- 発売日:2024/12/02
- 出版社:技術評論社
- ISBN/JAN:9784297144760
目次
はじめに
目次
本書の使い方
情報セキュリティマネジメント試験とは?
Chapter0情報セキュリティとは?
0-1 ネットワークに潜む脅威と情報セキュリティ
●情報セキュリティの目的
●情報セキュリティの3要素
●情報セキュリティの7要素
●「脅威」とはなにか
Chapter1 情報セキュリティマネジメント
1-1 リスクマネジメント
●リスクマネジメントとは「不確かさ」への備え
●リスクマネジメントに含まれる4つのプロセス
●リスク特定
●リスク分析
●リスク評価
●リスク対応
1-2 情報セキュリティ2 マネジメントシステム(ISMS)
●ISMSの概要と適合性評価制度
●ISMSと規格
●ISMSを確立して運用する流れ
●求められる組織運営
●情報セキュリティ委員会
1-3 情報セキュリティポリシ
●情報セキュリティポリシの文書構成
●基本方針(なぜ取り組むのか?)
●対策基準(なにを実施するのか?)
●実施手順(どのように実施するか?)
1-4 組織としてのセキュリティ対策
●不正のトライアングル
●CSIRT
●JPCERTコーディネーションセンター(JPCERT/CC)
1-5 利用者認証とアクセス管理
●パスワード認証
●バイオメトリクス(生体)認証
●多要素認証
●アクセス権の設定
Chapter2 ネットワーク
2-1 LANとWAN
●LANの接続形態(トポロジー)
●現在のLANはイーサネットがスタンダード
●イーサネットはCSMA/CD方式でネットワークを監視する
●クライアントとサーバ
●線がいらない無線LAN
●SSID(Service Set IDentifier)は無線LANにつける名前
2-2 プロトコルとパケット
●プロトコルとOSI基本参照モデル
●なんで「パケット」に分けるのか
2-3 ネットワークを構成する装置
●LANの装置とOSI基本参照モデルの関係
●NIC(Network Interface Card)
●リピータ
●ブリッジ
●ハブ
●ルータ
●ゲートウェイ
2-4 TCP/IPを使ったネットワーク
●TCP/IPの中核プロトコル
●IPアドレスはネットワークの住所なり
●グローバルIPアドレスとプライベートIPアドレス
●DHCPは自動設定する仕組み
●NATとIPマスカレード
●ドメイン名とDNS
●IPv6(Internet Protocol Version 6)
●ネットワークを診断するプロトコル
2-5 ネットワーク上のサービス
●代表的なサービスたち
●サービスはポート番号で識別する
2-6 WWW(World Wide Web)
●Web サーバに、「くれ」と言って表示する
●WebページはHTMLで記述する
●URLはファイルの場所を示すパス
●Webサーバから返されるHTTPステータスコードたち
2-7 電子メール
●メールアドレスは、名前@住所なり
●メールの宛先には種類がある
●電子メールを送信するプロトコル(SMTP)
●電子メールを受信するプロトコル(POP)
●電子メールを受信するプロトコル(IMAP)
●電子メールを暗号化して送受信するプロトコル
●SMTPの送信者認証
●送信ドメイン認証
●MIME(Multipurpose Internet Mail Extensions)
●電子メールのメッセージ形式
Chapter3 コンピュータウイルスとマルウェア
3-1 マルウェア
●コンピュータウイルスを定義づける3つの機能
●マルウェアの分類
●ボット
●その他のマルウェア
3-2 マルウェアの感染経路
●媒体(メディア)を介する感染
●ネットワークの利用による感染
3-3 マルウェア対策と感染後の対応
●ウイルス対策ソフトと定義ファイル
●ヒューリスティック検知
●サンドボックス
●マルウェアの予防と感染時の対処
●セキュアブート
Chapter4 サイバー攻撃手法とセキュリティ対策
4-1 攻撃の動機と、多様化する攻撃者たち
●攻撃の動機
●攻撃者の種類
●脆弱性の種類
4-2 攻撃の準備
●フットプリンティングとポートスキャン
4-3 パスワードクラック
●ブルートフォース攻撃
●辞書攻撃
●リバースブルートフォース攻撃
●パスワードリスト攻撃
●レインボー攻撃
4-4 盗聴
●スニッフィング
●電波の傍受
●キーボードロギング
4-5 なりすまし
●中間者(MITM: Man-in-the-middle)攻撃
●MITB(Man-in-the-browser)攻撃
●第三者中継
●DNSキャッシュポイズニング
4-6 スクリプト攻撃
●クロスサイトスクリプティング
●ドライブバイダウンロード
●SQLインジェクション
●ディレクトリトラバーサル
4-7 サービス妨害
