Hello there, ('ω')ノ
1. 自分の現在地を測る 3 つの質問
| 質問 | YES | NO |
|---|---|---|
| ① HTTP リクエストを手で組める? | すぐに Burp / curl で実験 | → 【基礎】から |
| ② PoC レポートを 1 日で仕上げられる? | 量産 OK | → 【中級】へ |
| ③ バグ + ビジネス影響を数値化できる? | 交渉経験あり | → 【上級】へ |
2. レベル別ロードマップ
【基礎】フォーム入力から XSS 発見まで(1〜3 か月)
| ステップ | 目標 | 学習素材 |
|---|---|---|
| 1. Web の仕組み理解 | HTTP/HTML/Cookie を説明できる | 無料: MDN, Progate Web 初級 |
| 2. Burp Suite 入門 | Repeater・Intruder が使える | YouTube LiveOverflow “Basics of Burp” |
| 3. OWASP Top10 実践 | XSS/SQLi を 5 例再現 | DVWA, PortSwigger Academy |
| 4. 1 件レポート提出 | Severity Low〜Medium 合格 | HackerOne VDP(DoD など) |
失敗しても「情報修正 → 再提出」 が筋トレ!
【中級】API・ロジック攻撃で High 報酬を狙う(4〜12 か月)
| ステップ | 目標 | 学習素材 |
|---|---|---|
| 1. REST/GraphQL 深掘り | BOLA/IDOR を 3 件発見 | API Sec University, 書籍: API セキュリティ |
| 2. 自動化ツール構築 | Subfinder + Nuclei で Recon 毎日実行 | GitHub: ProjectDiscovery Awesome List |
| 3. ビジネスロジック研究 | 競合購入・クーポンバグ再現 | HackTricks “Business Logic” 章 |
| 4. 重複回避の戦略 | Private 招待 ≧ 公開報酬 | Bugcrowd Reputation 200+ を目標 |
「自動化で広く」「手動で深く」 が中級突破キー。
【上級】ハードウェア・マネジメント領域へ(1 年〜)
| ステップ | 目標 | 学習素材 |
|---|---|---|
| 1. IoT / 車載 / 医療 に挑戦 | ファーム解析・JTAG 抽出 | 講座: Attify ARM/IoT Exploitation |
| 2. AI セキュリティ | Prompt Injection・モデル抽出 | OWASP Top10 for LLMs、OpenAI Red Team ガイド |
| 3. 法務・契約交渉 | 独自 NDA / 保険 を読める | ISMS/GDPR 実務書籍 |
| 4. Mentor/Speaker 活動 | カンファ登壇・記事寄稿 | CODE BLUE CFP、Zenn, Qiita 投稿 |
3. 毎週・毎月・毎年の「学習ルーティン」
| 期間 | ルーチン | 所要時間 |
|---|---|---|
| 週次 | - 2 時間 Recon & 実験 - 30 分 海外 blog/RSS |
2.5 h |
| 月次 | - 成功/失敗レポートを Notion で振り返り - Nuclei/Wordlists 更新 |
3 h |
| 年次 | - コンファ参加 2 回(BlackHat/CodeBlue) - 新言語 or HW スキル 1 つ習得 |
予算計画込み |
4. モチベ維持の 3 本柱
コミュニティ
- Discord「JP_BB」「Hacktivity_JP」へ参加
- 月 1 回 “Show & Tell” で成果共有
パブリックアウトプット
- Zenn / Qiita で記事化 → 自動でポートフォリオ
報酬→投資ループ
- 報酬 30% を書籍・ラボ機材・カンファ資金へ再投資
5. 環境とツールを“課金”でショートカット
| 投資 | 効果 | 目安 |
|---|---|---|
| Burp Suite Pro 年額 | 手動検証スピード 2 倍 | 約 6 万円 |
| VULN-LAB or HTB VIP | 難易度調整・新バグ対応 | 月 1,500〜3,000 円 |
| ラボ用ミニ PC & IoTデバイス | ファーム解析練習 | 3〜5 万円 |
時給換算で ROI がプラスなら迷わず投資!
6. 今後3年のスキルマップ(例)
2025 Recon自動化+API バグ年間10件 2026 車載ファーム解析+CTF中級 2027 LLMセキュリティ+バグバウンティMentor
Tip:ゴールは “役割 / 実績 / 発信” の3軸で書くと行動につながります。
7. まとめ:学習は“プロジェクト化”すると続く
- 目標 → タスク分解 → 週次ルーティン の流れで管理
- 資金・時間を 報酬から循環投資 して好循環
- コミュニティ&アウトプット が挫折防止のキモ
1 年後に同じ学習表を見返し、「全部できた!」 と言える自分を目指しましょう。
Best regards, (^^ゞ
