暗号など暗号そのものをより深堀していくんでしょうけど、先ほどもあったように専門外なので、だれかあああああああ!!おススメ教えてえええええええ!!
コンピュータアーキテクチャ系
CTFでいうところのPwnに当たるところを含みます。
超入門
- Maruさんのスライド
- 超わかりやすい
- PwnやReversingに関する超基礎が詰まってると思う
ここから先は私には無理だったので、誰かパス!よろしく!!
未読本
Web
- Webブラウザセキュリティ Webアプリケーションの安全性を支える仕組みを整理する
- 全体的にわかりやすくて良い....と思う
- ただ私自身の理解度と知識量の不足を無茶苦茶感じるので、理解して血肉にするまで至ってないのと、発展に分類するにしても初心者にはちょいと厳しすぎるんじゃない?ってことで一旦こちらに分類
Webブラウザセキュリティ Webアプリケーションの安全性を支える仕組みを整理する | 米内貴志 |本 | 通販 | Amazon
- 全体的にわかりやすくて良い....と思う
Network & ペネトレーションテスト
Offense系
ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習
- 多分王道だし、レベル感的には超入門でいいとおもう
- なお大学で読んだかなんかで現物がなく、内容の確認が取れなかったのでこちらに分類
- 多分王道だし、レベル感的には超入門でいいとおもう
サイバーセキュリティレッドチーム実践ガイド
- もはやパケ買いした本(表紙かっこいい)
- サイバーセキュリティテスト完全ガイドのアップデート版と期待して買った記憶があるような、ないような....
- もはやパケ買いした本(表紙かっこいい)
Defense系
一時CSIRT系のことをしたいなぁーっと思っていたので、その関連の本が多いです
セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術
- ログ分析系の超入門書的位置づけだと思っている
- 某青でNOC&SOCするにあたって買ったけど、読むタイミングを見失ってしまった本
- ログ分析系の超入門書的位置づけだと思っている
実践 パケット解析 第3版 ―Wiresharkを使ったトラブルシューティング
- ログ分析入門の後に読むとよいかもしれない
- Wiresharkのフィルタ方法とかの部分に付箋が貼ってあったし、なんとなく読んだ記憶がある
- が、血肉になっている気がしないのでこっちに分類
実践 パケット解析 第3版 ―Wiresharkを使ったトラブルシューティング | Chris Sanders, 高橋 基信, 宮本 久仁男, 岡 真由美 |本 | 通販 | Amazon
データ分析によるネットワークセキュリティ
- タイトル見て、面白そうだと思って買った本
- まだ見れてないんだよなぁこれが
データ分析によるネットワークセキュリティ | Michael Collins, 中田 秀基, 木下 哲也 |本 | 通販 | Amazon
- タイトル見て、面白そうだと思って買った本
ゼロトラストネットワーク ―境界防御の限界を超えるためのセキュアなシステム設計
- 丁度ゼロトラストネットワークについて色々言われてた時期に、流行に乗るために買って読んだ本
- 位置づけ的には発展だと思う。
- 一度理解したはずなのに、記憶が飛んでる気がする..
- ゼロトラストネットワーク ―境界防御の限界を超えるためのセキュアなシステム設計 | Evan Gilman, Doug Barth, 鈴木 研吾 |本 | 通販 | Amazon
実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画
- 元々CSIRT系のことをしたかったこともあってとりあえず買った本
- 付箋ははってあるので、読んだらしい(なお記憶)
- 元々CSIRT系のことをしたかったこともあってとりあえず買った本
インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法
- これも何かの機会に買った本
- これも付箋ははってあるので(以下同
- これも何かの機会に買った本
実践ネットワークセキュリティ監査―リスク評価と危機管理
- 実践CSIRTプレイブックの関連書籍として出てきていたので買った本
- タイトルと内容の雰囲気的にCSIRTがすることと直結していそう
- 読んだ形跡はないので、感想をお待ちしております
実践ネットワークセキュリティ監査―リスク評価と危機管理 | クリス マクナブ, McNab,Chris, 公章, 鍋島, ネットワークバリューコンポネンツ |本 | 通販 | Amazon
雑学系
ハードウェアやIoT
- The IoT Hacker's Handbook: A Practical Guide to Hacking the Internet of Things
- 多分IoTハッキングの教科書と同等かそれ以上に詳しい気配がしている
- なお全編英語なので挫折した
- 多分IoTハッキングの教科書と同等かそれ以上に詳しい気配がしている
コンピュータアーキテクチャやリバースエンジニアリング系
自作エミュレータで学ぶx86アーキテクチャ コンピュータが動く仕組みを徹底理解!