●DoS(Denial of Service)攻撃
●DDoS(Distributed Denial of Service)攻撃
4-8 その他の攻撃手法
●バッファオーバーフロー攻撃
●標的型攻撃
●水飲み場攻撃
●フィッシング
●ゼロデイ攻撃
●ソーシャルエンジニアリング
4-9 ネットワークのセキュリティ対策
●ファイアウォール
●パケットフィルタリング
●アプリケーションゲートウェイ
●WAF(Web Application Firewall)の設置位置
●DMZ(DeMilitarized Zone)
●IDS(Intrusion Detection System)
●IPS(Intrusion Prevention System)
●ハニーポット
●ペネトレーションテスト
●ファジング
4-10情報漏えいに対する備えと機器管理
●情報機器の保護
●BYODとシャドーIT
●DLP(Data Loss Prevention)
●耐タンパ性
4-11 セキュリティ関連用語
●CAPTCHA
●ステガノグラフィ
●デジタルフォレンジックス
●CVSS(Common Vulnerability Scoring System)
●JVN(Japan Vulnerability Notes)
●PCI DSS
●バックドア
Chapter5 暗号と認証
5-1 暗号化技術とデジタル署名
●盗聴・改ざん・なりすましの危険
●暗号化と復号
●共通鍵暗号方式と公開鍵暗号方式
●暗号の危殆化
●CRYPTREC(Cryptography Research and Evaluation Committees)
5-2 共通鍵暗号方式
●共通鍵暗号方式で用いる鍵の数
●共通鍵暗号方式で用いられる代表的な暗号アルゴリズム
5-3 公開鍵暗号方式
●公開鍵暗号方式の特徴
●公開鍵暗号方式で用いる鍵の数
●公開鍵暗号方式で用いられる代表的な暗号アルゴリズム
5-4 ハイブリッド暗号方式
●ハイブリッド暗号方式で行う暗号化手順
5-5 デジタル署名
●署名鍵と検証鍵
●メッセージダイジェストの生成
●代表的なハッシュ関数
●メッセージ認証符号(MAC)
5-6 公開鍵基盤(PKI)
●認証局(CA)とデジタル証明書
●認証局の階層構造
5-7 通信経路の暗号化
●SSL(Secure Sockets Layer)は代表的な暗号化プロトコル
●VPN(Virtual Private Network)
●IPsec(Security Architecture for Internet Protocol)
Chapter6 データベース
6-1 DBMSと関係データベース
●関係データベースは表、行、列で出来ている
●表を分ける「正規化」という考え方
●関係演算とビュー表
●主キーは行を特定する鍵のこと
●外部キーは表と表とをつなぐ鍵のこと
6-2 トランザクション管理と排他制御
●トランザクションとは処理のかたまり
●排他制御とはロックする技
●トランザクションに求められるACID特性
6-3 データベースの障害管理
●更新はトランザクション単位で行うのです
●コミットはトランザクションを確定させる
●ロールバックはトランザクションを巻き戻す
●データベースを復旧させるロールフォワード
6-4 データベースの応用
●ビッグデータ
Chapter7 システム開発
7-1 システム化計画
●共通フレーム2013のプロセス体系
●要件定義プロセスの機能要件と非機能要件
●システム開発のV字モデル
7-2 調達の流れ
●契約締結に至るまでの流れと取り交わす文書
Chapter8 システム構成と故障対策
8-1 コンピュータを働かせるカタチの話
●シンクライアントとピアツーピア
●3層クライアントサーバシステム
●オンライントランザクション処理とバッチ処理
●ソフトウェアによる自動化(RPA)
●クラウドコンピューティング
8-2 システムの性能指標
●スループットはシステムの仕事量
●レスポンスタイムとターンアラウンドタイム
8-3 システムを止めない工夫
●デュアルシステム
●デュプレックスシステム
●ストレージの多重化(RAID)
8-4 システムの信頼性と稼働率
●RASIS(ラシス)
●平均故障間隔(MTBF:Mean Time Between Failures)
●平均修理時間(MTTR:Mean Time To Repair)
●システムの稼働率
●「 故障しても耐える」という考え方
8-5 転ばぬ先のバックアップ
●バックアップの方法
Chapter9 システム周りの各種マネジメント
9-1 プロジェクトマネジメント
●定常業務とプロジェクトのちがいとプロジェクトライフサイクル
●作業範囲を把握するためのWBS
9-2 スケジュール管理とアローダイアグラム
●アローダイアグラム(PERT図)の書き方
●全体の日数はどこで見る?
