情報処理技術者試験シリーズ平成28年度【春期】【秋期】情報セキュリティスペシャリスト合格教本
2015年12月23日紙版発売
岡嶋裕史 著
A5判/672ページ/CD1枚
定価3,168円(本体2,880円+税10%)
ISBN 978-4-7741-7806-6
ただいま弊社在庫はございません。
書籍の概要
この本の概要
「情報セキュリティスペシャリスト」試験対策の合格テキストです。NHKでおなじみの岡嶋裕史氏による,詳しくやさしい解説が,難関試験合格をグッと引き寄せます。また,詳しい午後問題実例が掲載されているテキストは本書だけ!さらに,昨年から掲載する実例数を増やしました。午後問題特有のネットワーク知識編も設け,強力な午後対策に仕上がっています。さらに,午前I分野の確認用として,試験対策問題集を別冊で添付,付属の学習ソフト「DEKIDAS-2」(CD-ROM)は,午前I・IIの両方の問題を用意,自己採点機能も付いて,苦手克服や直前対策に役立ちます。
こんな方におすすめ
- 情報セキュリティスペシャリスト試験を受験される方
目次
- 受験のてびき
- 付属CD-ROMの使い方と注意事項
第Ⅰ部 知識のまとめ─午前Ⅱ,午後Ⅰ・Ⅱ問題対策─
午前問題の出題
第1章 セキュリティの基礎
1.1 情報セキュリティとは
- 1.1.1 情報の形態
- 1.1.2 情報セキュリティのとらえ方
- 1.1.3 情報セキュリティの目的
- 1.1.4 クラッカーだけがセキュリティの敵ではない
- 1.1.5 情報セキュリティはコスト項目である
1.2 リスクの発生
- 1.2.1 情報資産と脅威
- 1.2.2 脆弱性の存在
- 1.2.3 情報資産へのリスク
1.3 脅威の種類
- 1.3.1 物理的脅威
- 1.3.2 技術的脅威
- 1.3.3 人的脅威
1.4 攻撃者
- 1.4.1 攻撃者の目的
- 1.4.2 攻撃者の種類・動機
1.5 脆弱性の種類
- 1.5.1 物理的脆弱性
- 1.5.2 技術的脆弱性
- 1.5.3 人的脆弱性
- column CVSS
1.6 リスクマネジメント
- 1.6.1 リスクとは
- 1.6.2 リスクマネジメントの体系
1.7 リスクアセスメント①取組み方法の策定
- 1.7.1 リスクアセスメントとは
- 1.7.2 取組み方法の種類
- 1.7.3 ベースラインアプローチの種類
1.8 リスクアセスメント②リスク評価の実際
- 1.8.1 リスクの識別
- 1.8.2 リスク評価
- 1.8.3 リスク評価の方法
- 1.8.4 リスクの受容水準
1.9 リスク対応
- 1.9.1 リスク対応の手段
- 1.9.2 リスク対応の選択
- 1.9.3 リスク対応のポイント
章末問題
第2章 脅威とサイバー攻撃の手法
2.1 さまざまなサイバー攻撃の手法
- 2.1.1 サイバー攻撃の手法を理解しておく意義
- 2.1.2 主なサイバー攻撃の手法
- 2.1.3 得点に結びつく知識を
2.2 不正アクセス
- 2.2.1 不正アクセス
- 2.2.2 不正アクセスの方法
2.3 バッファオーバフロー
- 2.3.1 バッファオーバフローとは
2.4 パスワード奪取
- 2.4.1 ブルートフォースアタック
- 2.4.2 辞書攻撃
- 2.4.3 ログの消去
- 2.4.4 バックドアの作成
2.5 セッションハイジャック
- 2.5.1 セッションハイジャックとは
- 2.5.2 セッションフィクセーション
- column ログ
2.6 盗聴
- 2.6.1 盗聴とは
- 2.6.2 スニファ
- 2.6.3 電波傍受
- 2.6.4 キーボードロギング
2.7 なりすまし
- 2.7.1 なりすましとは
- 2.7.2 ユーザID やパスワードの偽装
- 2.7.3 IP スプーフィング
- 2.7.4 踏み台
2.8 DoS 攻撃
- 2.8.1 サービス妨害とは
- 2.8.2 TCP SYN Flood
- 2.8.3 Connection Flood
- 2.8.4 UDP Flood
- 2.8.5 Ping Flood(ICMP Flood)
- 2.8.6 Ping of Death
- 2.8.7 DDoS 攻撃
- 2.8.8 分散反射型DoS 攻撃
