• 受験のてびき
• 付属CD-ROMの使い方と注意事項

第Ⅰ部　知識のまとめ－午前Ⅱ，午後Ⅰ・Ⅱ問題対策－

午前問題の出題

第1章　セキュリティの基礎

1.1　情報セキュリティとは

• 1.1.1　情報の形態
• 1.1.2　情報セキュリティのとらえ方
• 1.1.3　情報セキュリティの目的
• 1.1.4　クラッカーだけがセキュリティの敵ではない
• 1.1.5　情報セキュリティはコスト項目である

1.2　リスクの発生

• 1.2.1　情報資産と脅威
• 1.2.2　脆弱性の存在
• 1.2.3　情報資産へのリスク

1.3　脅威の種類

• 1.3.1　物理的脅威
• 1.3.2　技術的脅威
• 1.3.3　人的脅威

1.4　攻撃者

• 1.4.1　攻撃者の目的
• 1.4.2　攻撃者の種類・動機

1.5　脆弱性の種類

• 1.5.1　物理的脆弱性
• 1.5.2　技術的脆弱性
• 1.5.3　人的脆弱性
• column　CVSS

1.6　リスクマネジメント

• 1.6.1　リスクとは
• 1.6.2　リスクマネジメントの体系

1.7　リスクアセスメント①取組み方法の策定

• 1.7.1　リスクアセスメントとは
• 1.7.2　取組み方法の種類
• 1.7.3　ベースラインアプローチの種類

1.8　リスクアセスメント②リスク評価の実際

• 1.8.1　リスクの識別
• 1.8.2　リスク評価
• 1.8.3　リスク評価の方法
• 1.8.4　リスクの受容水準

1.9　リスク対応

• 1.9.1　リスク対応の手段
• 1.9.2　リスク対応の選択
• 1.9.3　リスク対応のポイント

章末問題

第2章　脅威とサイバー攻撃の手法

2.1　さまざまなサイバー攻撃の手法

• 2.1.1　サイバー攻撃の手法を理解しておく意義
• 2.1.2　主なサイバー攻撃の手法
• 2.1.3　得点に結びつく知識を

2.2　不正アクセス

• 2.2.1　不正アクセス
• 2.2.2　不正アクセスの方法

2.3　バッファオーバフロー

• 2.3.1　バッファオーバフローとは

2.4　パスワード奪取

• 2.4.1　ブルートフォースアタック
• 2.4.2　辞書攻撃
• 2.4.3　ログの消去
• 2.4.4　バックドアの作成

2.5　セッションハイジャック

• 2.5.1　セッションハイジャックとは
• 2.5.2　セッションフィクセーション
• column　ログ

2.6　盗聴

• 2.6.1　盗聴とは
• 2.6.2　スニファ
• 2.6.3　電波傍受
• 2.6.4　キーボードロギング

2.7　なりすまし

• 2.7.1　なりすましとは
• 2.7.2　ユーザIDやパスワードの偽装
• 2.7.3　IPスプーフィング
• 2.7.4　踏み台

2.8　DoS攻撃

• 2.8.1　サービス妨害とは
• 2.8.2　TCP SYN Flood
• 2.8.3　Connection Flood
• 2.8.4　UDP Flood
• 2.8.5　Ping Flood（ICMP Flood）
• 2.8.6　Ping of Death
• 2.8.7　DDoS攻撃
• 2.8.8　分散反射型DoS攻撃
• 2.8.9　サービス妨害の法的根拠
• column　ボット

2.9　Webシステムへの攻撃

• 2.9.1　Webビーコン
• 2.9.2　フィッシング
• 2.9.3　ファーミング

2.10　スクリプト攻撃

• 2.10.1　クロスサイトスクリプティング
• 2.10.2　クロスサイトリクエストフォージェリ
• 2.10.3　SQLインジェクション
• 2.10.4　OSコマンドインジェクション
• 2.10.5　HTTPヘッダインジェクション
• 2.10.6　キャッシュサーバへの介入

