情報処理技術者試験シリーズ平成21年度【春期】【秋期】 情報セキュリティスペシャリスト 合格教本

[表紙]平成21年度【春期】【秋期】 情報セキュリティスペシャリスト 合格教本

紙版発売

A5判/504ページ/CD1枚

定価3,168円(本体2,880円+税10%)

ISBN 978-4-7741-3715-5

ただいま弊社在庫はございません。

本書の新版が発行されています。

→学校・法人一括購入ご検討の皆様へ

書籍の概要

この本の概要

平成21年春より「テクニカルエンジニア情報セキュリティ」試験と「情報セキュリティアドミニストレータ」試験が統合され,新たに「情報セキュリティ スペシャリスト」試験となります。本書はその新試験対応版の合格教本です。執筆は,分かりやすさで定評のある岡嶋裕史氏で,新試験の出題分野に即した章構成とかみ砕いた図解で理解を助けます。午前試験が午前I(他の試験との共通問題)と午前II(専門分野)に分割されるのに合わせ,午前I用として試験対策問題集を別冊で添付しました。学習ソフト「DEKIDAS」も付属します。

こんな方におすすめ

  • 平成21年春・秋実施の「情報セキュリティスペシャリスト」試験の受験者

目次

  • 受験のてびき
  • 付属CD-ROMの使い方と注意事項
  • 参考情報

第1章 セキュリティの基礎

1-01 情報セキュリティとは

  • 情報の形態
  • 情報セキュリティのとらえ方
  • クラッカーだけがセキュリティの敵ではない
  • 情報セキュリティの目的
  • 情報セキュリティはコスト項目である
  • セキュリティ管理をしないという選択もある

1-02 リスクの発生

  • 情報資産と脅威
  • 脆弱性の存在

1-03 脅威の種類

  • 物理的脅威
  • 技術的脅威
  • 人的脅威
  • 攻撃者の目的
  • 攻撃者の種類

1-04 脆弱性の種類

  • 物理的脆弱性
  • 技術的脆弱性
  • 人的脆弱性
  • 合格への道! 章末問題

第2章 脅威とリスク分析

2-01 リスクマネジメント

  • リスクとは
  • リスクマネジメントの体系

2-02 リスクアセスメント①取組み方法の策定

  • リスクアセスメントとは
  • 取組み方法の種類
  • ベースラインアプローチの種類

2-03 リスクアセスメント②リスク評価の実際

  • リスクの識別
  • リスク評価
  • リスク評価の方法
  • リスクの受容水準

2-04 リスク対応

  • リスク対応の手段
  • リスク対応の選択
  • リスク対応のポイント

2-05 攻撃方法①不正アクセス

  • 不正アクセスとは
  • 不正アクセスの方法
  • パスワードの取得
  • 侵入後の危険
  • セッションハイジャック
  • 【コラム】ログ

2-06 攻撃方法②盗聴

  • 盗聴とは
  • 盗聴の方法

2-07 攻撃方法③なりすまし

  • なりすましとは
  • なりすましの方法

2-08 攻撃方法④サービス妨害

  • サービス妨害とは
  • サービス妨害の種類
  • サービス妨害の法的根拠
  • 【コラム】DDOoS攻撃の実態

2-09 攻撃方法⑤Webシステムへの攻撃

  • Webビーコン
  • フィッシング
  • ファーミング

2-10 攻撃方法⑥その他の攻撃方法

  • ソーシャルエンジニアリング
  • スパムメール
  • メール爆撃
  • クロスサイトスクリプティング

2-11 コンピュータウイルス①コンピュータウイルスとは

  • コンピュータウイルスの分類
  • コンピュータウイルスの3機能
  • コンピュータウイルスの感染経路
  • マクロウイルス

2-12 コンピュータウイルス②ウイルスへの対策

  • ウイルスチェックソフト
  • ウイルスチェックソフトの限界と対策
  • ネットワークからの遮断
  • 感染後の対応
  • ウイルス対策の基準
  • 合格への道! 章末問題