- 2.8.9 サービス妨害の法的根拠
- column ボット
2.9 Web システムへの攻撃
- 2.9.1 Web ビーコン
- 2.9.2 フィッシング
- 2.9.3 ファーミング
2.10 スクリプト攻撃
- 2.10.1 クロスサイトスクリプティング
- 2.10.2 クロスサイトリクエストフォージェリ
- 2.10.3 SQL インジェクション
- 2.10.4 OS コマンドインジェクション
- 2.10.5 HTTP ヘッダインジェクション
- 2.10.6 キャッシュサーバへの介入
2.11 DNS キャッシュポイズニング
- 2.11.1 DNS キャッシュポイズニングとは
- 2.11.2 DNS Changer
2.12 標的型攻撃
- 2.12.1 標的型攻撃とは
2.13 その他の攻撃方法
- 2.13.1 ソーシャルエンジニアリング
- 2.13.2 スパムメール
- 2.13.3 メール爆撃
2.14 コンピュータウイルス
- 2.14.1 コンピュータウイルスの分類
- 2.14.2 コンピュータウイルスの3 機能
- 2.14.3 コンピュータウイルスの感染経路
- 2.14.4 マクロウイルス
2.15 コンピュータウイルスへの対策
- 2.15.1 ウイルスチェックソフト
- 2.15.2 ウイルスチェックソフトの限界と対策
- 2.15.3 ネットワークからの遮断
- 2.15.4 感染後の対応
- 2.15.5 ウイルス対策の基準
章末問題
第3章 セキュリティ技術──対策と実装
3.1 ファイアウォール
- 3.1.1 ファイアウォールとは
- 3.1.2 レイヤ3 フィルタリング(IPアドレス使用)
- 3.1.3 レイヤ4 フィルタリング(+ポート番号,プロトコル種別)
- column ポート攻撃
- 3.1.4 ルータとの違い
- 3.1.5 レイヤ7フィルタリング
- 3.1.6 ルールベース作成の注意
3.2 シングルサインオン
- 3.2.1 プロキシサーバ
- 3.2.2 リバースプロキシとシングルサインオン
- 3.2.3 その他のシングルサインオン
3.3 WAF
- 3.3.1 WAFとは
3.4 DMZ
- 3.4.1 公開サーバをどこに設置するか
- 3.4.2 第3のゾーンを作る-DMZ
3.5 その他のファイアウォール
- 3.5.1 パーソナルファイアウォール
- 3.5.2 コンテンツフィルタリング
- column スパイウェア
3.6 リモートアクセス
- 3.6.1 リモートアクセス技術
- 3.6.2 PPP
- 3.6.3 PPPの認証技術
3.7 VPN
- 3.7.1 VPNの基本構成
- 3.7.2 VPNの種類
- 3.7.3 VPNの2つのモード
- 3.7.4 VPNを実現するプロトコル
3.8 IPsec
- 3.8.1 IPsecとは
- 3.8.2 SA
- 3.8.3 AHとESP
3.9 IDS
- 3.9.1 IDSとは
- 3.9.2 IDSのしくみ
3.10 IPS
- 3.10.1 IPSとは
- 3.10.2 IPSの配置
- 3.10.3 IPSとファイアウォールの関係
3.11 不正データの排除
- 3.11.1 サニタイジング
- 3.11.2 エスケープ処理
3.12 プレースホルダ
- 3.12.1 プレースホルダとは
3.13 信頼性の向上①RASIS
- 3.13.1 RASIS
3.14 信頼性の向上②耐障害設計
- 3.14.1 耐障害設計の考え方
- 3.14.2 フォールトアボイダンス
- 3.14.3 フォールトトレランス
- 3.14.4 耐障害設計の手法
- 3.14.5 性能管理
3.15 信頼性の向上③バックアップ
- 3.15.1 バックアップとは
- 3.15.2 バックアップ計画
- 3.15.3 バックアップ方法
- 3.15.4 バックアップ運用
3.16 信頼性の向上④新しいバックアップ技術
- 3.16.1 NAS
- 3.16.2 SAN
- column データ爆発
3.17 ネットワーク管理技術
- 3.17.1 syslog
- 3.17.2 NTP
- 3.17.3 管理台帳の作成
- 3.17.4 SNMP
