• 受験のてびき
• 付属CD-ROMの使い方と注意事項

第Ⅰ部　知識のまとめ─午前Ⅱ，午後Ⅰ・Ⅱ問題対策─
午前問題の出題

第1章　セキュリティの基礎

1.1 情報セキュリティとは

• 　1.1.1 情報の形態
• 　1.1.2 情報セキュリティのとらえ方
• 　1.1.3 情報セキュリティの目的
• 　1.1.4 クラッカーだけがセキュリティの敵ではない
• 　1.1.5 情報セキュリティはコスト項目である

1.2　リスクの発生

• 　1.2.1 情報資産と脅威
• 　1.2.2 脆弱性の存在
• 　1.2.3 情報資産へのリスク

1.3　脅威の種類

• 　1.3.1 物理的脅威
• 　1.3.2 技術的脅威
• 　1.3.3 人的脅威

1.4　攻撃者

• 　1.4.1 攻撃者の目的
• 　1.4.2 攻撃者の種類・動機

1.5　脆弱性の種類

• 　1.5.1 物理的脆弱性
• 　1.5.2 技術的脆弱性
• 　1.5.3 人的脆弱性
• 　column CVSS

1.6　リスクマネジメント

• 　1.6.1 リスクとは
• 　1.6.2 リスクマネジメントの体系

1.7　リスクアセスメント①取組み方法の策定

• 　1.7.1 リスクアセスメントとは
• 　1.7.2 取組み方法の種類
• 　1.7.3 ベースラインアプローチの種類

1.8　リスクアセスメント②リスク評価の実際

• 　1.8.1 リスクの識別
• 　1.8.2 リスク評価
• 　1.8.3 リスク評価の方法
• 　1.8.4 リスクの受容水準

1.9　リスク対応

• 　1.9.1 リスク対応の手段
• 　1.9.2 リスク対応の選択
• 　1.9.3 リスク対応のポイント

章末問題

第2章　脅威とサイバー攻撃の手法

2.1　さまざまなサイバー攻撃の手法

• 　2.1.1 サイバー攻撃の手法を理解しておく意義
• 　2.1.2 主なサイバー攻撃の手法
• 　2.1.3 得点に結びつく知識を

2.2　不正アクセス

• 　2.2.1 不正アクセス
• 　2.2.2 不正アクセスの方法

2.3　バッファオーバフロー

• 　2.3.1 バッファオーバフローとは

2.4　パスワード奪取

• 　2.4.1 ブルートフォースアタック
• 　2.4.2 辞書攻撃
• 　2.4.3 ログの消去
• 　2.4.4 バックドアの作成

2.5　セッションハイジャック

• 　2.5.1 セッションハイジャックとは
• 　2.5.2 セッションフィクセーション
• 　column ログ

2.6　盗聴

• 　2.6.1 盗聴とは
• 　2.6.2 スニファ
• 　2.6.3 電波傍受
• 　2.6.4 キーボードロギング

2.7　なりすまし

• 　2.7.1 なりすましとは
• 　2.7.2 ユーザID やパスワードの偽装
• 　2.7.3 IP スプーフィング
• 　2.7.4 踏み台

2.8　DoS 攻撃

• 　2.8.1 サービス妨害とは
• 　2.8.2 TCP SYN Flood
• 　2.8.3 Connection Flood
• 　2.8.4 UDP Flood
• 　2.8.5 Ping Flood（ICMP Flood）
• 　2.8.6 Ping of Death
• 　2.8.7 DDoS 攻撃
• 　2.8.8 分散反射型DoS 攻撃
• 　2.8.9 サービス妨害の法的根拠
• 　column ボット

2.9　Web システムへの攻撃

• 　2.9.1 Web ビーコン
• 　2.9.2 フィッシング
• 　2.9.3 ファーミング

2.10　スクリプト攻撃

• 　2.10.1 クロスサイトスクリプティング
• 　2.10.2 クロスサイトリクエストフォージェリ
• 　2.10.3 SQL インジェクション
• 　2.10.4 OS コマンドインジェクション
• 　2.10.5 HTTP ヘッダインジェクション
• 　2.10.6 キャッシュサーバへの介入