2.11　DNSキャッシュポイズニング

• 2.11.1　DNSキャッシュポイズニングとは
• 2.11.2　DNS Changer

2.12　標的型攻撃

• 2.12.1　標的型攻撃とは

2.13　その他の攻撃方法

• 2.13.1　ソーシャルエンジニアリング
• 2.13.2　スパムメール
• 2.13.3　メール爆撃

2.14　コンピュータウイルス

• 2.14.1　コンピュータウイルスの分類
• 2.14.2　コンピュータウイルスの3機能
• 2.14.3　コンピュータウイルスの感染経路
• 2.14.4　マクロウイルス

2.15　コンピュータウイルスへの対策

• 2.15.1　ウイルスチェックソフト
• 2.15.2　ウイルスチェックソフトの限界と対策
• 2.15.3　ネットワークからの遮断
• 2.15.4　感染後の対応
• 2.15.5　ウイルス対策の基準

章末問題

第3章　セキュリティ技術─対策と実装

3.1　ファイアウォール

• 3.1.1　ファイアウォールとは
• 3.1.2　レイヤ3フィルタリング（IPアドレス使用）
• 3.1.3　レイヤ4フィルタリング（＋ポート番号，プロトコル種別）
• column　ポート攻撃
• 3.1.4　ルータとの違い
• 3.1.5　レイヤ7フィルタリング
• 3.1.6　ルールベース作成の注意

3.2　シングルサインオン

• 3.2.1　プロキシサーバ
• 3.2.2　リバースプロキシとシングルサインオン
• 3.2.3　その他のシングルサインオン

3.3　WAF

• 3.3.1　WAFとは

3.4　DMZ

• 3.4.1　公開サーバをどこに設置するか
• 3.4.2　第3のゾーンを作る-DMZ

3.5　その他のファイアウォール

• 3.5.1　パーソナルファイアウォール
• 3.5.2　コンテンツフィルタリング
• column　スパイウェア

3.6　リモートアクセス

• 3.6.1　リモートアクセス技術
• 3.6.2　PPP
• 3.6.3　PPPの認証技術

3.7　VPN

• 3.7.1　VPNの基本構成
• 3.7.2　VPNの種類
• 3.7.3　VPNの2つのモード
• 3.7.4　VPNを実現するプロトコル
• 3.7.5　ネットワーク仮想化

3.8　IPsec

• 3.8.1　IPsecとは
• 3.8.2　SA
• 3.8.3　AHとESP

3.9　IDS

• 3.9.1　IDSとは
• 3.9.2　IDSのしくみ

3.10　IPS

• 3.10.1　IPSとは
• 3.10.2　IPSの配置
• 3.10.3　IPSとファイアウォールの関係

3.11　不正データの排除

• 3.11.1　サニタイジング
• 3.11.2　エスケープ処理

3.12　プレースホルダ

• 3.12.1　プレースホルダとは

3.13　信頼性の向上①RASIS

• 3.13.1　RASIS

3.14　信頼性の向上②耐障害設計

• 3.14.1　耐障害設計の考え方
• 3.14.2　フォールトアボイダンス
• 3.14.3　フォールトトレランス
• 3.14.4　耐障害設計の手法
• 3.14.5　性能管理