第3章 セキュリティポリシの策定と運用

3-01 情報セキュリティポリシ

  • 情報セキュリティポリシとは
  • 法律との違い
  • セキュリティマネジメントシステムとの関係
  • 情報セキュリティポリシの種類
  • 他の社内文書等との整合性

3-02 セキュリティ委員会の組織

  • セキュリティ委員会とは
  • 経営層の参加
  • 策定期間の明確化
  • 実施開始日の明確化
  • 下流工程の重要性

3-03 適用範囲

  • 適用範囲はIT部門に限らない
  • さまざまな脅威を考慮する
  • 運用範囲の決定
  • 情報資産の洗い出し

3-04 情報セキュリティ基本方針の策定

  • 基本方針の特徴
  • 基本方針を遵守させるためのポイント
  • 基本方針の雛形

3-05 情報セキュリティ対策基準の策定

  • 対策基準の策定
  • 雛形の活用
  • 対策実施手順の策定
  • 残留リスク
  • 合格への道! 章末問題

第4章 ソフトウェア開発技術

4-01 システム開発のプロセス

  • システム開発の流れ
  • システム開発の基本的骨格

4-02 ソフトウェアのテスト

  • 視点による分類
  • プロセスによる分類
  • 結合テストの手法
  • テストデータの作り方

4-03 システム開発技術

  • 個々のプロセスの進め方
  • システム設計のアプローチ方法

4-04 プロジェクトマネジメント

  • プロジェクトを取り巻く環境の悪化
  • スケジュール管理で使われるツール
  • ソフトウェアの見積方法
  • 合格への道! 章末問題

第5章 ネットワーク

5-01 ネットワークの基礎

  • プロトコル
  • OSI基本参照モデル
  • OSI基本参照モデルの詳細
  • パケット交換方式
  • コネクション型通信とコネクションレス型通信

5-02 TCP/IP

  • IPとTCP/IPプロトコルスイート
  • IPの特徴
  • IPヘッダ
  • IPバージョン6(IPv6)
  • TCP
  • UDP
  • トランスポート層のプロトコルとポート番号

5-03 IPアドレス

  • IPアドレス
  • ネットワークアドレスとホストアドレス
  • IPアドレスクラス
  • プライベートIPアドレス
  • MACアドレス

5-04 ポート番号

  • トランスポート層の役割
  • ポート番号
  • ポート番号の使われ方

5-05 LAN間接続装置①物理層

  • リピータ
  • ハブ
  • 【コラム】LANの規格

5-06 LAN間接続装置②データリンク層

  • ブリッジ
  • スイッチングハブ
  • 【コラム】プロトコルアナライザ

5-07 LAN間接続装置③ネットワーク層

  • ルータ
  • L3スイッチ
  • VLAN
  • 【コラム】その他のLAN間接続装置

5-08 アドレス変換技術

  • NAT
  • IPマスカレード
  • NAT,IPマスカレードの注意点
  • UPnP

5-09 アプリケーション層のプロトコル

  • アプリケーション層の役割
  • DHCP
  • DNS
  • メールプロトコル
  • その他のメールプロトコル
  • セキュアなSMTP
  • HTTP
  • HTTPS
  • FTP
  • Telnet