2.11　DNS キャッシュポイズニング

• 　2.11.1 DNS キャッシュポイズニングとは
• 　2.11.2 DNS Changer

2.12　標的型攻撃

• 　2.12.1 標的型攻撃とは

2.13　その他の攻撃方法

• 　2.13.1 ソーシャルエンジニアリング
• 　2.13.2 スパムメール
• 　2.13.3 メール爆撃

2.14　コンピュータウイルス

• 　2.14.1 コンピュータウイルスの分類
• 　2.14.2 コンピュータウイルスの3 機能
• 　2.14.3 コンピュータウイルスの感染経路
• 　2.14.4 マクロウイルス

2.15　コンピュータウイルスへの対策

• 　2.15.1 ウイルスチェックソフト
• 　2.15.2 ウイルスチェックソフトの限界と対策
• 　2.15.3 ネットワークからの遮断
• 　2.15.4 感染後の対応
• 　2.15.5 ウイルス対策の基準

章末問題

第3章　セキュリティ技術──対策と実装

3.1　ファイアウォール

• 　3.1.1 ファイアウォールとは
• 　3.1.2 レイヤ3 フィルタリング（IPアドレス使用）
• 　3.1.3 レイヤ4 フィルタリング（＋ポート番号，プロトコル種別）
• 　column ポート攻撃
• 　3.1.4 ルータとの違い
• 　3.1.5 レイヤ7フィルタリング
• 　3.1.6 ルールベース作成の注意

3.2　シングルサインオン

• 　3.2.1 プロキシサーバ
• 　3.2.2 リバースプロキシとシングルサインオン
• 　3.2.3 その他のシングルサインオン

3.3　WAF

• 　3.3.1 WAFとは

3.4　DMZ

• 　3.4.1 公開サーバをどこに設置するか
• 　3.4.2 第3のゾーンを作る-DMZ

3.5　その他のファイアウォール

• 　3.5.1 パーソナルファイアウォール
• 　3.5.2 コンテンツフィルタリング
• 　column スパイウェア

3.6　リモートアクセス

• 　3.6.1 リモートアクセス技術
• 　3.6.2 PPP
• 　3.6.3 PPPの認証技術

3.7　VPN

• 　3.7.1 VPNの基本構成
• 　3.7.2 VPNの種類
• 　3.7.3 VPNの2つのモード
• 　3.7.4 VPNを実現するプロトコル

3.8　IPsec

• 　3.8.1 IPsecとは
• 　3.8.2 SA
• 　3.8.3 AHとESP

3.9　IDS

• 　3.9.1 IDSとは
• 　3.9.2 IDSのしくみ

3.10　IPS

• 　3.10.1 IPSとは
• 　3.10.2 IPSの配置
• 　3.10.3 IPSとファイアウォールの関係

3.11　不正データの排除

• 　3.11.1 サニタイジング
• 　3.11.2 エスケープ処理

3.12　プレースホルダ

• 　3.12.1 プレースホルダとは

3.13　信頼性の向上①RASIS

• 　3.13.1 RASIS

3.14　信頼性の向上②耐障害設計

• 　3.14.1 耐障害設計の考え方
• 　3.14.2 フォールトアボイダンス
• 　3.14.3 フォールトトレランス
• 　3.14.4 耐障害設計の手法
• 　3.14.5 性能管理