3.15　信頼性の向上③バックアップ

• 3.15.1　バックアップとは
• 3.15.2　バックアップ計画
• 3.15.3　バックアップ方法
• 3.15.4　バックアップ運用

3.16　信頼性の向上④新しいバックアップ技術

• 3.16.1　NAS
• 3.16.2　SAN
• column　データ爆発

3.17　ネットワーク管理技術

• 3.17.1　syslog
• 3.17.2　NTP
• 3.17.3　管理台帳の作成
• 3.17.4　SNMP

3.18　セキュアOS

• 3.18.1　Trusted OS
• 3.18.2　セキュアOS

3.19　クラウドとモバイル

• 3.19.1　クラウド技術の脆弱性と対策
• 3.19.2　モバイル機器の脆弱性と対策

章末問題

第4章　セキュリティ技術─暗号と認証

4.1　セキュリティ技術の基本

• 4.1.1　セキュリティ技術とは
• 4.1.2　セキュリティ技術の種類

4.2　暗号①暗号化の考え方

• 4.2.1　盗聴リスクと暗号化
• 4.2.2　暗号の基本と種類

4.3　暗号②共通鍵暗号方式

• 4.3.1　共通鍵暗号方式
• 4.3.2　共通鍵暗号方式のしくみ
• 4.3.3　共通鍵暗号方式の実装技術
• 4.3.4　秘密鍵の管理

4.4　暗号③公開鍵暗号方式

• 4.4.1　公開鍵暗号方式
• 4.4.2　公開鍵暗号方式のしくみ
• 4.4.3　公開鍵暗号の実装技術

4.5　認証①認証システム

• 4.5.1　アクセスコントロールと認証システム
• 4.5.2　パスワード認証
• column　権限管理の方法

4.6　認証②ワンタイムパスワード

• 4.6.1　ワンタイムパスワードとは
• 4.6.2　S/KEY
• 4.6.3　時刻同期方式

4.7　認証③パスワード運用の注意

• 4.7.1　パスワード認証の運用
• 4.7.2　パスワード作成上の要件
• 4.7.3　パスワード作成要件の矛盾
• 4.7.4　ユーザID発行上の注意
• 4.7.5　二要素認証
• column　クッキーによる認証

4.8　認証④バイオメトリクス認証

• 4.8.1　バイオメトリクス認証

4.9　認証⑤ディジタル署名

• 4.9.1　ディジタル署名とは
• 4.9.2　ディジタル署名のしくみ
• 4.9.3　メッセージダイジェスト
• 4.9.4　ディジタル署名と公開鍵暗号方式の複合
• 4.9.5　電子メールのエンコードと暗号化

4.10　認証⑥PKI（公開鍵基盤）

• 4.10.1　ディジタル署名の弱点
• 4.10.2　PKI
• 4.10.3　ディジタル証明書の失効
• 4.10.4　ディジタル証明書が証明できないもの
• 4.10.5　PKIで問われる関連技術
• 4.10.6　タイムスタンプ

4.11　認証⑦認証サーバの構成

• 4.11.1　認証サーバとは
• 4.11.2　RADIUS
• 4.11.3　Kerberos（ケルベロス）

4.12　認証⑧SSL/TLS

• 4.12.1　SSL
• 4.12.2　SSLの通信手順

4.13　認証⑨新しい認証方式

• 4.13.1　事物による認証
• 4.13.2　ICカードの認証プロセス
• 4.13.3　ICカードの問題点
• 4.13.4　多要素認証
• column　RFID

章末問題

第5章　セキュリティマネジメント

5.1　情報セキュリティポリシ

• 5.1.1　情報セキュリティポリシとは
• 5.1.2　法律との違い
• 5.1.3　情報セキュリティポリシを生かすISMS
• 5.1.4　情報セキュリティポリシの種類
• 5.1.5　他の社内文書等との整合性
• 5.1.6　情報セキュリティポリシを具体化する組織（CSIRT，SOC）

5.2　ISMSの運用

• 5.2.1　ISMS運用のポイント

5.3　ISMS審査のプロセス

• 5.3.1　ISMS適合性評価制度の審査
• 5.3.2　ISMS審査の手順

5.4　セキュリティシステムの実装

• 5.4.1　セキュリティ製品の導入
• 5.4.2　ペネトレーションテスト（脆弱性検査）の実施

5.5　セキュリティシステムの運用

• 5.5.1　セキュリティパッチの適用
• 5.5.2　ログの収集
• 5.5.3　ログの監査

5.6　サービスマネジメント

• 5.6.1　サービスマネジメントとは
• 5.6.2　サービスレベルアグリーメント（SLA）
• 5.6.3　ITIL
• 5.6.4　ファシリティマネジメント

