目次

第1章 セキュリティの基本的な考え方　～分類して考える～

1-1 攻撃者の目的

愉快犯、ハクティビズム、金銭奪取、サイバーテロ

1-2 セキュリティに必要な考え方

情報資産、脅威、リスク

1-3 脅威の分類

人的脅威、技術的脅威、物理的脅威

1-4 内部不正が起きる理由

機会、動機、正当化

1-5 セキュリティの三要素

機密性、完全性、可用性

1-6 三要素（CIA）以外の特性

真正性、責任追跡性、否認防止、信頼性

1-7 コスト、利便性、安全性の考え方

トレードオフ

1-8 適切な人にだけ権限を与える

アクセス権、認証、認可、最小特権

1-9 パスワードを狙った攻撃

総当たり攻撃、辞書攻撃、パスワードリスト攻撃

1-10 使い捨てのパスワードで安全性を高める

ワンタイムパスワード、多要素認証

1-11 不正なログインから守る

リスクベース認証、CAPTCHA

1-12 パスワードを取り巻く環境の変化

シングルサインオン、パスワード管理ツール

1-13 個人の身体的情報を利用する

指紋認証、静脈認証、虹彩認証、顔認証

 

第2章 ネットワークを狙った攻撃　～招かれざる訪問者～

2-1 データの盗み見

盗聴

2-2 データの信頼性を脅かす攻撃

改ざん

2-3 特定人物になりすます

なりすまし

2-4 法律による不正アクセスの定義

不正アクセス

2-5 無実の人が加害者に

乗っ取り

2-6 攻撃のための裏口を設置

バックドア、rootkit

2-7 負荷をかけるタイプの攻撃

DoS攻撃、DDoS攻撃、ボットネット、メールボム

2-8 攻撃をどこで防ぐか

入口対策、出口対策、多層防御

2-9 不正アクセス対策の基本

ファイアウォール、パケットフィルタリング

2-10 通信の監視と分析

パケットキャプチャ

2-11 外部からの侵入を検知・防止する

IDS、IPS

2-12 集中管理で対策効果を上げる

UTM、SIEM

2-13 ネットワークを分割する

DMZ、検疫ネットワーク

2-14 ネットワークへの接続を管理する

MACアドレスフィルタリング

2-15 安全な通信を実現する

無線LANの暗号化と認証

 

第3章 ウイルスとスパイウェア　～感染からパンデミックへ～

3-1 マルウェアの種類

ウイルス、ワーム、トロイの木馬

3-2 ウイルス対策の定番

ウイルス対策ソフトの導入、ウイルス定義ファイルの更新

3-3 ウイルス対策ソフトの技術

ハニーポット、サンドボックス

3-4 偽サイトを用いた攻撃

フィッシング、ファーミング

3-5 メールによる攻撃や詐欺

スパムメール、ワンクリック詐欺、ビジネスメール詐欺

3-6 情報を盗むソフトウェア

スパイウェア、キーロガー

3-7 身代金を要求するウイルス

ランサムウェア

3-8 防ぐのが困難な標的型攻撃

標的型攻撃、APT攻撃

3-9 気を付けたいその他のWebの脅威

ドライブバイダウンロード、ファイル共有サービス

3-10 ウイルス感染はPCだけではない

IoT機器のウイルス

 

第4章 脆弱性への対応　～不備を狙った攻撃～

4-1 ソフトウェアの欠陥の分類

不具合、脆弱性、セキュリティホール

4-2 脆弱性に対応する

修正プログラム、セキュリティパッチ

4-3 対策が不可能な攻撃？

ゼロデイ攻撃

4-4 データベースを不正に操作

SQLインジェクション

4-5 複数のサイトを横断する攻撃

クロスサイトスクリプティング

4-6 他人になりすまして攻撃

クロスサイトリクエストフォージェリ

4-7 ログイン状態の乗っ取り

セッションハイジャック

4-8 メモリ領域の超過を悪用

バッファオーバーフロー

4-9 脆弱性の有無を検査する

脆弱性診断、ベネトレーションテスト、ポートスキャン

4-10 Webアプリケーションを典型的な攻撃から守る

WAF

4-11 開発者が気を付けるべきこと

セキュア・プログラミング

4-12 便利なツールの脆弱性に注意

プラグイン、CMS

4-13 脆弱性を定量的に評価する

JVN、CVSS

4-14 脆弱性情報を報告・共有する

情報セキュリティ早期警戒パートナーシップガイドライン

 