3.15　信頼性の向上③バックアップ

• 　3.15.1 バックアップとは
• 　3.15.2 バックアップ計画
• 　3.15.3 バックアップ方法
• 　3.15.4 バックアップ運用

3.16　信頼性の向上④新しいバックアップ技術

• 　3.16.1 NAS
• 　3.16.2 SAN
• 　column データ爆発

3.17　ネットワーク管理技術

• 　3.17.1 syslog
• 　3.17.2 NTP
• 　3.17.3 管理台帳の作成
• 　3.17.4 SNMP

3.18　セキュアOS

• 　3.18.1 Trusted OS
• 　3.18.2 セキュアOS

3.19　クラウドとモバイル

• 　3.19.1 クラウド技術の脆弱性と対策
• 　3.19.2 モバイル機器の脆弱性と対策

章末問題

第4章　セキュリティ技術──暗号と認証

4.1　セキュリティ技術の基本

• 　4.1.1 セキュリティ技術とは
• 　4.1.2 セキュリティ技術の種類

4.2　暗号①暗号化の考え方

• 　4.2.1 盗聴リスクと暗号化
• 　4.2.2 暗号の基本と種類

4.3　暗号②共通鍵暗号方式

• 　4.3.1 共通鍵暗号方式
• 　4.3.2 共通鍵暗号方式のしくみ
• 　4.3.3 共通鍵暗号方式の実装技術
• 　4.3.4 秘密鍵の管理

4.4　暗号③公開鍵暗号方式

• 　4.4.1 公開鍵暗号方式
• 　4.4.2 公開鍵暗号方式のしくみ
• 　4.4.3 公開鍵暗号の実装技術

4.5　認証①認証システム

• 　4.5.1 アクセスコントロールと認証システム
• 　4.5.2 パスワード認証
• 　column 権限管理の方法

4.6　認証②ワンタイムパスワード

• 　4.6.1 ワンタイムパスワードとは
• 　4.6.2 S/KEY
• 　4.6.3 時刻同期方式

4.7　認証③パスワード運用の注意

• 　4.7.1 パスワード認証の運用
• 　4.7.2 パスワード作成上の要件
• 　4.7.3 パスワード作成要件の矛盾
• 　4.7.4 ユーザID 発行上の注意
• 　4.7.5 二要素認証
• 　column クッキーによる認証

4.8　認証④バイオメトリクス認証

• 　4.8.1 バイオメトリクス認証

4.9　認証⑤ディジタル署名

• 　4.9.1 ディジタル署名とは
• 　4.9.2 ディジタル署名のしくみ
• 　4.9.3 メッセージダイジェスト
• 　4.9.4 ディジタル署名と公開鍵暗号方式の複合
• 　4.9.5 電子メールのエンコードと暗号化

4.10　認証⑥ PKI（公開鍵基盤）

• 　4.10.1 ディジタル署名の弱点
• 　4.10.2 PKI
• 　4.10.3 ディジタル証明書の失効
• 　4.10.4 ディジタル証明書が証明できないもの
• 　4.10.5 PKI で問われる関連技術
• 　4.10.6 タイムスタンプ

4.11　認証⑦認証サーバの構成

• 　4.11.1 認証サーバとは
• 　4.11.2 RADIUS
• 　4.11.3 Kerberos（ケルベロス）

4.12　認証⑧ SSL/TLS

• 　4.12.1 SSL
• 　4.12.2 SSL の通信手順

4.13　認証⑨新しい認証方式

• 　4.13.1 事物による認証
• 　4.13.2 IC カードの認証プロセス
• 　4.13.3 IC カードの問題点
• 　4.13.4 多要素認証
• 　column RFID

章末問題

第5章　セキュリティマネジメント

5.1　情報セキュリティポリシ

• 　5.1.1 情報セキュリティポリシとは
• 　5.1.2 法律との違い
• 　5.1.3 情報セキュリティポリシを生かすISMS
• 　5.1.4 情報セキュリティポリシの種類
• 　5.1.5 他の社内文書との整合性
• 　5.1.6 情報セキュリティポリシを具体化する組織（CSIRT，SOC）

5.2　ISMS の運用

• 　5.2.1 ISMS 運用のポイント

5.3　ISMS 審査のプロセス

• 　5.3.1 ISMS 適合性評価制度の審査
• 　5.3.2 ISMS 審査の手順

5.4　セキュリティシステムの実装

• 　5.4.1 セキュリティ製品の導入の実施
• 　5.4.2 ペネトレーションテスト（脆弱性検査）

5.5　セキュリティシステムの運用

• 　5.5.1 セキュリティパッチの適用
• 　5.5.2 ログの収集
• 　5.5.3 ログの監査

5.6　サービスマネジメント

• 　5.6.1 サービスマネジメントとは
• 　5.6.2 サービスレベルアグリーメント（SLA）
• 　5.6.3 ITIL
• 　5.6.4 ファシリティマネジメント