- 後述の
デバッガによるx86プログラム解析入門
寄りは優しかった印象 - ただ現物が手元にないため内容を確認できないので、既読本に入れなかった
- 自作エミュレータで学ぶx86アーキテクチャ コンピュータが動く仕組みを徹底理解! | 内田 公太, 上川 大介 | 工学 | Kindleストア | Amazon
- 後述の
デバッガによるx86プログラム解析入門 x64対応版
- 読んだ形跡と記憶はあるけど、だいぶ苦しんだ記憶がある
- 内容は忘却の彼方
デバッガによるx86プログラム解析入門 | Digital Travesia管理人うさぴょん |本 | 通販 | Amazon
- 読んだ形跡と記憶はあるけど、だいぶ苦しんだ記憶がある
リバースエンジニアリングバイブル コード再創造の美学
- すごくオススメされて買ったは良いものの、当時初学者から初心者くらいのレベル感の私には無理でした
- 当分使う機会がないですが、いつかリトライしたい
- リバースエンジニアリングバイブル ~コード再創造の美学~ | 姜 秉卓, 金 輝剛, 金 凡峻 |本 | 通販 | Amazon
- 初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る
- マルウェア データサイエンス サイバー攻撃の検出と分析
- こちらは普通に気になって買ってみたものの、読むタイミングを見失ってしまった本
- マルウェア データサイエンス サイバー攻撃の検出と分析 | Joshua Saxe, Hillary Sanders, 株式会社クイープ | 工学 | Kindleストア | Amazon
雑多なその他
- ソーシャル・エンジニアリング
- 普通に面白い
- 仕掛けようと思ったら仕掛けられる側だと自分自身思っているので、やりませ...ん、多分
アドバイス的な何か
- 初学者・初心者からしたらわからない言葉だらけでしんどいかもしれませんが、まず一周してみましょう。また似た系統の本があれば読んでみましょう。
- 健康大事!根を詰めすぎないように!!
ポエム
さて、すべての本やサイトのURLを記載したことによって、文字数が26000字を超えました。どうしてこうなった(マジで)
そして本を改めて読んでみたり、眺めてみたのですが、忘れていることが多いですね!使わない知識などはどんどん消えていくんだなぁっと改めて思いました。また、一時期迷走していた名残で、ネットワーク系が酷いことになってますね....何時かなんとかします。
さて、足跡の振り返りもできたので、自分的にはいい機会だったように思います。冒頭のほうでも記載したかと思いますが、ちょくちょくこの一覧は更新していこうかと思いますが、自分の読書記録に近いので、最新の本や情報が載っているとは思わないようにしてください。
また後進のことを言える立場ではないですが、やはり後の人達が苦しむことが減ったら良いと思うので、先達の皆さんには「この本オススメだよ!このサイトいいよ!」などコメントをいただきたく存じます。
p.s.
先日家族に、「東京にいるのにオシャンなカフェ巡りとかしないってどういうこと!?カフェと言ったらファミレスしか思い浮かばんのちゃう!?東京のおしゃれなOLっぽいことしなよ!人生の豊かさも追及しろ!」と言われてしまいました。
おしゃれなOLって何するんでしょうねぇ~....とりあえず引きこもりをしているので、外出る訓練として剣道を再開します。また奨学金とかの清算...etc.が終わったらGB350に乗って、各所を巡ってみたいなぁっと思います。
オタクの皆も、ゲームとかCTFとか楽しいの分かるけど外出ような!!