5-10 無線LAN

  • 無線LAN
  • 無線LANの規格
  • 無線LANのアクセス手順
  • WEP暗号
  • 合格への道! 章末問題

第6章 データベース

6-01 データベースモデル

  • データの表現方法
  • 概念モデルの必要性

6-02 データベースマネジメントシステム

  • データを扱う具体的なシステム
  • 分散データベース
  • トランザクション管理
  • 排他制御
  • リカバリ機能
  • チェックポイント

6-03 関係データベース

  • 関係演算
  • 集合演算
  • ビュー

6-04 データの正規化

  • キー項目
  • 正規化

6-05 SQL

  • SQLとは
  • 3つの言語機能
  • 頻出の命令文
  • 合格への道! 章末問題

第7章 セキュリティ技術――暗号化と認証

7-01 セキュリティ技術の基本

  • セキュリティ技術とは
  • セキュリティ技術の種類

7-02 暗号化①暗号化の考え方

  • 盗聴リスクと暗号化
  • 暗号の基本と種類

7-03 暗号化②共通鍵暗号方式

  • 共通鍵暗号方式
  • 共通鍵暗号方式のしくみ
  • 共通鍵暗号方式の実装技術
  • 秘密鍵の管理

7-04 暗号化③公開鍵暗号方式

  • 公開鍵暗号方式
  • 公開鍵暗号方式のしくみ
  • 公開鍵暗号の実装技術

7-05 認証①認証システム

  • アクセスコントロールと認証システム
  • パスワード認証
  • 【コラム】権限管理の方法

7-06 認証②ワンタイムパスワード

  • ワンタイムパスワード
  • S/Key
  • 時刻同期方式

7-07 認証③パスワード運用の注意

  • パスワード認証の運用
  • パスワード作成上の要件
  • パスワード作成要件の矛盾
  • ユーザID発行上の注意
  • 【コラム】クッキーによる認証

7-08 認証④バイオメトリクス認証

  • バイオメトリクス認証
  • 指紋
  • 虹彩
  • 声紋

7-09 認証⑤ディジタル署名

  • ディジタル署名とは
  • ディジタル署名のしくみ
  • メッセージダイジェスト
  • ディジタル署名と公開鍵暗号方式の複合

7-10 認証⑥PKI(公開鍵基盤)

  • ディジタル署名の弱点
  • PKI
  • ディジタル証明書の失効
  • ディジタル証明書が証明できないもの

7-11 認証⑦新しい認証方式

  • 事物による認証
  • ICカードの認識プロセス
  • ICカードの問題点
  • 【コラム】RFID
  • 合格への道! 章末問題

第8章 セキュリティ技術――対策と実装

8-01 フィルタリング技術①ファイアウォール

  • ファイアウォール
  • パケットフィルタリング形のファイアウォール
  • トランスポートゲートウェイ型ファイアウォール
  • 【コラム】ポート攻撃
  • ルータとの違い
  • アプリケーションゲートウェイ型ファイアウォール
  • ルールベース作成の注意
  • プロキシサーバ
  • リバースプロキシとシングルサインオン
  • 【コラム】SAML

8-02 フィルタリング技術②DMZ

  • 公開サーバをどこに設置するか

第3のゾーンを作る―DMZ

8-03 フィルタリング技術③その他のファイアウォール

  • パーソナルファイアウォール
  • コンテンツフィルタリング

8-04 フィルタリング技術④リモートアクセス

  • リモートアクセス技術
  • PPP
  • PPPの認証技術

8-05 フィルタリング技術⑤認証サーバの構成

  • 認証サーバとは
  • RADIUS
  • Kerberos(ケルベロス)

