犬飼たつきちのコードライフ

#プログラミング #ソフトウェア

Webセキュリティを勉強する前に知るべき注意点と対策

Webセキュリティ

はじめに:ハッキングを学ぶことへのモヤモヤ

Webセキュリティを学び始めると、多くのSEが一度はこう感じます。

  • ハッキング系の情報をGoogleやAIに聞きまくって大丈夫なのか
  • 侵入テストやバグハンティングを学びたいが、犯罪者扱いされないか
  • WAFさえ入れれば十分なのでは?セキュリティエンジニアって本当に必要?

この記事では、こうしたモヤモヤを整理しつつ、
「SEがホワイトな範囲で攻撃側を学び、最終的にバグハンターとして実務に活かす」
ための考え方をまとめます。

1. ハッキングを質問しても「即アウト」ではない理由

法律とプラットフォームのざっくりした線引き

日本の不正アクセス禁止法などで処罰されるのは、基本的に「実際の不正アクセス行為」や「その手助け」です。
一方で、

  • 脆弱性の原理を学ぶ
  • 書籍やブログ、動画で知識を得る
  • 自分の管理下の環境で再現してみる

といった「学び」は、目的が防御であれば通常は違法ではありません。
ただし、学びならば免責と明示されていないため、注意が必要なのは変わりがありません。
例えば、「他人の識別符号の不正取得・保管」「不正アクセス行為の助長」などに当たると処罰対象になり得るため、学びであっても線引きには注意が必要です。

Google や AI も、主に以下のような場合にアカウントを止めます。

  • 実際の攻撃(マルウェア配布、ボットネット運用など)をしている
  • 明確に犯罪目的のコードや手順を大量生成させている
  • ガイドラインを無視した使い方(自動大量アクセス、スパム行為など)を続ける

つまり、

「他人のサイトをどう攻撃するか」を聞く → 危険寄り
「自分のサービスを守るために攻撃手法を理解したい」と聞く → 許容されやすい

この文脈の違いが重要です。

安全に質問するためのちょっとしたコツ

  • 目的を明示する
    「自分のWebアプリを守るために」「CTFの勉強として」など、防御・教育目的であることを書いておく。

  • 特定の第三者システムを狙う文脈にしない
    「○○社のログインを破る方法を教えて」は完全にアウト。

  • マルウェア開発そのものを依頼しない
    ランサムウェアやスパイウェアの開発を直接手伝わせるのは、ほぼどのサービス規約でもNG。

2. 「WAFがあるから大丈夫」はどこまで本当か

現場でよく聞くのが、

「WAF入れてるから、アプリ側はそれなりでOKでしょ?」

という発想です。
結論からいうと、WAFは強力なレイヤーの1つですが、それだけでセキュリティが完結することはありません。

WAFで防げないもの

  • 未知・ゼロデイ系の攻撃
    多くのWAFは既知パターンベースで検知します。
    ルールの裏をかく新手法や、ゼロデイ脆弱性を突く攻撃は普通にすり抜けます。

  • ビジネスロジックの欠陥
    例:権限チェック抜け、決済ロジックの抜け穴、レースコンディションなど。
    リクエスト自体は「一見正常」なので、WAFには不正と判別しづらい領域です。

  • 内部・クライアントサイド・非Web領域
    社内ネットワーク、端末感染、ブラウザ拡張やサプライチェーン攻撃など、HTTP入口以外はWAFの守備範囲外です。

