あけおスクールに多額のお金を支払う前に、僕の記事で学習してね!
はじめに
サーバーやWebサービスの話になると、
必ず出てくる言葉があります。
- セキュリティ
- 脆弱性
- 攻撃
でも多くの人が、
「難しそう」
「専門家の領域では?」
と感じてしまいます。
安心してください。
Webエンジニアに必要なのは
“完璧な対策”ではなく
“正しい考え方”です。
この記事では、
- サーバーセキュリティの基本的な考え方
- 代表的な対策の役割
- Webエンジニアが意識すべきポイント
を、初心者向けに整理します。
セキュリティとは何を守るものか?
まず大前提です。
サーバーセキュリティが守るものは、
- ユーザー情報
- サービスの継続性
- 企業の信頼
です。
👉
「攻撃を防ぐ」だけが目的ではありません。
なぜサーバーは攻撃されるのか?
理由はとてもシンプルです。
- インターネットに公開されている
- 自動攻撃ツールが存在する
- 脆弱なサーバーは狙われやすい
👉
有名・無名は関係ありません。
セキュリティ対策の基本方針
セキュリティ対策の基本は、
1つで守らない
です。
- 複数の層で守る
- 失敗を前提にする
この考え方を
多層防御と呼びます。
ファイアウォールとは何か?
ファイアウォールとは、
通信を制御する門番
です。
- 許可された通信だけ通す
- 不要なポートは閉じる
👉
最初の防御ラインです。
ファイアウォールで守れるもの
- 不要なアクセス
- 明らかに不正な通信
ただし、
Webアプリの中身までは見ません。
IDS / IPSとは何か?(概要)
IDS / IPS は、
不正な通信を検知・防御する仕組み
です。
- IDS:検知して通知
- IPS:検知して遮断
👉
ネットワークレベルの防御です。
WAFとは何か?
WAF(Web Application Firewall)とは、
Webアプリを守るための専用防御装置
です。
WAFの役割
WAFは、
- SQLインジェクション
- XSS
- 不正なリクエスト
など、
Webアプリ特有の攻撃を防ぎます。
👉
Webエンジニアと相性が良い防御策です。
なぜWAFが重要なのか?
理由は、
- アプリのバグはゼロにできない
- 攻撃は自動化されている
からです。
「最後の砦」
として
WAFが使われます。
サーバーセキュリティと三層構造
三層構造では、
- Web層:FW / WAF
- AP層:認証・認可
- DB層:アクセス制御
という
役割分担で守ります。
Webエンジニアが直接関わるセキュリティ
Webエンジニアが特に意識すべきなのは、
- 認証・認可
- 入力値チェック
- セッション管理
- 権限チェック
👉
アプリ側の安全性です。
「インフラ任せ」は危険
よくある誤解です。
「WAFがあるから大丈夫」
WAFは
万能ではありません。
- ロジックの不備
- 権限ミス
は
アプリ側でしか防げません。
HTTPSは最低限必須
通信の暗号化は
前提条件です。
- パスワード
- セッションID
を
平文で流さないこと。
👉
HTTPSは
「対策」ではなく
常識です。
Webエンジニアはどこまで理解すべきか?
結論です。
以下が説明できれば十分です。
- なぜ攻撃されるか
- 多層防御の考え方
- FW / WAF の役割
- アプリ側の責任
専門的な設定は
インフラエンジニアの領域です。
この理解があると何が良い?
- セキュリティの会話が分かる
- レビューで指摘できる
- 「危ないコード」に気づける
👉
エンジニアとしての信頼が上がります。
次に学ぶべきこと
サーバーセキュリティが分かったら、
次は👇です。
👉 サーバー運用の基本
(ログ・バックアップ・監視)
まとめ
- セキュリティは考え方が重要
- 多層防御が基本
- FW / WAF で役割分担
- Webエンジニアにも責任がある
この記事は
サーバー基礎章の守りの要です。
あけおあなたの挑戦を応援しています!!