●最早結合点時刻と最遅結合点時刻
●クリティカルパス
9-3 ITサービスマネジメント
●SLA(Service Level Agreement)
●サービスサポート
●サービスデスクの組織構造
●サービスデリバリ
●事業継続計画(BCP:Business Continuity Plan)
●ファシリティマネジメント
9-4 システム監査
●内部統制
●システム監査人と監査の依頼者、被監査部門の関係
●システム監査の手順
●システムの可監査性
●監査報告とフォローアップ
Chapter10企業と法務
10-1 知的財産権
●著作権
●産業財産権
●法人著作権
●著作権の帰属先
●不正競争防止法
10-2 セキュリティ関連法規
●サイバーセキュリティ基本法
●不正アクセス禁止法
●個人情報保護法とプライバシーマーク
●プロバイダ責任制限法
●特定電子メール法
●電子署名法
●刑法
10-3 労働・取引関連法規
●労働基準法
●労働者派遣法
●外部企業による労働力の提供形態と指揮命令系統
10-4 その他の法律やガイドライン
●製造物責任法(PL法)
●電子帳簿保存法
●e-文書法
●シュリンクラップ契約
●ボリュームライセンス契約
Chapter11 企業活動とお金の話
11-1 企業活動と組織のカタチ
●代表的な組織形態と特徴
●組織における役職
●サイバーセキュリティ経営ガイドライン
●BPO(Business Process Outsourcing)
●グリーン購入
●CSR調達
11-2 財務諸表は企業のフトコロ具合を示す
●貸借対照表
●損益計算書
●固定資産と減価償却
●様々な財務指標
Chapter12 科目B試験対策
●科目B問題の特徴
●科目B問題の構成
●科目B問題の読み解き方
●問題演習 その1
●問題演習 その2
●まとめ
過去問に挑戦!
索引
目次
本書の使い方
情報セキュリティマネジメント試験とは?
Chapter0情報セキュリティとは?
0-1 ネットワークに潜む脅威と情報セキュリティ
●情報セキュリティの目的
●情報セキュリティの3要素
●情報セキュリティの7要素
●「脅威」とはなにか
Chapter1 情報セキュリティマネジメント
1-1 リスクマネジメント
●リスクマネジメントとは「不確かさ」への備え
●リスクマネジメントに含まれる4つのプロセス
●リスク特定
●リスク分析
●リスク評価
●リスク対応
1-2 情報セキュリティ2 マネジメントシステム(ISMS)
●ISMSの概要と適合性評価制度
●ISMSと規格
●ISMSを確立して運用する流れ
●求められる組織運営
●情報セキュリティ委員会
1-3 情報セキュリティポリシ
●情報セキュリティポリシの文書構成
●基本方針(なぜ取り組むのか?)
●対策基準(なにを実施するのか?)
●実施手順(どのように実施するか?)