WAF自体も「放置すると穴だらけ」

  • 誤検知・誤ブロック(False Positive)の調整
    何でもかんでもブロックすると業務に影響するため、ルールの有効/無効や閾値調整が必要です。

  • 新しい攻撃への追従
    ルールセットの更新、ログの分析、WAFバイパスの検証など、継続的な運用が前提です。

これらは誰かが設計・運用・監視しなければならず、その役割を担うのがセキュリティエンジニアです。

3. セキュリティエンジニアは何をしているのか

WAFだけではカバーできない部分を埋め、全体の防御を設計・運用するのがセキュリティエンジニアの仕事です。典型的な役割は次のようなものです。

  • 設計段階のセキュリティレビュー
    権限設計、入力検証、認証・認可フロー、セッション管理などを設計時点でチェック。

  • コードレビュー・脆弱性診断
    手動・自動の両方を組み合わせ、アプリケーションの脆弱性を特定してフィードバック。

  • 各種防御ツールの導入・運用
    WAF、IDS/IPS、EDR、SIEM などを組み合わせ、検知・防御・ログ管理を設計・自動化。

  • インシデント対応
    侵入が発生した際の原因調査、封じ込め、再発防止策の立案と導入。

WAFは「玄関のガードマン」だとすると、セキュリティエンジニアは「建物の設計者」「防犯システムの設計者兼オペレーター」というイメージに近いです。

4. 侵入テスト(ペンテスト)とAIの付き合い方

多くのSEにとって、侵入テストは興味のある領域だと思います。
同時に、

「侵入テストこそAIに支援してほしいけど、これは危険なのでは?」

という不安も出てきます。

AIにやらせて良い領域

安全側に寄せるなら、AIには次のような役割を持たせるのが現実的です。

  • ドキュメント・レポート支援
    テスト結果の要約、報告書のドラフト、顧客向け説明文の作成など。

  • ナレッジの整理
    「XX脆弱性が見つかったときの一般的な影響と対策」「OWASP Top 10 のある項目の整理」など、既知ナレッジのサマリ。

  • テスト計画と優先順位付け
    スコープ設計の相談、想定される攻撃ベクトルの洗い出し、リスクベースでの優先度の整理。

AIにやらせると危険な領域

  • 特定の第三者システムへの攻撃コード・手順の生成
  • マルウェアそのものの設計・実装支援
  • 規約を明示的に回避しようとする「脱獄プロンプト」的な使い方

実務でAIを使うのであれば、

  • 「自分に正式なテスト権限がある範囲」のみ対象にする
  • 実際の攻撃コードの最終的な作成・実行は自分の責任で行う
  • 各サービスの利用規約・ポリシーを一度は読んでおく

といった前提は押さえておくべきです。

ここでの線引きは、不正アクセス禁止法などの法律だけでなく、利用しているAIサービスやクラウドサービスの利用規約、ペンテスト契約・NDAなどの契約条件にも従う必要がある、という点も押さえておきたいところです。

5. SEがバグハンターとしてキャリアに活かす道

攻撃側の知識を「ホワイトに」活かす出口の1つが、バグバウンティ(バグハンティング)です。

バグバウンティとは

  • 企業やプロジェクトが公開したルールの範囲内で脆弱性を探し、報告すると報奨金が支払われる仕組み。
  • 1件あたり数千円〜数十万円以上と幅があり、特にクリティカルな脆弱性では高額報酬もあります。
  • 専業で取り組むハンターも存在し、副業として取り組むエンジニアも多いです。

ポイントは、「ルールで許可された範囲を、正しい手順で攻撃する」こと。
これは、違法な不正アクセスとは本質的に異なります。

実務・キャリアへのつなげ方

SE視点では、バグハンティングは次のような形で活きてきます。

  • 実案件のセキュリティ品質を上げる
    実際に脆弱性を見つけて報告した経験が、そのまま設計・実装時の注意力やレビュー精度に反映されます。

  • 「実績」として見せやすい
    どのプロダクトでどんな脆弱性を発見したか(守秘の範囲内で)、客観的な成果として示しやすい。

  • いずれセキュリティ職に寄せたい場合の足掛かり
    アプリケーションセキュリティエンジニア、ペンテスター、セキュリティコンサルタントなどへの転身の材料になります。

おわりに:攻撃側を「怖がらず、浮かれず」学ぶ

SEがWebセキュリティを真面目に学ぼうとすると、

  • ハッキングを学ぶこと自体、危険なのでは?
  • WAFを入れれば十分なのでは?
  • 侵入テストやバグハンティングはグレーでは?

といった疑問が自然に湧いてきます。

この記事のポイントをざっくりまとめると、

  • 学習・防御目的で攻撃手法を学ぶこと自体は、適切な範囲なら問題になりにくい
  • WAFは強力だが万能ではなく、セキュリティエンジニアの役割はむしろ増えている
  • AIは「知識整理・ドキュメント支援」にうまく使い、実攻撃コード生成は慎重に
  • バグバウンティは、攻撃知識をホワイトにマネタイズしつつ、キャリアにもつながる出口の1つ

というあたりになります。

「攻撃側を学ぶこと=悪」という単純な図式ではなく、ルールを守りつつ、攻撃の知識を「守る力」と「キャリア資産」に変えていく。
SEにとってのWebセキュリティ学習は、そのための実践知だと捉えると動きやすくなるはずです。