情シス担当者のための絵で見てわかる情報セキュリティ(株式会社ラック 大野 祐一 吉岡 道明 須田 堅一 データベースセキュリティ研究会)|翔泳社の本
  1. ホーム >
  2. 書籍 >
  3. 情シス担当者のための絵で見てわかる情報セキュリティ

情シス担当者のための絵で見てわかる情報セキュリティ






形式:
書籍
発売日:
ISBN:
9784798123769
定価:
2,420(本体2,200円+税10%)
仕様:
A5・216ページ
カテゴリ:
ネットワーク・サーバ
キーワード:
#ネットワーク・サーバ・セキュリティ,#データ・データベース,#システム運用,#Web・アプリ開発

クラウド時代を上手に乗り切る基礎と実践のノウハウがわかる

近年、情報システムにおけるセキュリティの重要さについては認識されてきていますが、業務でセキュリティに関わっている担当者以外は、積極的に触れる機会も少なく十分な知識や意識を持っているとは言えません。

しかし、情報システムに関わる以上、セキュリティ担当者以外でもある程度の基礎知識は押さえておかなければならない重要な要素です。特に、今後より一層情報システムのクラウド化が進む中で、セキュリティに対するより詳細な知識を押さえておくことは必須となるでしょう。そこで本書では、情報セキュリティの基礎知識を紹介するとともに、実際に発生したセキュリティインシデント事例をベースに、その脅威と事前/事後対策の実態についても紹介します。

第1部:基礎編  クラウド時代に通用する情報セキュリティの基礎知識

CHAPTER 01 情報セキュリティ概論
はじめに
情報セキュリティ
情報セキュリティの3要素
脅威と脆弱性とリスク
  ・脅威
  ・脆弱性
  ・リスク
セキュリティ対策のアプローチ
  ・抑止
  ・予防
  ・検知
  ・対応
適合性と有効性

CHAPTER 02 情報セキュリティマネジメント/監査
情報セキュリティマネジメントとは
ISMSの仕組みと役割
  ・ISMSの確立と運用管理
  ・ISMSの構築
ISMSの導入及び運用時のポイント
  a) リスク対応計画の策定
  b) 経営陣による資源の割り当て
  c) 教育/訓練の実施
ISMSの監視及びレビューと改善のポイント
攻撃が妨げているわけではない
モニタリングと見直し
  ・準拠性と有効性
情報セキュリティ監査の概念/定義
  ・法廷監査と任意監査
  ・内部監査と外部監査
  ・助言型監査と保証型監査
システム管理と情報セキュリティ監査
  ・システム監査
  ・情報セキュリティ監査
情報セキュリティ管理基準と情報セキュリティ監査基準
  ・情報セキュリティ管理基準
  ・情報セキュリティ監査基準
  ・ISMS適合性評価制度?情報セキュリティ監査制度?

CHAPTER 03 内部統制と情報セキュリティ、法と倫理
内部統制とは
  ・日本版SOX法
  ・米国「SOX法」の概要
  ・日本版SOX法の誕生
  ・日本版SOX法の特徴
  ・ITへの対応
情報セキュリティによるITの統制
  ・アクセス制御
職務の分離による不正行為の抑止
情報セキュリティは内部統制の一部分
企業が引き起こす社会的問題
  ・企業に求められるコンプライアンス
  ・コンプライアンスは「法令遵守」で良いのか?
法の定義
  ・法と法律
  ・法律の限界
  ・情報セキュリティと法
倫理の定義
  ・倫理とは
  ・ソフトロー
「法と倫理」と情報セキュリティ ~個人情報とプライバシーを事例に~
  ・個人情報とプライバシー
  ・個人情報とプライバシーに関する法
  ・個人情報とプライバシーに関する倫理
  ・個人情報とプライバシーに関する動向

CHAPTER 04 セキュリティアーキテクチャと暗号、電子署名、PKIの認証技術
「アーキテクチャ」とは
セキュリティアーキテクチャとは
高信頼性コンピューティング基盤
  ・マルチレベルセキュリティ
  ・セキュリティモデル
  ・リファレンスモニタ
  ・評価基準
「暗号化」とは
  ・暗号化の役割
暗号の種類
  ・共通鍵暗号方式
  ・公開鍵暗号方式
  ・電子署名
PKI (Public Key Infrastructure)
  ・PKIの構成要素
  ・PKIの仕組み
  ・SSL (Secure Sockets Layer)

第2部:実践編  セキュリティインシデントの傾向と対策

CHAPTER 05 不正アクセス対策
不正アクセスへの理解
  ・不正アクセスはなぜ起こるのか
  ・不正アクセスの手法
不正アクセスへの対策
  ・原因への働きかけ ~「抑止」「予防」「防御」
  ・定石プロセスに応じた対策 ~「予防」「防御」
  ・不正アクセスの検知
  ・不正アクセスが発覚したら ~インシデントへの対応