5.7　セキュリティ教育

• 　5.7.1 ユーザへの教育
• 　5.7.2 セキュリティ技術者・管理者への教育
• 　5.7.3 セキュリティ教育の限界

5.8　セキュリティインシデントへの対応

• 　5.8.1 セキュリティインシデントの対応手順
• 　5.8.2 初動処理
• 　5.8.3 影響範囲の特定と要因の特定
• 　5.8.4 システムの復旧と再発防止
• 　5.8.5 BCP
• 　5.8.6 BCM

5.9　システム監査

• 　5.9.1 システム監査とは
• 　5.9.2 監査基準
• 　5.9.3 監査の種類
• 　5.9.4 監査人の選定
• 　5.9.5 監査の流れ
• 　5.9.6 監査活動のステップ
• 　5.9.7 被監査者側が対応すべきこと
• 　column 状況的犯罪状況
• 　column 不正のトライアングル
• 　column よく出題されるその他の文書類

章末問題

第6章　ソフトウェア開発技術とセキュリティ

6.1　システム開発のプロセス

• 　6.1.1 システム開発の流れ
• 　6.1.2 システム開発の基本的骨格

6.2　ソフトウェアのテスト

• 　6.2.1 視点による分類
• 　6.2.2 プロセスによる分類
• 　6.2.3 結合テストの手法
• 　6.2.4 テストデータの作り方
• 　6.2.5 脆弱性チェックツール

6.3　システム開発技術

• 　6.3.1 個々のプロセスの進め方
• 　6.3.2 システム設計のアプローチ方法

6.4　プロジェクトマネジメント

• 　6.4.1 プロジェクトを取り巻く環境の悪化
• 　6.4.2 スケジュール管理で使われるツール
• 　6.4.3 ソフトウェアの見積り方法

6.5　セキュアプログラミング① C/C++

• 　6.5.1 C 言語はなぜ脆弱か
• 　6.5.2 C 言語で安全なプログラムを書く方法
• 　6.5.3 代表的なC/C++ の脆弱性

6.6　セキュアプログラミング② Java

• 　6.6.1 サンドボックスモデル
• 　6.6.2 クラス
• 　6.6.3 パーミッションの付与方法

6.7　セキュアプログラミング③ ECMAScript

• 　6.7.1 ECMAScript
• 　6.7.2 ECMAScript におけるエスケープ処理

章末問題

第7章　ネットワークとデータベース

7.1　ネットワークの基礎

• 　7.1.1 プロトコル
• 　7.1.2 OSI 基本参照モデル
• 　7.1.3 OSI 基本参照モデルの詳細
• 　7.1.4 パケット交換方式
• 　7.1.5 コネクション型通信とコネクションレス型通信

7.2　TCP/IP

• 　7.2.1 IP とTCP/IP プロトコルスイート
• 　7.2.2 IP の特徴
• 　7.2.3 IP ヘッダ
• 　7.2.4 IP バージョン6（IPv6）
• 　7.2.5 TCP
• 　7.2.6 UDP
• 　7.2.7 トランスポート層のプロトコルとポート番号

7.3　IP アドレス

• 　7.3.1 IP アドレス
• 　7.3.2 ネットワークアドレスとホストアドレス
• 　7.3.3 IP アドレスクラス
• 　7.3.4 プライベートIP アドレス
• 　7.3.5 MAC アドレス