1-4 組織としてのセキュリティ対策
●不正のトライアングル
●CSIRT
●JPCERTコーディネーションセンター(JPCERT/CC)
1-5 利用者認証とアクセス管理
●パスワード認証
●バイオメトリクス(生体)認証
●多要素認証
●アクセス権の設定
Chapter2 ネットワーク
2-1 LANとWAN
●LANの接続形態(トポロジー)
●現在のLANはイーサネットがスタンダード
●イーサネットはCSMA/CD方式でネットワークを監視する
●クライアントとサーバ
●線がいらない無線LAN
●SSID(Service Set IDentifier)は無線LANにつける名前
2-2 プロトコルとパケット
●プロトコルとOSI基本参照モデル
●なんで「パケット」に分けるのか
2-3 ネットワークを構成する装置
●LANの装置とOSI基本参照モデルの関係
●NIC(Network Interface Card)
●リピータ
●ブリッジ
●ハブ
●ルータ
●ゲートウェイ
2-4 TCP/IPを使ったネットワーク
●TCP/IPの中核プロトコル
●IPアドレスはネットワークの住所なり
●グローバルIPアドレスとプライベートIPアドレス
●DHCPは自動設定する仕組み
●NATとIPマスカレード
●ドメイン名とDNS
●IPv6(Internet Protocol Version 6)
●ネットワークを診断するプロトコル
2-5 ネットワーク上のサービス
●代表的なサービスたち
●サービスはポート番号で識別する
2-6 WWW(World Wide Web)
●Web サーバに、「くれ」と言って表示する
●WebページはHTMLで記述する
●URLはファイルの場所を示すパス
●Webサーバから返されるHTTPステータスコードたち
2-7 電子メール
●メールアドレスは、名前@住所なり
●メールの宛先には種類がある
●電子メールを送信するプロトコル(SMTP)
●電子メールを受信するプロトコル(POP)
●電子メールを受信するプロトコル(IMAP)
●電子メールを暗号化して送受信するプロトコル
●SMTPの送信者認証
●送信ドメイン認証
●MIME(Multipurpose Internet Mail Extensions)
●電子メールのメッセージ形式
Chapter3 コンピュータウイルスとマルウェア
3-1 マルウェア
●コンピュータウイルスを定義づける3つの機能
●マルウェアの分類
●ボット
●その他のマルウェア
3-2 マルウェアの感染経路
●媒体(メディア)を介する感染
●ネットワークの利用による感染
3-3 マルウェア対策と感染後の対応
●ウイルス対策ソフトと定義ファイル
●ヒューリスティック検知
●サンドボックス
●マルウェアの予防と感染時の対処
●セキュアブート
Chapter4 サイバー攻撃手法とセキュリティ対策
4-1 攻撃の動機と、多様化する攻撃者たち
●攻撃の動機
●攻撃者の種類
●脆弱性の種類
4-2 攻撃の準備
●フットプリンティングとポートスキャン
4-3 パスワードクラック
●ブルートフォース攻撃
●辞書攻撃
●リバースブルートフォース攻撃
●パスワードリスト攻撃
●レインボー攻撃
4-4 盗聴
●スニッフィング
●電波の傍受
●キーボードロギング
4-5 なりすまし
●中間者(MITM: Man-in-the-middle)攻撃
●MITB(Man-in-the-browser)攻撃
●第三者中継
●DNSキャッシュポイズニング
4-6 スクリプト攻撃
●クロスサイトスクリプティング
●ドライブバイダウンロード
●SQLインジェクション
●ディレクトリトラバーサル
4-7 サービス妨害
●DoS(Denial of Service)攻撃
●DDoS(Distributed Denial of Service)攻撃
4-8 その他の攻撃手法
●バッファオーバーフロー攻撃
●標的型攻撃
●水飲み場攻撃
●フィッシング
●ゼロデイ攻撃
●ソーシャルエンジニアリング
4-9 ネットワークのセキュリティ対策
●ファイアウォール
●パケットフィルタリング
●アプリケーションゲートウェイ
●WAF(Web Application Firewall)の設置位置
●DMZ(DeMilitarized Zone)
●IDS(Intrusion Detection System)
●IPS(Intrusion Prevention System)
●ハニーポット
●ペネトレーションテスト
●ファジング
4-10情報漏えいに対する備えと機器管理
●情報機器の保護
●BYODとシャドーIT
●DLP(Data Loss Prevention)
●耐タンパ性
4-11 セキュリティ関連用語
●CAPTCHA
●ステガノグラフィ
●デジタルフォレンジックス
●CVSS(Common Vulnerability Scoring System)
●JVN(Japan Vulnerability Notes)
●PCI DSS
●バックドア
Chapter5 暗号と認証
5-1 暗号化技術とデジタル署名
●盗聴・改ざん・なりすましの危険
●暗号化と復号
●共通鍵暗号方式と公開鍵暗号方式
●暗号の危殆化