3.18 セキュアOS
- 3.18.1 Trusted OS
- 3.18.2 セキュアOS
3.19 クラウドとモバイル
- 3.19.1 クラウド技術の脆弱性と対策
- 3.19.2 モバイル機器の脆弱性と対策
章末問題
第4章 セキュリティ技術──暗号と認証
4.1 セキュリティ技術の基本
- 4.1.1 セキュリティ技術とは
- 4.1.2 セキュリティ技術の種類
4.2 暗号①暗号化の考え方
- 4.2.1 盗聴リスクと暗号化
- 4.2.2 暗号の基本と種類
4.3 暗号②共通鍵暗号方式
- 4.3.1 共通鍵暗号方式
- 4.3.2 共通鍵暗号方式のしくみ
- 4.3.3 共通鍵暗号方式の実装技術
- 4.3.4 秘密鍵の管理
4.4 暗号③公開鍵暗号方式
- 4.4.1 公開鍵暗号方式
- 4.4.2 公開鍵暗号方式のしくみ
- 4.4.3 公開鍵暗号の実装技術
4.5 認証①認証システム
- 4.5.1 アクセスコントロールと認証システム
- 4.5.2 パスワード認証
- column 権限管理の方法
4.6 認証②ワンタイムパスワード
- 4.6.1 ワンタイムパスワードとは
- 4.6.2 S/KEY
- 4.6.3 時刻同期方式
4.7 認証③パスワード運用の注意
- 4.7.1 パスワード認証の運用
- 4.7.2 パスワード作成上の要件
- 4.7.3 パスワード作成要件の矛盾
- 4.7.4 ユーザID 発行上の注意
- 4.7.5 二要素認証
- column クッキーによる認証
4.8 認証④バイオメトリクス認証
- 4.8.1 バイオメトリクス認証
4.9 認証⑤ディジタル署名
- 4.9.1 ディジタル署名とは
- 4.9.2 ディジタル署名のしくみ
- 4.9.3 メッセージダイジェスト
- 4.9.4 ディジタル署名と公開鍵暗号方式の複合
- 4.9.5 電子メールのエンコードと暗号化
4.10 認証⑥ PKI(公開鍵基盤)
- 4.10.1 ディジタル署名の弱点
- 4.10.2 PKI
- 4.10.3 ディジタル証明書の失効
- 4.10.4 ディジタル証明書が証明できないもの
- 4.10.5 PKI で問われる関連技術
- 4.10.6 タイムスタンプ
4.11 認証⑦認証サーバの構成
- 4.11.1 認証サーバとは
- 4.11.2 RADIUS
- 4.11.3 Kerberos(ケルベロス)
4.12 認証⑧ SSL/TLS
- 4.12.1 SSL
- 4.12.2 SSL の通信手順
4.13 認証⑨新しい認証方式
- 4.13.1 事物による認証
- 4.13.2 IC カードの認証プロセス
- 4.13.3 IC カードの問題点
- 4.13.4 多要素認証
- column RFID
章末問題
第5章 セキュリティマネジメント
5.1 情報セキュリティポリシ
- 5.1.1 情報セキュリティポリシとは
- 5.1.2 法律との違い
- 5.1.3 情報セキュリティポリシを生かすISMS
- 5.1.4 情報セキュリティポリシの種類
- 5.1.5 他の社内文書との整合性
- 5.1.6 情報セキュリティポリシを具体化する組織(CSIRT,SOC)
5.2 ISMS の運用
- 5.2.1 ISMS 運用のポイント
5.3 ISMS 審査のプロセス
- 5.3.1 ISMS 適合性評価制度の審査
- 5.3.2 ISMS 審査の手順
5.4 セキュリティシステムの実装
- 5.4.1 セキュリティ製品の導入の実施
- 5.4.2 ペネトレーションテスト(脆弱性検査)
5.5 セキュリティシステムの運用
- 5.5.1 セキュリティパッチの適用
- 5.5.2 ログの収集
- 5.5.3 ログの監査
5.6 サービスマネジメント
- 5.6.1 サービスマネジメントとは
- 5.6.2 サービスレベルアグリーメント(SLA)
- 5.6.3 ITIL
- 5.6.4 ファシリティマネジメント
5.7 セキュリティ教育
- 5.7.1 ユーザへの教育
- 5.7.2 セキュリティ技術者・管理者への教育
- 5.7.3 セキュリティ教育の限界
5.8 セキュリティインシデントへの対応
- 5.8.1 セキュリティインシデントの対応手順