第5章 暗号／署名／証明書とは　～秘密を守る技術～

5-1 暗号の歴史

古典暗号、現代暗号

5-2 高速な暗号方式

共通鍵暗号

5-3 鍵配送問題を解決した暗号

公開鍵暗号

5-4 公開鍵暗号を支える技術

証明書、認証局、PKI、ルート証明書、サーバ証明書

5-5 改ざんの検出に使われる技術

ハッシュ

5-6 公開鍵暗号のしくみを署名に使う

電子署名、デジタル署名

5-7 共通鍵暗号と公開鍵暗号の組み合わせ

ハイブリッド暗号、SSL

5-8 Webサイトの安全性は鍵マークが目印

HTTPS、常時SSL、SSLアクセラレータ

5-9 安全性をさらに追及した暗号

RSA暗号、楕円曲線暗号

5-10 暗号が安全でなくなるとどうなる？

暗号の危殆化、CRL

5-11 メールの安全性を高める

PGP、S/MIME、SMTP over SSL、POP over SSL

5-12 リモートでの安全な通信を実現

SSH、クライアント証明書、VPN、IPsec

5-13 プログラムにも署名する

コード署名、タイムスタンプ

5-14 データ受け渡しの仲介に入る攻撃者

中間者攻撃

 

第6章 組織的な対応　～環境の変化に対応する～

6-1 組織の方針を決める

情報セキュリティポリシー、プライバシーポリシー

6-2 セキュリティにおける改善活動

ISMS、PDCAサイクル

6-3 情報セキュリティ監査制度によるセキュリティレベルの向上

情報セキュリティ管理基準、情報セキュリティ監査基準

6-4 最後の砦は「人」

情報セキュリティ教育

6-5 インシデントへの初期対応

インシデント、CSIRT、SOC

6-6 ショッピングサイトなどにおけるクレジットカードの管理

PCI DSS

6-7 災害対策もセキュリティの一部

BCP、BCM、BIA

6-8 リスクへの適切な対応とは

リスクアセスメント、リスクマネジメント

6-9 不適切なコンテンツから守る

URLフィルタリング、コンテンツフィルタリング

6-10 トラブル原因を究明する手がかりは記録

ログ管理・監視

6-11 証拠を保全する

フォレンジック

6-12 モバイル機器の管理

MDM、BYOD

6-13 情報システム部門が把握できないIT

シャドーIT

6-14 企業が情報漏えいを防ぐための考え方

シンクライアント、DLP

6-15 物理的なセキュリティ

施錠管理、入退室管理、クリアデスク、クリアスクリーン

6-16 可用性を確保する

UPS、二重化

6-17 契約内容を確認する

SLA

 

第7章 セキュリティ関連の法律・ルールなど　～知らなかったでは済まされない～

7-1 個人情報の取り扱いルール

個人情報保護法

7-2 個人情報の利活用

オプトイン、オプトアウト、第三者提供、匿名化

7-3 マイナンバーと法人番号の取り扱い

マイナンバー法

7-4 個人情報の管理体制への認定制度

プライバシーマーク

7-5 厳格化されたEUの個人情報管理

GDPR

7-6 不正アクセスを処罰する法律

不正アクセス禁止法

7-7 ウイルスの作成・所持に関する処罰

ウイルス作成罪

7-8 コンピュータに対する詐欺や業務妨害

電子計算機使用詐欺罪、電子計算機損壊等業務妨害罪

7-9 著作物の無断利用に注意

著作権法、クリエイティブ・コモンズ

7-10 プロバイダと電子メールのルール

プロバイダ責任制限法、迷惑メール防止法

7-11 デジタルでの文書管理に関する法律

電子署名法、e-文書法、電子帳簿保存法

7-12 国が規定するセキュリティ戦略や理念

IT基本法、サイバーセキュリティ基本法、官民データ活用推進基本法

7-13 セキュリティ関連の資格

情報セキュリティマネジメント試験、情報処理安全確保支援士、CISSP