●CRYPTREC(Cryptography Research and Evaluation Committees)
5-2 共通鍵暗号方式
●共通鍵暗号方式で用いる鍵の数
●共通鍵暗号方式で用いられる代表的な暗号アルゴリズム
5-3 公開鍵暗号方式
●公開鍵暗号方式の特徴
●公開鍵暗号方式で用いる鍵の数
●公開鍵暗号方式で用いられる代表的な暗号アルゴリズム
5-4 ハイブリッド暗号方式
●ハイブリッド暗号方式で行う暗号化手順
5-5 デジタル署名
●署名鍵と検証鍵
●メッセージダイジェストの生成
●代表的なハッシュ関数
●メッセージ認証符号(MAC)
5-6 公開鍵基盤(PKI)
●認証局(CA)とデジタル証明書
●認証局の階層構造
5-7 通信経路の暗号化
●SSL(Secure Sockets Layer)は代表的な暗号化プロトコル
●VPN(Virtual Private Network)
●IPsec(Security Architecture for Internet Protocol)
Chapter6 データベース
6-1 DBMSと関係データベース
●関係データベースは表、行、列で出来ている
●表を分ける「正規化」という考え方
●関係演算とビュー表
●主キーは行を特定する鍵のこと
●外部キーは表と表とをつなぐ鍵のこと
6-2 トランザクション管理と排他制御
●トランザクションとは処理のかたまり
●排他制御とはロックする技
●トランザクションに求められるACID特性
6-3 データベースの障害管理
●更新はトランザクション単位で行うのです
●コミットはトランザクションを確定させる
●ロールバックはトランザクションを巻き戻す
●データベースを復旧させるロールフォワード
6-4 データベースの応用
●ビッグデータ
Chapter7 システム開発
7-1 システム化計画
●共通フレーム2013のプロセス体系
●要件定義プロセスの機能要件と非機能要件
●システム開発のV字モデル
7-2 調達の流れ
●契約締結に至るまでの流れと取り交わす文書
Chapter8 システム構成と故障対策
8-1 コンピュータを働かせるカタチの話
●シンクライアントとピアツーピア
●3層クライアントサーバシステム
●オンライントランザクション処理とバッチ処理
●ソフトウェアによる自動化(RPA)
●クラウドコンピューティング
8-2 システムの性能指標
●スループットはシステムの仕事量
●レスポンスタイムとターンアラウンドタイム
8-3 システムを止めない工夫
●デュアルシステム
●デュプレックスシステム
●ストレージの多重化(RAID)
8-4 システムの信頼性と稼働率
●RASIS(ラシス)
●平均故障間隔(MTBF:Mean Time Between Failures)
●平均修理時間(MTTR:Mean Time To Repair)
●システムの稼働率
●「 故障しても耐える」という考え方
8-5 転ばぬ先のバックアップ
●バックアップの方法
Chapter9 システム周りの各種マネジメント
9-1 プロジェクトマネジメント
●定常業務とプロジェクトのちがいとプロジェクトライフサイクル
●作業範囲を把握するためのWBS
9-2 スケジュール管理とアローダイアグラム
●アローダイアグラム(PERT図)の書き方
●全体の日数はどこで見る?
●最早結合点時刻と最遅結合点時刻
●クリティカルパス
9-3 ITサービスマネジメント
●SLA(Service Level Agreement)
●サービスサポート
●サービスデスクの組織構造
●サービスデリバリ
●事業継続計画(BCP:Business Continuity Plan)
●ファシリティマネジメント
9-4 システム監査
●内部統制
●システム監査人と監査の依頼者、被監査部門の関係
●システム監査の手順
●システムの可監査性
●監査報告とフォローアップ
Chapter10企業と法務
10-1 知的財産権
●著作権
●産業財産権
●法人著作権
●著作権の帰属先
●不正競争防止法
10-2 セキュリティ関連法規
●サイバーセキュリティ基本法
●不正アクセス禁止法
●個人情報保護法とプライバシーマーク
●プロバイダ責任制限法
●特定電子メール法
●電子署名法
●刑法
10-3 労働・取引関連法規
●労働基準法
●労働者派遣法
●外部企業による労働力の提供形態と指揮命令系統
10-4 その他の法律やガイドライン
●製造物責任法(PL法)
●電子帳簿保存法
●e-文書法
●シュリンクラップ契約
●ボリュームライセンス契約
Chapter11 企業活動とお金の話
11-1 企業活動と組織のカタチ
●代表的な組織形態と特徴
●組織における役職
●サイバーセキュリティ経営ガイドライン
●BPO(Business Process Outsourcing)
●グリーン購入
●CSR調達
11-2 財務諸表は企業のフトコロ具合を示す
●貸借対照表
●損益計算書
●固定資産と減価償却
●様々な財務指標
Chapter12 科目B試験対策
●科目B問題の特徴
●科目B問題の構成
●科目B問題の読み解き方
●問題演習 その1
●問題演習 その2
●まとめ
過去問に挑戦!
索引