5.7　セキュリティ教育

• 5.7.1　ユーザへの教育
• 5.7.2　セキュリティ技術者・管理者への教育
• 5.7.3　セキュリティ教育の限界

5.8　セキュリティインシデントへの対応

• 5.8.1　セキュリティインシデントの対応手順
• 5.8.2　初動処理
• 5.8.3　影響範囲の特定と要因の特定
• 5.8.4　システムの復旧と再発防止
• 5.8.5　BCP
• 5.8.6　BCM

5.9　システム監査

• 5.9.1　システム監査とは
• 5.9.2　監査基準
• 5.9.3　監査の種類
• 5.9.4　監査人の選定
• 5.9.5　監査の流れ
• 5.9.6　監査活動のステップ
• 5.9.7　被監査者側が対応すべきこと
• column　状況的犯罪状況
• column　不正のトライアングル
• column　よく出題されるその他の文書類
• column　システム監査の今後

章末問題

第6章　ソフトウェア開発技術とセキュリティ

6.1　システム開発のプロセス

• 6.1.1　システム開発の流れ
• 6.1.2　システム開発の基本的骨格

6.2　ソフトウェアのテスト

• 6.2.1　視点による分類
• 6.2.2　プロセスによる分類
• 6.2.3　結合テストの手法
• 6.2.4　テストデータの作り方
• 6.2.5　脆弱性チェックツール

6.3　システム開発技術

• 6.3.1　個々のプロセスの進め方
• 6.3.2　システム設計のアプローチ方法

6.4　プロジェクトマネジメント

• 6.4.1　プロジェクトを取り巻く環境の悪化
• 6.4.2　スケジュール管理で使われるツール
• 6.4.3　ソフトウェアの見積り方法

6.5　セキュアプログラミング①C/C++

• 6.5.1　C言語はなぜ脆弱か
• 6.5.2　C言語で安全なプログラムを書く方法
• 6.5.3　代表的なC/C++の脆弱性

6.6　セキュアプログラミング②Java

• 6.6.1　サンドボックスモデル
• 6.6.2　クラス
• 6.6.3　パーミッションの付与方法

6.7　セキュアプログラミング③ECMAScript

• 6.7.1　ECMAScript
• 6.7.2　ECMAScriptにおけるエスケープ処理

章末問題

第7章　ネットワークとデータベース

7.1　ネットワークの基礎

• 7.1.1　プロトコル
• 7.1.2　OSI基本参照モデル
• 7.1.3　OSI基本参照モデルの詳細
• 7.1.4　パケット交換方式
• 7.1.5　コネクション型通信とコネクションレス型通信
• column　IoT
• column　AI

7.2　TCP/IP

• 7.2.1　IPとTCP/IPプロトコルスイート
• 7.2.2　IPの特徴
• 7.2.3　IPヘッダ
• 7.2.4　IPバージョン6（IPv6）
• 7.2.5　TCP
• 7.2.6　UDP
• 7.2.7　トランスポート層のプロトコルとポート番号

7.3　IPアドレス

• 7.3.1　IPアドレス
• 7.3.2　ネットワークアドレスとホストアドレス
• 7.3.3　IPアドレスクラス
• 7.3.4　プライベートIPアドレス
• 7.3.5　MACアドレス