- 5.8.2 初動処理
- 5.8.3 影響範囲の特定と要因の特定
- 5.8.4 システムの復旧と再発防止
- 5.8.5 BCP
- 5.8.6 BCM
5.9 システム監査
- 5.9.1 システム監査とは
- 5.9.2 監査基準
- 5.9.3 監査の種類
- 5.9.4 監査人の選定
- 5.9.5 監査の流れ
- 5.9.6 監査活動のステップ
- 5.9.7 被監査者側が対応すべきこと
- column 状況的犯罪状況
- column 不正のトライアングル
- column よく出題されるその他の文書類
章末問題
第6章 ソフトウェア開発技術とセキュリティ
6.1 システム開発のプロセス
- 6.1.1 システム開発の流れ
- 6.1.2 システム開発の基本的骨格
6.2 ソフトウェアのテスト
- 6.2.1 視点による分類
- 6.2.2 プロセスによる分類
- 6.2.3 結合テストの手法
- 6.2.4 テストデータの作り方
- 6.2.5 脆弱性チェックツール
6.3 システム開発技術
- 6.3.1 個々のプロセスの進め方
- 6.3.2 システム設計のアプローチ方法
6.4 プロジェクトマネジメント
- 6.4.1 プロジェクトを取り巻く環境の悪化
- 6.4.2 スケジュール管理で使われるツール
- 6.4.3 ソフトウェアの見積り方法
6.5 セキュアプログラミング① C/C++
- 6.5.1 C 言語はなぜ脆弱か
- 6.5.2 C 言語で安全なプログラムを書く方法
- 6.5.3 代表的なC/C++ の脆弱性
6.6 セキュアプログラミング② Java
- 6.6.1 サンドボックスモデル
- 6.6.2 クラス
- 6.6.3 パーミッションの付与方法
6.7 セキュアプログラミング③ ECMAScript
- 6.7.1 ECMAScript
- 6.7.2 ECMAScript におけるエスケープ処理
章末問題
第7章 ネットワークとデータベース
7.1 ネットワークの基礎
- 7.1.1 プロトコル
- 7.1.2 OSI 基本参照モデル
- 7.1.3 OSI 基本参照モデルの詳細
- 7.1.4 パケット交換方式
- 7.1.5 コネクション型通信とコネクションレス型通信
7.2 TCP/IP
- 7.2.1 IP とTCP/IP プロトコルスイート
- 7.2.2 IP の特徴
- 7.2.3 IP ヘッダ
- 7.2.4 IP バージョン6(IPv6)
- 7.2.5 TCP
- 7.2.6 UDP
- 7.2.7 トランスポート層のプロトコルとポート番号
7.3 IP アドレス
- 7.3.1 IP アドレス
- 7.3.2 ネットワークアドレスとホストアドレス
- 7.3.3 IP アドレスクラス
- 7.3.4 プライベートIP アドレス
- 7.3.5 MAC アドレス
7.4 ポート番号
- 7.4.1 トランスポート層の役割
- 7.4.2 ポート番号
- 7.4.3 ポート番号の使われ方
7.5 LAN 間接続装置①物理層
- 7.5.1 リピータ
- 7.5.2 ハブ
- column LAN の規格
7.6 LAN 間接続装置②データリンク層
- 7.6.1 ブリッジ
- 7.6.2 スイッチングハブ
- column プロトコルアナライザ
7.7 LAN 間接続装置③ネットワーク層
- 7.7.1 ルータ
- 7.7.2 L3 スイッチ
- 7.7.3 VLAN
- column その他のLAN 間接続装置
7.8 アドレス変換技術
- 7.8.1 NAT
- 7.8.2 IP マスカレード
- 7.8.3 NAT,IP マスカレードの注意点
- 7.8.4 UPnP
7.9 アプリケーション層のプロトコル
- 7.9.1 アプリケーション層の役割
- 7.9.2 DHCP
- 7.9.3 DNS
- 7.9.4 メールプロトコル
- 7.9.5 その他のメールプロトコル
- 7.9.6 セキュアなメールプロトコル
- 7.9.7 HTTP
- 7.9.8 HTTPS
- 7.9.9 FTP
- 7.9.10 Telnet
- 7.9.11 SSH
7.10 無線LAN
- 7.10.1 無線LAN
- 7.10.2 無線LAN の規格
