• 受験のてびき
• 付属CD-ROMの使い方と注意事項
• 参考情報

第1章　セキュリティの基礎

• 1-01　情報セキュリティとは
  情報の形態／情報セキュリティのとらえ方／クラッカーだけがセキュリティの敵ではない／情報セキュリティの目的／情報セキュリティはコスト項目である
• 1-02　リスクの発生
  情報資産と脅威／脆弱性の存在
• 1-03　脅威の種類
  物理的脅威／技術的脅威／人的脅威／攻撃者の目的／攻撃者の種類
• 1-04　脆弱性の種類
  物理的脆弱性／技術的脆弱性／人的脆弱性
• 合格への道！ 章末問題

第2章　脅威とリスク分析

• 2-01　リスクマネジメント
  リスクとは／リスクマネジメントの体系
• 2-02　リスクアセスメント①取組み方法の策定
  リスクアセスメントとは／取組み方法の種類／ベースラインアプローチの種類
• 2-03　リスクアセスメント②リスク評価の実際
  リスクの識別／リスク評価／リスク評価の方法／リスクの受容水準
• 2-04　リスク対応
  リスク対応の手段／リスク対応の選択／リスク対応のポイント
• 2-05　攻撃方法①不正アクセス
  不正アクセスとは／不正アクセスの方法／パスワードの取得／侵入後の危険／セッションハイジャック
• 【コラム】ログ
• 2-06　攻撃方法②盗聴
  盗聴とは／盗聴の方法
• 2-07　攻撃方法③なりすまし
  なりすましとは／なりすましの方法
• 2-08　攻撃方法④サービス妨害
  サービス妨害とは／サービス妨害の種類／サービス妨害の法的根拠
• 【コラム】ボット
• 2-09　攻撃方法⑤Webシステムへの攻撃
  Webビーコン／フィッシング／ファーミング
• 2-10　攻撃方法⑥その他の攻撃方法
  ソーシャルエンジニアリング／スパムメール／メール爆撃／クロスサイトスクリプティング
• 2-11　コンピュータウイルス①コンピュータウイルスとは
  コンピュータウイルスの分類／コンピュータウイルスの3機能／コンピュータウイルスの感染経路／マクロウイルス
• 2-12　コンピュータウイルス②ウイルスへの対策
  ウイルスチェックソフト／ウイルスチェックソフトの限界と対策／ネットワークからの遮断／感染後の対応／ウイルス対策の基準
• 合格への道！ 章末問題

第3章　セキュリティポリシの策定と運用

• 3-01　情報セキュリティポリシ
  情報セキュリティポリシとは／法律との違い／セキュリティマネジメントシステムとの関係／情報セキュリティポリシの種類／他の社内文書等との整合性
• 3-02　セキュリティ委員会の組織
  セキュリティ委員会とは／経営層の参加／策定期間の明確化／実施開始日の明確化／下流工程の重要性
• 3-03　適用範囲
  適用範囲はIT部門に限らない／さまざまな脅威を考慮する／運用範囲の決定／情報資産の洗い出し
• 3-04　情報セキュリティ基本方針の策定
  基本方針の特徴／基本方針を遵守させるためのポイント／基本方針の雛形
• 3-05　情報セキュリティ対策基準の策定
  対策基準の策定／雛形の活用／対策実施手順の策定／残留リスク
• 合格への道！ 章末問題

第4章　ソフトウェア開発技術

• 4-01　システム開発のプロセス
  システム開発の流れ／システム開発の基本的骨格
• 4-02　ソフトウェアのテスト
  視点による分類／プロセスによる分類／結合テストの手法／テストデータの作り方
• 4-03　システム開発技術
  個々のプロセスの進め方／システム設計のアプローチ方法
• 4-04　プロジェクトマネジメント
  プロジェクトを取り巻く環境の悪化／スケジュール管理で使われるツール／ソフトウェアの見積方法
• 合格への道！ 章末問題

第5章　ネットワーク

• 5-01　ネットワークの基礎
  プロトコル／OSI基本参照モデル／OSI基本参照モデルの詳細／パケット交換方式／コネクション型通信とコネクションレス型通信
• 5-02　TCP/IP
  IPとTCP/IPプロトコルスイート／IPの特徴／IPヘッダ／IPバージョン6（IPv6）／TCP／UDP／トランスポート層のプロトコルとポート番号
• 5-03　IPアドレス
  IPアドレス／ネットワークアドレスとホストアドレス／IPアドレスクラス／プライベートIPアドレス／MACアドレス
• 5-04　ポート番号
  トランスポート層の役割／ポート番号／ポート番号の使われ方
• 5-05　LAN間接続装置①物理層