7.4　ポート番号

• 　7.4.1 トランスポート層の役割
• 　7.4.2 ポート番号
• 　7.4.3 ポート番号の使われ方

7.5　LAN 間接続装置①物理層

• 　7.5.1 リピータ
• 　7.5.2 ハブ
• 　column LAN の規格

7.6　LAN 間接続装置②データリンク層

• 　7.6.1 ブリッジ
• 　7.6.2 スイッチングハブ
• 　column プロトコルアナライザ

7.7　LAN 間接続装置③ネットワーク層

• 　7.7.1 ルータ
• 　7.7.2 L3 スイッチ
• 　7.7.3 VLAN
• 　column その他のLAN 間接続装置

7.8　アドレス変換技術

• 　7.8.1 NAT
• 　7.8.2 IP マスカレード
• 　7.8.3 NAT，IP マスカレードの注意点
• 　7.8.4 UPnP

7.9　アプリケーション層のプロトコル

• 　7.9.1 アプリケーション層の役割
• 　7.9.2 DHCP
• 　7.9.3 DNS
• 　7.9.4 メールプロトコル
• 　7.9.5 その他のメールプロトコル
• 　7.9.6 セキュアなメールプロトコル
• 　7.9.7 HTTP
• 　7.9.8 HTTPS
• 　7.9.9 FTP
• 　7.9.10 Telnet
• 　7.9.11 SSH

7.10　無線LAN

• 　7.10.1 無線LAN
• 　7.10.2 無線LAN の規格
• 　7.10.3 無線LAN のアクセス手順
• 　7.10.4 WEP 暗号
• 　7.10.5 セキュリティの向上

7.11　データベースモデル

• 　7.11.1 データの表現方法
• 　7.11.2 概念モデルの必要性

7.12　データベースマネジメントシステム

• 　7.12.1 データを扱う具体的なシステム
• 　7.12.2 分散データベース
• 　7.12.3 トランザクション管理
• 　7.12.4 排他制御
• 　7.12.5 リカバリ機能

7.13　SQL

• 　7.13.1 SQL とは
• 　7.13.2 3 つの言語機能
• 　7.13.3 頻出の命令文

章末問題

第8章 国際標準・法律

8.1　国際標準とISMS

• 　8.1.1 ISO/IEC 15408
• 　8.1.2 OECD プライバシーガイドライン
• 　8.1.3 ISMS 標準化の流れ
• 　column PCI DSS

8.2　国内のガイドライン

• 　8.2.1 政府機関の情報セキュリティ対策のための統一基準
• 　8.2.2 情報セキュリティ監査制度
• 　8.2.3 情報システム安全対策基準
• 　8.2.4 コンピュータウイルス対策基準
• 　8.2.5 システム監査基準
• 　8.2.6 コンピュータ不正アクセス対策基準
• 　8.2.7 プライバシーマーク制度
• 　8.2.8 個人情報保護に関するコンプライアンス・プログラムの要求事項（JIS Q 15001）
• 　8.2.9 SLCP-JCF2013
• 　8.2.10 クラウドサービス利用のための情報セキュリティマネジメントガイドライン

8.3　法令

• 　8.3.1 コンピュータ犯罪に対する法律
• 　8.3.2 個人情報保護
• 　8.3.3 知的財産保護
• 　8.3.4 電子文書
• 　8.3.5 サイバーセキュリティ基本法
• 　column 派遣と請負
• 　column サイバーテロリズム

章末問題

第Ⅱ部　長文問題演習─午後Ⅰ・Ⅱ問題対策─
午後問題の出題
午後問題で知っておくべきネットワーク

午後Ⅰ問題の対策

1　パケットログ解析

• 　解答のポイント

2　標的型攻撃

• 　解答のポイント

3　アプリケーション開発時の脆弱性対策

• 　解答のポイント

4　Java プログラミング

• 　解答のポイント

5　ウイルスの駆除及び感染防止

• 　解答のポイント

6　ソフトウェアの脆弱性への対応

• 　解答のポイント

7　パブリッククラウドサービス

• 　解答のポイント

午後Ⅱ問題の対策

1　ISMS 認証の維持と対処

• 　解析のポイント

2　公開鍵基盤の構築

• 　解析のポイント

3　公開サーバの情報セキュリティ対策

• 　解析のポイント

4　スマホを利用したリモートアクセス環境

• 　解析のポイント

索引

別冊付録　高度試験共通 午前Ⅰ確認問題集