- 7.10.3 無線LAN のアクセス手順
- 7.10.4 WEP 暗号
- 7.10.5 セキュリティの向上
7.11 データベースモデル
- 7.11.1 データの表現方法
- 7.11.2 概念モデルの必要性
7.12 データベースマネジメントシステム
- 7.12.1 データを扱う具体的なシステム
- 7.12.2 分散データベース
- 7.12.3 トランザクション管理
- 7.12.4 排他制御
- 7.12.5 リカバリ機能
7.13 SQL
- 7.13.1 SQL とは
- 7.13.2 3 つの言語機能
- 7.13.3 頻出の命令文
章末問題
第8章 国際標準・法律
8.1 国際標準とISMS
- 8.1.1 ISO/IEC 15408
- 8.1.2 OECD プライバシーガイドライン
- 8.1.3 ISMS 標準化の流れ
- column PCI DSS
8.2 国内のガイドライン
- 8.2.1 政府機関の情報セキュリティ対策のための統一基準
- 8.2.2 情報セキュリティ監査制度
- 8.2.3 情報システム安全対策基準
- 8.2.4 コンピュータウイルス対策基準
- 8.2.5 システム監査基準
- 8.2.6 コンピュータ不正アクセス対策基準
- 8.2.7 プライバシーマーク制度
- 8.2.8 個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001)
- 8.2.9 SLCP-JCF2013
- 8.2.10 クラウドサービス利用のための情報セキュリティマネジメントガイドライン
8.3 法令
- 8.3.1 コンピュータ犯罪に対する法律
- 8.3.2 個人情報保護
- 8.3.3 知的財産保護
- 8.3.4 電子文書
- 8.3.5 サイバーセキュリティ基本法
- column 派遣と請負
- column サイバーテロリズム
章末問題
第Ⅱ部 長文問題演習─午後Ⅰ・Ⅱ問題対策─
午後問題の出題
午後問題で知っておくべきネットワーク
午後Ⅰ問題の対策
1 パケットログ解析
- 解答のポイント
2 標的型攻撃
- 解答のポイント
3 アプリケーション開発時の脆弱性対策
- 解答のポイント
4 Java プログラミング
- 解答のポイント
5 ウイルスの駆除及び感染防止
- 解答のポイント
6 ソフトウェアの脆弱性への対応
- 解答のポイント
7 パブリッククラウドサービス
- 解答のポイント
午後Ⅱ問題の対策
1 ISMS 認証の維持と対処
- 解析のポイント
2 公開鍵基盤の構築
- 解析のポイント
3 公開サーバの情報セキュリティ対策
- 解析のポイント
4 スマホを利用したリモートアクセス環境
- 解析のポイント
索引
別冊付録 高度試験共通 午前Ⅰ確認問題集
この本に関連する書籍
-
平成28年度【秋期】情報セキュリティマネジメント パーフェクトラーニング過去問題集
シリーズ累計100万部のパーフェクトラーニングシリーズに,今年の4月に始まった新試験「情報セキュリティマネジメント試験」が登場。類題の出題がある情報処理技術者試...
-
平成28年度【秋期】情報セキュリティスペシャリスト パーフェクトラーニング過去問題集
「情報セキュリティスペシャリスト」過去4回分の問題・解説を収録した過去問題集。本書収録の試験以外にも,過去11回分の問題・解説PDFをダウンロードできます。午前問...
-
平成28年度【春期】情報セキュリティスペシャリスト パーフェクトラーニング過去問題集
合格をめざす人のための必携問題集『パーフェクトラーニング』シリーズの「情報セキュリティスペシャリスト」版です。本書掲載の過去4回分試験の解答・解説に加えて,過...
-
事例から学ぶ情報セキュリティ――基礎と対策と脅威のしくみ
コンピュータシステムが社会インフラとして定着する中で,情報セキュリティに関する脅威はさまざまな分野や人に大きな影響をおよぼします。また,IT技術の進化に伴って...
-
要点早わかり 情報セキュリティスペシャリスト ポケット攻略本
最小限の学習時間・手間で,効率良く合格するためのコンパクトな試験対策まとめ集です。合格に必要な重要事項を厳選,項目ごとに短くまとめてあるので,細切れ時間での...