リピータ／ハブ
• 【コラム】LANの規格
• 5-06　LAN間接続装置②データリンク層
  ブリッジ／スイッチングハブ
• 【コラム】プロトコルアナライザ
• 5-07　LAN間接続装置③ネットワーク層
  ルータ／L3スイッチ／VLAN
• 【コラム】その他のLAN間接続装置
• 5-08　アドレス変換技術
  NAT／IPマスカレード／NAT，IPマスカレードの注意点／UPnP
• 5-09　アプリケーション層のプロトコル
  アプリケーション層の役割／DHCP／DNS／メールプロトコル／その他のメールプロトコル／セキュアなSMTP／HTTP／HTTPS／FTP／Telnet
• 5-10　無線LAN
  無線LAN／無線LANの規格／無線LANのアクセス手順／WEP暗号
• 合格への道！ 章末問題

第6章　データベース

• 6-01　データベースモデル
  データの表現方法／概念モデルの必要性
• 6-02　データベースマネジメントシステム
  データを扱う具体的なシステム／分散データベース／トランザクション管理／排他制御／リカバリ機能／チェックポイント
• 6-03　関係データベース
  関係演算／集合演算／ビュー
• 6-04　データの正規化
  スーパキー／正規化
• 6-05　SQL
  SQLとは／3つの言語機能／頻出の命令文
• 合格への道！ 章末問題

第7章　セキュリティ技術――暗号化と認証

• 7-01　セキュリティ技術の基本
  セキュリティ技術とは／セキュリティ技術の種類
• 7-02　暗号化①暗号化の考え方
  盗聴リスクと暗号化／暗号の基本と種類
• 7-03　暗号化②共通鍵暗号方式
  共通鍵暗号方式／共通鍵暗号方式のしくみ／共通鍵暗号方式の実装技術／秘密鍵の管理
• 7-04　暗号化③公開鍵暗号方式
  公開鍵暗号方式／公開鍵暗号方式のしくみ／公開鍵暗号の実装技術
• 7-05　認証①認証システム
  アクセスコントロールと認証システム／パスワード認証
• 【コラム】権限管理の方法
• 7-06　認証②ワンタイムパスワード
  ワンタイムパスワード／S/Key／時刻同期方式
• 7-07　認証③パスワード運用の注意
  パスワード認証の運用／パスワード作成上の要件／パスワード作成要件の矛盾／ユーザID発行上の注意
• 【コラム】クッキーによる認証
• 7-08　認証④バイオメトリクス認証
  バイオメトリクス認証／指紋／虹彩／声紋
• 7-09　認証⑤ディジタル署名
  ディジタル署名とは／ディジタル署名のしくみ／メッセージダイジェスト／ディジタル署名と公開鍵暗号方式の複合／電子メールのエンコードと暗号化
• 7-10　認証⑥PKI（公開鍵基盤）
  ディジタル署名の弱点／PKI／ディジタル証明書の失効／ディジタル証明書が証明できないもの
• 7-11　認証⑦新しい認証方式
  事物による認証／ICカードの認識プロセス／ICカードの問題点
• 【コラム】RFID
• 合格への道！ 章末問題