8-06 フィルタリング技術⑥SSL

  • SSL
  • SSLの通信手順

8-07 フィルタリング技術⑦VPN

  • VPN
  • VPNの基本構成
  • VPNの種類
  • VPNの2つのモード
  • VPNを実現するプロトコル

8-08 フィルタリング技術⑧IDS

  • IDS
  • IDSのしくみ

8-09 フィルタリング技術⑨IPS

  • IPS
  • IPSの配置
  • IPSとファイアウォールの関係

8-10 フィルタリング技術⑩サニタイジング

  • SQLインジェクション
  • サニタイジング

8-11 セキュアプログラミング①C/C++

  • バッファオーバフロー
  • 終端文字の扱い

8-12 セキュアプログラミング②Perl

  • open関数
  • system関数
  • Taintモード

8-13 セキュアプログラミング③Java

  • サンドボックスモデル
  • クラス
  • パーミッションの付与方法

8-14 信頼性の向上①RASIS

  • RASIS

8-15 信頼性の向上②対障害設計

  • 対障害設計の考え方
  • フォールトアボイダンス
  • フォールトトレランス
  • 対障害設計の手法
  • 性能管理

8-16 信頼性の向上③バックアップ

  • バックアップとは
  • バックアップ方法
  • バックアップ運用

8-17 信頼性の向上④新しいバックアップ技術

  • NAS
  • SAN
  • 【コラム】データ爆発

8-18 信頼性の向上⑤ネットワーク管理技術

  • syslog
  • NTP
  • 管理台帳の作成
  • SNMP

8-19 信頼性の向上⑥セキュアOS

  • Trusted OS
  • セキュアOS
  • 合格への道! 章末問題

第9章 国際標準・法律

9-01 国際標準とISMS

  • ISO/IEC TR 13335
  • ISO/IEC 15408
  • OECDプライバシーガイドライン
  • 情報セキュリティマネジメントシステム標準化の流れ
  • 国際標準への統一
  • JIS Q 27001
  • ISMSの構築

9-02 国内のガイドライン

  • 情報セキュリティポリシに関するガイドライン
  • 情報セキュリティ監査制度
  • 情報セキュリティ監査制度の基準
  • 情報システム安全対策基準
  • コンピュータウイルス対策基準
  • システム監査基準
  • コンピュータ不正アクセス対策基準
  • プライバシーマーク制度
  • 個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001)
  • SLCP-JCF2007

9-03 法令

  • コンピュータ犯罪に対する法律
  • 個人情報保護
  • 知的財産保護
  • 電子文書・e-Japan関連
  • 【コラム】派遣と請負
  • 【コラム】著作権についてのQ&A
  • 合格への道! 章末問題

第10章 運用と監査

10-01 セキュリティシステムの実装

  • セキュリティ製品の導入
  • 製品比較ポイント
  • ペネトレーションテストの実施

10-02 セキュリティシステムの運用

  • セキュリティパッチの適用
  • ログの収集
  • ログの監査

10-03 サービスマネジメント

  • サービスマネジメントとは?
  • サービスレベルアグリーメント(SLA)
  • ITIL
  • ファシリティマネジメント

10-04 セキュリティ教育

  • ユーザへの教育
  • セキュリティ技術者・管理者への教育
  • セキュリティ教育の限界

10-05 セキュリティインシデントへの対応

  • セキュリティインシデントの対応手順
  • 初動処理
  • 影響範囲の特定と要因の特定
  • システムの復旧と再発防止

10-06 システム監査

  • システム監査とは
  • 監査基準
  • 監査の種類
  • 監査人の選定
  • 監査の流れ
  • 監査活動のステップ
  • 被監査者側が対応すべきこと
  • 【コラム】よく出題されるその他の文書類
  • 合格への道! 章末問題

付録

  • 平成20年度 春期 テクニカルエンジニア情報セキュリティ試験 問題・解説
  • プログラム言語Perlの用例・解説
  • 別冊付録 情報セキュリティスペシャリスト 午前Ⅰ確認問題

著者プロフィール

岡嶋裕史(おかじまゆうし)

中央大学大学院総合政策研究科博士後期課程修了。博士(総合政策)。富士総合研究所勤務を経て,関東学院大学准教授,情報ネットワーク論担当(現職)。Webサービス・イニシアティブ技術部会副部会長。ISMS審査員補,ネットワークスペシャリスト,情報セキュリティアドミニストレータ,第一種情報処理技術者,その他。

【著書】「ネットワーク社会経済論」(紀伊國屋書店/共著),「【テクニカルエンジニア】ネットワーク合格教本」(技術評論社)ほか多数。