セキュリティとプライバシー
メモ: ご覧の通り、このモジュールは現在、カリキュラムの概要/シラバスのみであり、スターターガイドへのリンクがいくつか提供されているだけです。将来的には、時間が許せば、このモジュールを完全なコースに変換することを目指しています。
データを盗もうとする攻撃者から、自分自身やユーザーのデータを保護する方法と、その方法を理解しておくことが重要です。このモジュールでは、データを盗むことをより困難にするウェブサイトの強化と、ユーザーを追跡したり、不適切なサードパーティーと共有したりしないよう配慮したユーザーデータの収集方法、どちらにも応じた内容となっています。
前提知識
学習成果
5.1 セキュリティとプライバシーの基本
メモ:
- このモジュールに含まれるすべての基準に適合したからといって、学生が有資格のセキュリティエンジニアになれるわけではありませんが、ウェブ開発者がウェブセキュリティとプライバシーの基本を理解することは同様に重要です。
- また、多くのセキュリティ上の課題はサーバーサイドのコードの問題、またはクライアントサイドとサーバーサイドのコードの組み合わせによって発生していることを学生に理解させることも重要です。ブラウザーが正規の処理を行っている場合、多くのコードはわずかしかセキュリティリスクが発生しないことを紹介します。
学習成果:
-
セキュリティとプライバシーの違いを理解すること。
-
HTTP の一般的なモデルを高水準で理解すること。
-
HTTPS とは何か、そしてそれがなぜ重要なのかを学びましょう。
-
同一オリジンセキュリティ:
-
なぜこれがウェブの基本であるのか。
-
オリジン間リソース共有 (CORS) など、安全に回避する方法。
-
-
クッキーがどのように格納されるか、および、トラッキングなど、セキュリティやプライバシーへの影響。
-
セキュリティ上の課題が一般的に発生する状況について学ぶこと。
-
ユーザーに機密データ(パスワードやクレジットカード情報など)の提供を要求し、サーバーに送信する場合。
-
サーバーからデータをリクエストするとき。
-
サーバー間でデータを送信する場合(例えば、サーバーがウェブサービスからデータをリクエストする場合)。
-
ユーザーの状態をクッキーやその他の仕組みで保存するとき。
-
-
一般的なセキュリティの脅威と、その緩和策について学ぶこと。
-
クロスサイトスクリプティング (XSS)。
-
クロスサイトリクエストフォージェリー (CSRF)。
-
クリックジャッキング。
-
サービス拒否攻撃 (DoS)。
-
-
次のような、その他の重要な技術の目的を理解すること。
-
コンテンツセキュリティポリシー (CSP)。
-
権限ポリシー。
-
「強力な機能」をユーザーが起動するためのウェブモデル(またの名を「一時的な活性化」)。
-
5.2 データ保護法
学習成果:
-
ユーザーのプライバシーに関連の基礎概念を理解する。
-
個人識別情報 (PII)。
-
機密保持。
-
トラッキング。
-
フィンガープリンティング。
-
-
次のような、地域のプライバシーに関する法律に注意すること。
-
一般データ保護規制 (GDPR) (EU)。
-
データ保護施策 2018 (UK), gov.uk.
-
カリフォルニア消費者プライバシー施策 (2018) (US, CA), ca.gov.
-
児童オンラインプライバシー保護規則 (COPPA) (US), ftc.gov.
-
(訳注)個人情報の保護に関する法律(日本)
-
-
実装の観点から、そのような法律への準拠方法を理解すること。
メモ: 上記基準への適合性は、学生にプライバシー法の法律専門家になることを要求するものではありませんが、学生はこれらの法律の意味合いを理解し、それが自身の仕事にどのように影響するかを理解する必要があります。
リソース
関連情報
- Learn Privacy, web.dev (2023)