CHAPTER 06 ネットワークインフラセキュリティ
ネットワークインフラセキュリティの定義と目的
  ・物理層
  ・データリンク層
  ・ネットワーク層
  ・トランスポート層
ネットワークセキュリティの概念
  ・境界セキュリティ
  ・階層防御
  ・単一障害点の回避
  ・要塞化
ファイアウォール
  ・パケットフィルタリング
  ・アプリケーションレベルゲートウェイ
  ・サーキットレベルゲートウェイ
  ・ステートフルインスペクション
  ・ファイアウォールの限界
侵入検知システム(IDS)と侵入防止システム(IPS)
  ・不正アクセスの早期検知/遮断
  ・ログの収集/保存
ネットワークセキュリティへの保証
  ・ペネトレーションテストの必要性
  ・ログ管理と監査

CHAPTER 07 OSセキュリティ
OS(カーネル)の基本機能
  ・プロセス管理機能
  ・メモリ管理機能
  ・ファイル管理
  ・デバイス管理機能
セキュリティの観点から見たOSの機能
  (1)サービス制御機能
  (2)アカウント管理機能
  (3)監査機能
  (4)セキュリティポリシー管理機能
  (5)アップデート機能
OSに関する脅威
  ・バッファオーバーフロー
  ・パスワードクラック
  ・内部関係者による不正操作
  ・ウィルス感染

CHAPTER 08 不正プログラム対策
不正プログラムとは
  (1)ウイルス
  (2)ワーム
  (3)トロイの木馬
  (4)ボット
不正プログラム対策
  ・不正プログラムの予防
  ・事後対応

CHAPTER 09 セキュアプログラミングとセキュアアプリケーション開発
なぜアプリにセキュリティ対策が必要か
Webアプリの対策が浸透しない理由
セキュリティを考慮した開発ライフサイクル
  ・要件定義
  ・設計/開発
  ・テスト
  ・運用

CHAPTER 10 インシデントレスポンス
それぞれの組織のそれぞれのインシデント
インシデントを上手く乗り越えるためには?
インシデントレスポンスの事前準備
  ・対応すべきリスクの優先付け
  ・マニュアルの整備
  ・検知/調査機能の準備
  ・インシデントレスポンスチームの体制
  ・関係者と関係組織の把握
  ・教育/訓練
インシデントレスポンスの流れ
  ・検知
  ・確認
  ・抑制
  ・調査
  ・復旧
  ・フォローアップ

第3部:特別編  今日からできるDBセキュリティ対策

CHAPTER 11 これだけはやっておきたいDBセキュリティ対策
DBセキュリティの重要性
1 DBセキュリティ要件の検討
  ・セキュリティ要件の標準
2 DBMSの適切な導入
  ・パッチの適用だけでは万全ではない
3 アクセス制御
  ・基本はアカウント分離+最小権限
  ・さまざまなアクセス制御手法
4 暗号化によるデータ保護
  ・通信の暗号化
  ・データの暗号化
  ・データファイルの暗号化(透過的暗号化)
  ・ディスクの暗号化
5 アクセスログの取得
6 アクセスログの取得の目的
  ・SQLインジェクション対策
  ・内部犯行対策
7 アクセスログ取得のポイント
  ・どんな項目をログとして取るべきか
  ・必要なアカウント分離となりすまし対策
  ・どんな操作をログとして残すべきか
  ・ログ取得の対象を絞り込む
  ・ログはどのように保護すべきか
  ・ログを活用する
  ・アクセスログ分析
8 インシデントレスポンスケース
ケース(1) SQLインジェクションによる情報漏洩
  ・インシデントの発生
  ・調査と結果報告
  ・ケース(1)のまとめと教訓
ケース(2) SQLインジェクションによる情報改ざん
  ・ケース(2)のまとめと教訓
ケース(3) 内部関係者による情報漏洩
  ・ケース(3)のまとめと教訓
  ・ログ
9 DBセキュリティの今後
  ・検知から遮断へ
  ・レギュレーションにおけるDBの明示/例示が増加

本書は付属データの提供はございません。

お問い合わせ

内容についてのお問い合わせは、正誤表、追加情報をご確認後に、お送りいただくようお願いいたします。

正誤表、追加情報に掲載されていない書籍内容へのお問い合わせや
その他書籍に関するお問い合わせは、書籍のお問い合わせフォームからお送りください。

利用許諾に関するお問い合わせ

本書の書影(表紙画像)をご利用になりたい場合は書影許諾申請フォームから申請をお願いいたします。
書影(表紙画像)以外のご利用については、こちらからお問い合わせください。

追加情報はありません。
この商品の「よくある質問」はありません。
正誤表の登録はありません。

感想・レビュー

Motomi Kojima さん

2015-04-18

速読で斜め読み。IPAの資料は読まなきゃいけないのかなと。最後のDBセキュリティの事例はわかりやすかったけど実際に三回も情報流出を起こしたら会社は倒産だろうな。

harhy さん

2013-05-11

なるほど。担当者は、こんなところを気にしているのか。

ka2o(かつお) さん

2016-05-09

セキュリティ初心者向けの良本である。ある程度の経験者にも役立つ!