Webセキュリティを学びたいと思ったとき、多くの人が最初にぶつかる問題があります。
「何から始めればいいのかわからない」
そんな人におすすめなのが、PortSwigger Web Security Academyです。
PortSwiggerが提供するこの学習サイトは、世界中のペンテスター・バグバウンティハンター・セキュリティ研究者に利用されています。
しかも無料。
この記事では、初心者向けに、PortSwiggerとは何か、無料登録方法、学習の進め方、効率よくレベルアップする方法まで詳しく解説します。
誰でも無料で参加できるハッキング体験会の参加者募集中!!
PortSwiggerとは
PortSwiggerはWebアプリケーションセキュリティ分野で非常に有名な企業です。
代表的な製品として、「Burp Suite」というWeb診断ツールがあります。
そのPortSwiggerが無料で公開している学習サービスが「Web Security Academy」です。
このサイトでは以下を実践的に学べます。
- Web脆弱性の仕組み
- 攻撃手法
- 安全な検証環境
- ハンズオンラボ
PortSwiggerで何ができるの?
Web Security Academyでは、実際に脆弱なWebアプリを攻撃しながら学習できます。
以下のような脆弱性カテゴリが存在します。
- SQL Injection
- XSS(クロスサイトスクリプティング)
- CSRF
- SSRF
- 認証バイパス
- XXE
- Path Traversal
- Command Injection
初心者向けから上級者向けまで段階的に学習可能です。
【ステップ1】まずは無料登録
PortSwigger Academyは登録なしでも閲覧できますが、登録することで学習履歴を保存できます。
- 進捗管理
- Lab完了履歴
- ランク表示
- Dashboard利用
① 公式サイトへアクセス
まずはPortSwigger公式サイトへアクセスします。
トップページ(ハンバーガボタンのAcademyクリックし)からWeb Security Academyへ移動します。
② アカウント作成
必要情報は以下です。
- メールアドレス
- パスワード
数分で登録可能です。
③ Dashboardを確認
登録後は学習状況を管理できるDashboardが利用可能になります。
【ステップ2】初心者はLearning Pathから始める
初心者が最初に迷うのが「どこから始めればいいのか」という点です。
PortSwiggerではLearning Pathが用意されています。
初心者おすすめ順
- SQL Injection
- Authentication
- Access Control
- XSS
- SSRF
Learning Pathを使うことで、順番通りに学べるため挫折しにくくなります。
初心者が最初に触るべきLabランキング
第1位 SQL Injection
最も理解しやすく、Web脆弱性の基本を学べます。
ユーザーの入力がデータベース操作に直結する仕組みを、手を動かしながら体験できます。「本来見えないはずのデータ」を自力で引き出す感覚は、セキュリティ学習の楽しさを知る最高の入り口です。Webアプリの裏側で動くSQLのロジックと、その隙を突く攻撃の基礎を完璧にマスターしましょう。
第2位 Authentication
ログイン処理や認証の仕組みを理解できます。
「パスワードさえ合っていれば安全」という思い込みを覆す、実践的な脆弱性を学べます。ブルートフォース攻撃(総当たり)の手法から、認証ロジックの不備を突くハッカー特有の思考回路までを習得。日常的に使う「ログイン機能」の裏側にある危険性を知ることで、より安全なWeb設計の視点が身につきます
第3位 Path Traversal
ファイルアクセス制御の弱点を学べます。
URLやパラメータを少し書き換えるだけで、サーバー内部の「秘密のファイル」が覗けてしまう。そんなシンプルながらも強力な脆弱性を攻略します。ディレクトリ構造の仕組みを理解し、サーバーサイドのファイル参照がいかにリスクになり得るかを実感できます。Burp Suiteを使ってリクエストを書き換える基本操作の練習にも最適です。
【ステップ3】Burp Suiteを導入する
