フロントエンド開発のためのセキュリティ入門―知らなかったでは済まされない脆弱性対策の必須知識

平野 昌士【著】/はせがわ ようすけ/後藤 つぐみ【監修】

翔泳社（2023/02発売）

• サイズ B5判／ページ数 250p／高さ 23cm
• 商品コード 9784798169477
• NDC分類 547.48
• Cコード C3055

出版社内容情報

Webアプリケーションの堅牢化に欠かせない知識を凝縮！
セキュリティ学習のスタートに最適の一冊！

本書は、安全なWebアプリケーションを開発するための基本知識を、フロントエンドエンジニア向けに解説したセキュリティの入門書です。

これまでWebアプリケーションの開発で、セキュリティは「バックエンドの仕事」というイメージの強い領域でした。しかし、アプリケーションの安全性を高めるためには、フロントエンドエンジニアにも、セキュリティの基礎知識や具体的な対策の実践が求められます。

本書では、Webセキュリティの必須知識である「HTTP」「オリジン」などの基礎トピックや、「XSS」「CSRF」といったフロントエンドを狙ったサイバー攻撃の仕組みを、サンプルアプリケーションを舞台にしたハンズオンで学びます。

もちろん、攻撃からユーザーを守る防御の手法もしっかりおさえます。個々の攻撃手法に応じた対策のほか、「認証機能の実装」「JavaScriptライブラリの安全な使い方」など、開発現場で役立つ実践的な脆弱性対策もカバーしているので、自分の開発で取り入れられるセキュリティ向上のヒントが多く見つかるはずです。

■目次
第1章　Webセキュリティ概要
第2章　本書のハンズオンの準備
第3章　HTTP
第4章　オリジンによるWebアプリケーション間のアクセス制限
第5章　XSS
第6章　その他の受動的攻撃（CSRF、クリックジャッキング、オープンリダイレクト）
第7章　認証・認可
第8章　ライブラリを狙ったセキュリティリスク
付録　HTTPS化

【著者】
●平野 昌士
サイボウズ株式会社 フロントエンドエンジニア
JSConf JPスタッフや関西Node学園といったコミュニティの運営を行う傍ら、OSS活動にも取り組んでおり、Node.js Core Collaborator（コミッター）に選出されている。WebとJavaScriptが好きでブログや雑誌の記事執筆、イベントでの講演など多数。

【監修】
●はせがわ ようすけ
株式会社セキュアスカイ・テクノロジー 取締役CTO
Internet Explorer、Mozilla FirefoxをはじめWebアプリケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014、CODE BLUE 2016他講演多数。

●後藤つぐみ
株式会社セキュアスカイ・テクノロジー セキュリティエンジニア
脆弱性診断業務に従事する傍らで、同社内の脆弱性診断員に向けた業務マニュアルの作成およびレビューをリードする。

内容説明

Ｗｅｂアプリケーションの堅牢化に欠かせない知識を凝縮！本書は、安全なＷｅｂアプリケーションを開発するための基本知識を、フロントエンドエンジニア向けに解説したセキュリティの入門書です。Ｗｅｂセキュリティの必須知識である「ＨＴＴＰ」「オリジン」などの基礎トピックや、「ＸＳＳ」「ＣＳＲＦ」といったフロントエンドを狙ったサイバー攻撃の仕組みを、サンプルアプリケーションを舞台にしたハンズオンで学びます。もちろん、攻撃からユーザーを守る防御の手法もしっかりおさえます。個々の攻撃手法に応じた対策のほか、「認証機能の実装」「ＪａｖａＳｃｒｉｐｔライブラリの安全な使い方」など、開発現場で役立つ実践的な脆弱性対策もカバーしているので、自分の開発で取り入れられるセキュリティ向上のヒントが多く見つかるはずです。解説はセキュリティを学ぶのが初めての人でも読み進められるよう、基本的な用語からひとつずつ丁寧に説明しています。また取り上げるトピックも、フロントエンドエンジニアが最低限おさえておくべき内容に厳選しました。対象読者―業務経験１～３年目のフロントエンドエンジニア、Ｗｅｂセキュリティを学び始めたいＷｅｂエンジニア、Ｗｅｂアプリケーションの具体的なセキュリティ対策を手を動かしながら学びたい人。

目次

第１章　Ｗｅｂセキュリティ概要
第２章　ハンズオンの準備
第３章　ＨＴＴＰ
第４章　オリジンによるＷｅｂアプリケーション間のアクセス制限
第５章　ＸＳＳ
第６章　その他の受動的攻撃（ＣＳＲＦ、クリックジャッキング、オープンリダイレクト）
第７章　認証・認可
第８章　ライブラリを狙ったセキュリティリスク
ＡＰＰＥＮＤＩＸ　本編では扱わなかったトピックの学習

著者等紹介

平野昌士［ヒラノマサシ］
サイボウズ株式会社フロントエンドエンジニア。フロントエンド開発の業務に従事する傍らで、ＯＳＳ活動やＪＳＣｏｎｆ　ＪＰなどのコミュニティ運営に携わっている。Ｎｏｄｅ．ｊｓ　Ｃｏｒｅ　Ｃｏｌｌａｂｏｒａｔｏｒ（コミッター）に選出されている。ＷｅｂとＪａｖａＳｃｒｉｐｔが好きでブログや雑誌の記事執筆、イベントでの講演など多数

はせがわようすけ［ハセガワヨウスケ］
株式会社セキュアスカイ・テクノロジー取締役ＣＴＯ。Ｉｎｔｅｒｎｅｔ　Ｅｘｐｌｏｒｅｒ、Ｍｏｚｉｌｌａ　ＦｉｒｅｆｏｘをはじめＷｅｂアプリケーションに関する多数の脆弱性を発見。Ｂｌａｃｋ　Ｈａｔ　Ｊａｐａｎ　２００８、韓国ＰＯＣ　２００８、２０１０、ＯＷＡＳＰ　ＡｐｐＳｅｃ　ＡＰＡＣ　２０１４、ＣＯＤＥ　ＢＬＵＥ　２０１６他講演多数

後藤つぐみ［ゴトウツグミ］
株式会社セキュアスカイ・テクノロジーセキュリティエンジニア。脆弱性診断業務に従事する傍らで、同社内の脆弱性診断員に向けた業務マニュアルの作成およびレビューをリードする（本データはこの書籍が刊行された当時に掲載されていたものです）
※書籍に掲載されている著者及び編者、訳者、監修者、イラストレーターなどの紹介情報です。

感想・レビュー

※以下の感想・レビューは、株式会社ブックウォーカーの提供する「読書メーター」によるものです。

[リットン]

勉強になった。この本のハンズオン自体はやってないけど、当該の脆弱性対応について自分で作ったアプリを見直しつつ、自分がよく開発するフレームワークでの対応を触りながら読むことで、理解が深まった気がする。

2024/03/26

[高崎晃]

範囲をフロントに絞っている分、ハンズオンも含めて取っ付きやすいかなと感じました。

2023/08/03