7.4　ポート番号

• 7.4.1　トランスポート層の役割
• 7.4.2　ポート番号
• 7.4.3　ポート番号の使われ方

7.5　LAN間接続装置①物理層

• 7.5.1　リピータ
• 7.5.2　ハブ
• column　LANの規格

7.6　LAN間接続装置②データリンク層

• 7.6.1　ブリッジ
• 7.6.2　スイッチングハブ
• column　プロトコルアナライザ

7.7　LAN間接続装置③ネットワーク層

• 7.7.1　ルータ
• 7.7.2　L3スイッチ
• 7.7.3　VLAN
• column　その他のLAN間接続装置

7.8　アドレス変換技術

• 7.8.1　NAT
• 7.8.2　IPマスカレード
• 7.8.3　NAT，IPマスカレードの注意点
• 7.8.4　UPnP

7.9　アプリケーション層のプロトコル

• 7.9.1　アプリケーション層の役割
• 7.9.2　DHCP
• 7.9.3　DNS
• 7.9.4　メールプロトコル
• 7.9.5　その他のメールプロトコル
• 7.9.6　セキュアなメールプロトコル
• 7.9.7　HTTP
• 7.9.8　HTTPS
• 7.9.9　FTP
• 7.9.10　Telnet
• 7.9.11　SSH

7.10　無線LAN

• 7.10.1　無線LAN
• 7.10.2　無線LANの規格
• 7.10.3　無線LANのアクセス手順
• 7.10.4　WEP暗号
• 7.10.5　セキュリティの向上

7.11　データベースモデル

• 7.11.1　データの表現方法
• 7.11.2　概念モデルの必要性

7.12　データベースマネジメントシステム

• 7.12.1　データを扱う具体的なシステム
• 7.12.2　分散データベース
• 7.12.3　トランザクション管理
• 7.12.4　排他制御
• 7.12.5　リカバリ機能

7.13　SQL

• 7.13.1　SQLとは
• 7.13.2　3つの言語機能
• 7.13.3　頻出の命令文

章末問題

第8章　国際標準・法律

8.1　国際標準とISMS

• 8.1.1　ISO/IEC 15408
• 8.1.2　OECDプライバシーガイドライン
• 8.1.3　ISMS標準化の流れ
• column　PCI DSS

8.2　国内のガイドライン

• 8.2.1　政府機関の情報セキュリティ対策のための統一基準
• 8.2.2　情報セキュリティ監査制度
• 8.2.3　情報システム安全対策基準
• 8.2.4　コンピュータウイルス対策基準
• 8.2.5　システム監査基準
• 8.2.6　コンピュータ不正アクセス対策基準
• 8.2.7　プライバシーマーク制度
• 8.2.8　個人情報保護に関するコンプライアンス・プログラムの要求事項（JIS Q 15001）
• 8.2.9　SLCP-JCF2013
• 8.2.10　クラウドサービス利用のための情報セキュリティマネジメントガイドライン

8.3　法令

• 8.3.1　コンピュータ犯罪に対する法律
• 8.3.2　個人情報保護
• 8.3.3　知的財産保護
• 8.3.4　電子文書
• 8.3.5　サイバーセキュリティ基本法
• column　派遣と請負
• column　サイバーテロリズム

章末問題

第Ⅱ部　長文問題演習－午後Ⅰ・Ⅱ問題対策－

• 午後問題の出題
• 午後問題で知っておくべきネットワーク

午後Ⅰ問題の対策

1　パケットログ解析

• 解答のポイント

2　標的型攻撃

• 解答のポイント

3　アプリケーション開発時の脆弱性対策

• 解答のポイント

4　Javaプログラミング

• 解答のポイント

5　スマホアプリのセキュリティチェック

• 解答のポイント

6　プロキシサーバによるマルウェア対策

• 解答のポイント

7　パブリッククラウドサービス

• 解答のポイント

午後Ⅱ問題の対策

1　ISMS認証の維持と対処

• 解析のポイント

2　公開鍵基盤の構築

• 解析のポイント

3　公開サーバの情報セキュリティ対策

• 解析のポイント

4　スマホを利用したリモートアクセス環境

• 解析のポイント

索引

別冊付録　高度試験共通 午前Ⅰ確認問題集