PortSwigger学習ではBurp Suite Community Editionを導入することで理解が深まります。
Burp Suiteとは
HTTP通信を解析・改変できるWeb診断ツールです。
ペンテスターやバグバウンティハンターが日常的に利用しています。
Community Editionでも十分
初心者学習なら無料版でも十分です。
Burpを使うメリット
- 通信内容を可視化できる
ブラウザとサーバーの間でやり取りされるHTTPリクエストやレスポンスを、リアルタイムで詳細に確認できます。普段は見えないCookieやヘッダー情報、隠しパラメータを可視化することで、Webアプリがどのような仕組みでデータを処理しているのかを構造的に把握できるようになります。 - リクエスト改変できる
サーバーに送信される直前のデータをキャッチし、内容を自由に書き換えてから送信することが可能です。フロントエンド側のJavaScriptによる制限を回避したり、パラメータの値を意図的に変更したりすることで、開発者の想定外の挙動(脆弱性)を効率よく探し出すことができます。 - 攻撃理解が深まる
理論だけで学んだ脆弱性の知識を、ツールを操作して「自分の手で再現」することで、理解の質が劇的に変わります。なぜ特定の記号でエラーが起きるのか、どうして認証を突破できてしまうのか。一連の攻撃プロセスを可視化しながら体験することで、実務でも通用する生きたスキルが身につきます。
【ステップ4】Labを解く流れを理解する
PortSwiggerでは「読む → 試す → 解く」が重要です。
基本フロー
- 解説を読む
- Labを開始する
- Burp Suiteで通信を見る
- 脆弱性を試す
- Labクリア
初心者は解答を見てもOK
最初は理解を優先することが重要です。解答を読みながら理解することで、学習速度が上がります。
PortSwiggerのLabは実務レベルに近いものが多く、未経験者がノーヒントで解くのは非常に困難です。
自力で何時間も悩んで挫折するよりも、まずは公式の「Solution」や解説記事を読み、攻撃の「型」を覚える方が圧倒的に効率的です。
大切なのは「答えを見ること」ではなく、「なぜその操作で脆弱性が突けるのか」というプロセスを自分の中に落とし込むこと。
1つずつ納得しながら進めることが、最短でスキルを身につけるコツです。
PortSwiggerで挫折する人の特徴
- 難しいLabから始める
「Apprentice(見習い)」レベルを飛ばして、いきなり難易度の高いLabに挑むと、前提知識が足りず高確率で壁にぶつかります。まずは基礎を固めるために、簡単なLabから順を追って攻略し、成功体験を積み重ねることが継続の鍵です。 - Burp Suiteを使わない
「ブラウザだけでなんとかしよう」とするのは、地図を持たずに迷路に入るようなものです。Webセキュリティ学習の本質は、Burp Suiteで通信の裏側を覗くことにあります。ツールの基本操作を覚える手間を惜しまず、まずは「通信をキャッチして観察する」習慣をつけましょう。 - 解説を読まずにLabへ突入する
Labのタイトルだけを見て闇雲に攻撃を仕掛けても、本質的な理解には繋がりません。PortSwiggerには各カテゴリに丁寧な学習テキスト(Academy文章)が用意されています。まずは理論をサッと読み、攻撃の仕組みを頭に入れてから実践に挑むのが、最も効率的な学習スタイルです。
【ステップ5】学習ロードマップを作る
初級
- SQL Injection
- Authentication
- Access Control
中級
- XSS
- SSRF
- XXE
上級
- Request Smuggling
- Race Conditions
- Web Cache Poisoning
PortSwiggerには200以上のLabがあります。
ロードマップを作ることで継続しやすくなります。
まとめ
PortSwigger Academyは初心者に最適なWebセキュリティ学習サイトです。
- 無料
- 実践型
- 世界的評価
- Burp Suite学習可能
特に初心者は「読むだけ」ではなく「攻撃しながら学ぶ」ことで理解が深まります。
Webセキュリティ学習を始めるなら、PortSwiggerから始めるのがおすすめです。
誰でも無料で参加できるハッキング体験会の参加者募集中!!