第8章　セキュリティ技術――対策と実装

• 8-01　フィルタリング技術①ファイアウォール
  ファイアウォール／パケットフィルタリング形のファイアウォール／トランスポートゲートウェイ型ファイアウォール
• 【コラム】ポート攻撃
  ルータとの違い／アプリケーションゲートウェイ型ファイアウォール／ルールベース作成の注意／プロキシサーバ／リバースプロキシとシングルサインオン
• 【コラム】SAML
• 8-02　フィルタリング技術②DMZ
  公開サーバをどこに設置するか／第3のゾーンを作る―DMZ
• 8-03　フィルタリング技術③その他のファイアウォール
  パーソナルファイアウォール／コンテンツフィルタリング
• 8-04　フィルタリング技術④リモートアクセス
  リモートアクセス技術／PPP／PPPの認証技術
• 8-05　フィルタリング技術⑤認証サーバの構成
  認証サーバとは／RADIUS／Kerberos（ケルベロス）
• 8-06　フィルタリング技術⑥SSL
  SSL／SSLの通信手順
• 8-07　フィルタリング技術⑦VPN
  VPN／VPNの基本構成／VPNの種類／VPNの2つのモード／VPNを実現するプロトコル
• 8-08　フィルタリング技術⑧IDS
  IDS／IDSのしくみ
• 8-09　フィルタリング技術⑨IPS
  IPS／IPSの配置／IPSとファイアウォールの関係
• 8-10　フィルタリング技術⑩サニタイジング
  SQLインジェクション／サニタイジング
• 8-11　セキュアプログラミング①C/C++
  バッファオーバフロー／終端文字の扱い
• 8-12　セキュアプログラミング②Perl
  open関数／system関数／Taintモード
• 8-13　セキュアプログラミング③Java
  サンドボックスモデル／クラス／パーミッションの付与方法
• 8-14　信頼性の向上①RASIS
  RASIS
• 8-15　信頼性の向上②耐障害設計
  耐障害設計の考え方／フォールトアボイダンス／フォールトトレランス／耐障害設計の手法／性能管理
• 8-16　信頼性の向上③バックアップ
  バックアップとは／バックアップ計画／バックアップ方法／バックアップ運用
• 8-17　信頼性の向上④新しいバックアップ技術
  NAS／SAN
• 【コラム】データ爆発
• 8-18　信頼性の向上⑤ネットワーク管理技術
  syslog／NTP／管理台帳の作成／SNMP
• 8-19　信頼性の向上⑥セキュアOS
  Trusted OS／セキュアOS
• 合格への道！ 章末問題

第9章　国際標準・法律

• 9-01　国際標準とISMS
  ISO/IEC TR 13335／ISO/IEC 15408／OECDプライバシーガイドライン／情報セキュリティマネジメントシステム標準化の流れ／国際標準への統一／JIS Q 27001／ISMSの構築
• 【コラム】PCI DSS
• 9-02　国内のガイドライン
  政府機関の情報セキュリティ対策のための統一基準／情報セキュリティ監査制度／情報セキュリティ監査制度の基準／情報システム安全対策基準／コンピュータウイルス対策基準／システム監査基準／コンピュータ不正アクセス対策基準／プライバシーマーク制度／個人情報保護に関するコンプライアンス・プログラムの要求事項（JIS Q 15001）／SLCP-JCF2007
• 9-03　法令
  コンピュータ犯罪に対する法律／個人情報保護／知的財産保護／電子文書・e-Japan関連
• 【コラム】派遣と請負
• 【コラム】著作権についてのQ&A
• 合格への道！ 章末問題

第10章　運用と監査

• 10-01　セキュリティシステムの実装
  セキュリティ製品の導入／製品比較ポイント／ペネトレーションテストの実施
• 10-02　セキュリティシステムの運用
  セキュリティパッチの適用／ログの収集／ログの監査
• 10-03　サービスマネジメント
  サービスマネジメントとは？／サービスレベルアグリーメント（SLA）／ITIL／ファシリティマネジメント
• 10-04　セキュリティ教育
  ユーザへの教育／セキュリティ技術者・管理者への教育／セキュリティ教育の限界
• 10-05　セキュリティインシデントへの対応
  セキュリティインシデントの対応手順／初動処理／影響範囲の特定と要因の特定／システムの復旧と再発防止
• 10-06　システム監査
  システム監査とは／監査基準／監査の種類／監査人の選定／監査の流れ／監査活動のステップ／被監査者側が対応すべきこと
• 【コラム】よく出題されるその他の文書類／システム監査の今後
• 合格への道！ 章末問題

第Ⅱ部　長文問題演習 ―午後Ⅰ・Ⅱ問題対策―

記述式試験の対策

• 1　パケットログ解析
• 2　ソフトウェアの脆弱性への対応
• 3　アプリケーション開発時の脆弱性対策
• 4　Javaプログラミング
• 5　ウイルスの駆除及び感染防止

事例解析の対策

• 1　公開鍵基盤の構築
• 2　公開サーバのセキュリティ対策
• 3　ISMS 認証の維持と対処

付録

• 平成22年度 秋期 情報セキュリティスペシャリスト試験　問題・解説
• プログラム言語Perlの用例・解説
• 別冊付録　高度試験共通 午前Ⅰ確認問題集