無料で読める情報セキュリティ文書をまとめてみた

最近は何かとセキュリティ流行りなので、こういうのがあると誰かに便利かなーと思ってまとめてみました。半分は自分用のリンク集です。

一応、取り上げた基準としては、以下の感じ。

  • 日本語であること。
  • 無料でWebで読めること。
  • 「文書」であること(ブログでも有用なものはもちろんたくさんありますが、敢えて外しました)。
  • セキュリティを学ぼうとする人に役立つもの。

Webラーニングプラザ eラーニング [科学技術振興機構]

「文書であること」と言いながらいきなり違う気がするけど、これはJSTがやっている無料のeラーニング。「情報通信」のところに、情報セキュリティコースがある。内容はかなり初歩の初歩だけど、高校生など、まずどこから手を付けていいかも分からない……という人にはここからがおすすめかな。

Linuxセキュリティ標準教科書 [LPI]

LPIが出している標準教科書シリーズの一つ。ちょっと痒いところに手が届かない感がチラホラ見られるけども、180ページと分量も少なめなので、まず基礎知識を身に付けるにはいいかな。

安全なウェブサイトの作り方 [IPA]

これはもう、日本中のプログラマ必読の書と言って良いだろう。内容は実に的確で分量も106ページと読みやすく、しかも無料。読まない理由が無い。

こういうお役所系の文書なんて、どうせ理想論だけ並べたような役に立たないやつでしょ……とか偏見を持っている方は、これを読めば色々と目ウロコのはずだ。別冊の「安全なSQLの呼び出し方」も合わせてどうぞ。

IPA ISEC セキュア・プログラミング講座 [IPA]

これも同じくIPAの文書。こちらは結構内容が古くて、JavaなどはJDK 1.4の頃が対象となっている。でもその分、C/C++などでどのようにバッファオーバーフローが起きるか……などから、アセンブラ周りまでの解説もあり、古典的な手法は一通りこれで押さえておける感じ。ということで目を通しておいた方がいいだろう。

Java セキュアコーディングスタンダード CERT/Oracle 版 [JPCERT]

Javaプログラミングにおける様々な注意事項を、ケースごとに解説している。「違反コード」「適合コード」と具体的に出してくれるため分かりやすい。C言語を使っている人は、同じセキュアコーディングのカテゴリに「CERT C セキュアコーディングスタンダード」があるのでこちらを参照すると良い。

TCP/IP チュートリアルおよび技術解説書 [IBM]

IBMによるRedbooks、TCP/IPネットワークの基礎知識本。この文書は業界ではかなり有名で、中身もとっても濃い。IPパケットの構造、ルーティング、TCPUDPなどTCP/IP入門書的なことはもちろん押さえつつ、セキュリティや負荷分散など応用的なことまで幅広い。

このPDF、なんと1018ページもあるので、実は全部きちんと読んだことは無い。が、何か不明点があればこのPDFに当たれば大抵の取っかかりはできるため、とても重宝している。これだけの文書を無料で公開してしまうIBMの底力には圧倒されてしまうわぁ。

ちなみにMicrosoftも似たようなものを出しているのだが(TCP/IP Fundamentals for Microsoft Windows (Microsoft))、全て英語である。

Internet Infrastructure Review(IIR) [IIJ]

IIJが年4回発行している季刊の技術レポート。インシデントのサマリや各種攻撃の観察など、内容はとっても濃くて面白い。これをきっちり読んでおけば、現在のインターネットで何がどう攻撃されているのか、についてキャッチアップできる。これだけの内容が無料とはありがたいことです。

OWASPドキュメント翻訳

(文書はリンク先の一番下の方、「Translations / OWASPドキュメント翻訳」からダウンロード可能)

こちらはOWASP(Open Web Application Security Project) Japanによる文書。「OWASP Top 10」はセキュリティ10大リスクをマトリックスで分かりやすく解説してくれており、初心者でも取っつきやすい。また「OpenSAMM(ソフトウエアセキュリティ保証成熟度モデル)」はソフトウェア開発モデルのフレームワーク的位置付けで、様々なフェーズでのセキュリティ指針を解説。こういう類の文書は、何かと机上の空論的な役に立たないものになりがちなんだけど、これはプロジェクトマネージャならば目を通しておきたい実践的な内容でなかなか良さげ。

また、フリーの脆弱性診断ソフト「OWASP ZAP」の運用マニュアルも重要。これ、なかなか日本語情報が無いので、こうしてまとめてくれているのは助かるなぁ。

FreeBSDハンドブック

FreeBSDはハンドブックがよくまとまっていることで有名で、Linuxを使っているからといってこれを読まないのはもったいない。15章「セキュリティ」はFreeBSDに限定した話でも無いので、全般的に役立つし読みやすいと思う。この他にも、「IV. ネットワーク通信」の辺りも参考になる。

Red Hat Enterprise Linux 6 マニュアル

RedHatのマニュアルはよく整備されており、開発者ガイドやパフォーマンスチューニングガイドなど、膨大な資料が無料で公開されている。Webで読めるHTML版と、ダウンロードできるPDF版があるので、お好きな方をどうぞ。

この中から、セキュリティ文書と呼べるのは「Security-Enhanced Linux」「セキュリティガイド」「仮想化セキュリティガイド」の3つかな。特にSE Linuxの資料は、数少ない日本語で読めるドキュメントとしてとても重宝する。

後者のセキュリティガイドも、RedHat固有の話が多いものの、「Apacheサーバのセキュア化」など色々な話が載っている。それぞれの分量は少なくて若干の物足りなさはあるが、そのぶん概要をざっくり押さえたい人にはおすすめである。

Nmap リファレンスガイド

ポートスキャンツールのnmapコマンドのWebページ、実はひっそりと日本語版もある。この文書は単なるコマンドリファレンスではなく、IDSの検出をどうやってすり抜けるか? などいかにもな記述が色々とあって面白い。一通り目を通してnmapのオプションに詳しくなることも重要。

不正アクセス行為の禁止等に関する法律

いきなりなんじゃいって感じだけど、とっても重要な不正アクセス禁止法の条文である。法律にはシロウトでも、読んでみると色々と味わい深い点があって楽しめる。

「アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」とか、「あーはいはい、パス盗んでログインしちゃダメってことね」とサクっと理解できないとこの業界(どこ?)では生きていけないのだ。しかし「識別符号」とは面白い言い回しだね。

ハッカーになろう (How To Become A Hacker)

これは心構えというか、歴史的な文書。ハッカー文化を知る、取っかかりに良い。

Whitepapers of Honeynet Project

これはThe Honeynet Projectのホワイトペーパーを翻訳されたもの。Script Kiddieはどういう行動を取るのか? とか、ボットネットはどういう風に動いているのか? などなど、フツーの教科書にはなかなか載っていないような貴重な文書が日本語で読める。とてもありがたい。


他にも良い文書があればコメントとかで教えてください。最後になりましたが、素晴らしい情報を公開してくださっている方々に感謝致します。