書籍概要

情報処理技術者試験

平成29年度【春期】【秋期】情報処理安全確保支援士 合格教本

著者
発売日
更新日

概要

平成29年4月からスタートする,新国家資格「情報処理安全確保支援士」試験対策の参考書。日々,重要性が高まるセキュリティ分野に関する知識・概念を,NHKでおなじみの岡嶋裕史氏が詳しくわかりやすく解説!新試験に必要な知識は,本書1冊で完全対応!難関の午後問題対策として,必須となるネットワーク知識の要約や詳細解説付き演習問題を多数収録しているので,自分で解答を導く応用力を着実に身につけられます。付属CD-ROM収録の学習ソフトには,午前I・II問題を過去16回分収録。自己採点機能も付いて,苦手範囲の確認や直前対策に役立ちます。

こんな方におすすめ

  • 情報処理安全確保支援士試験を受験される方

目次

  • 受験のてびき
  • 付属CD-ROMの使い方と注意事項

第Ⅰ部 知識のまとめ-午前Ⅱ,午後Ⅰ・Ⅱ問題対策-

  • 午前問題の出題
  • 第1章 セキュリティの基礎

    1.1 情報セキュリティとは

    • 1.1.1 情報の形態
    • 1.1.2 情報セキュリティのとらえ方
    • 1.1.3 情報セキュリティの目的
    • 1.1.4 クラッカーだけがセキュリティの敵ではない
    • 1.1.5 情報セキュリティはコスト項目である

    1.2 リスクの発生

    • 1.2.1 情報資産と脅威
    • 1.2.2 脆弱性の存在
    • 1.2.3 情報資産へのリスク

    1.3 脅威の種類

    • 1.3.1 物理的脅威
    • 1.3.2 技術的脅威
    • 1.3.3 人的脅威

    1.4 攻撃者

    • 1.4.1 攻撃者の目的
    • 1.4.2 攻撃者の種類・動機

    1.5 脆弱性の種類

    • 1.5.1 物理的脆弱性
    • 1.5.2 技術的脆弱性
    • 1.5.3 人的脆弱性
    • column CVSS

    1.6 リスクマネジメント

    • 1.6.1 リスクとは
    • 1.6.2 リスクマネジメントの体系

    1.7 リスクアセスメント①取組み方法の策定

    • 1.7.1 リスクアセスメントとは
    • 1.7.2 取組み方法の種類
    • 1.7.3 ベースラインアプローチの種類

    1.8 リスクアセスメント②リスク評価の実際

    • 1.8.1 リスクの識別
    • 1.8.2 リスク評価
    • 1.8.3 リスク評価の方法
    • 1.8.4 リスクの受容水準

    1.9 リスク対応

    • 1.9.1 リスク対応の手段
    • 1.9.2 リスク対応の選択
    • 1.9.3 リスク対応のポイント

    章末問題

    第2章 脅威とサイバー攻撃の手法

    2.1 さまざまなサイバー攻撃の手法

    • 2.1.1 サイバー攻撃の手法を理解しておく意義
    • 2.1.2 主なサイバー攻撃の手法
    • 2.1.3 得点に結びつく知識を

    2.2 不正アクセス

    • 2.2.1 不正アクセス
    • 2.2.2 不正アクセスの方法

    2.3 バッファオーバフロー

    • 2.3.1 バッファオーバフローとは

    2.4 パスワード奪取

    • 2.4.1 ブルートフォースアタック
    • 2.4.2 辞書攻撃
    • 2.4.3 ログの消去
    • 2.4.4 バックドアの作成

    2.5 セッションハイジャック

    • 2.5.1 セッションハイジャックとは
    • 2.5.2 セッションフィクセーション
    • column ログ

    2.6 盗聴

    • 2.6.1 盗聴とは
    • 2.6.2 スニファ
    • 2.6.3 電波傍受
    • 2.6.4 キーボードロギング

    2.7 なりすまし

    • 2.7.1 なりすましとは
    • 2.7.2 ユーザIDやパスワードの偽装
    • 2.7.3 IPスプーフィング
    • 2.7.4 踏み台

    2.8 DoS攻撃

    • 2.8.1 サービス妨害とは
    • 2.8.2 TCP SYN Flood
    • 2.8.3 Connection Flood
    • 2.8.4 UDP Flood
    • 2.8.5 Ping Flood(ICMP Flood)
    • 2.8.6 Ping of Death
    • 2.8.7 DDoS攻撃
    • 2.8.8 分散反射型DoS攻撃
    • 2.8.9 サービス妨害の法的根拠
    • column ボット

    2.9 Webシステムへの攻撃

    • 2.9.1 Webビーコン
    • 2.9.2 フィッシング
    • 2.9.3 ファーミング

    2.10 スクリプト攻撃

    • 2.10.1 クロスサイトスクリプティング
    • 2.10.2 クロスサイトリクエストフォージェリ
    • 2.10.3 SQLインジェクション
    • 2.10.4 OSコマンドインジェクション
    • 2.10.5 HTTPヘッダインジェクション
    • 2.10.6 キャッシュサーバへの介入

    2.11 DNSキャッシュポイズニング

    • 2.11.1 DNSキャッシュポイズニングとは
    • 2.11.2 DNS Changer

    2.12 標的型攻撃

    • 2.12.1 標的型攻撃とは

    2.13 その他の攻撃方法

    • 2.13.1 ソーシャルエンジニアリング
    • 2.13.2 スパムメール
    • 2.13.3 メール爆撃

    2.14 コンピュータウイルス

    • 2.14.1 コンピュータウイルスの分類
    • 2.14.2 コンピュータウイルスの3機能
    • 2.14.3 コンピュータウイルスの感染経路
    • 2.14.4 マクロウイルス

    2.15 コンピュータウイルスへの対策

    • 2.15.1 ウイルスチェックソフト
    • 2.15.2 ウイルスチェックソフトの限界と対策
    • 2.15.3 ネットワークからの遮断
    • 2.15.4 感染後の対応
    • 2.15.5 ウイルス対策の基準

    章末問題

    第3章 セキュリティ技術─対策と実装

    3.1 ファイアウォール

    • 3.1.1 ファイアウォールとは
    • 3.1.2 レイヤ3フィルタリング(IPアドレス使用)
    • 3.1.3 レイヤ4フィルタリング(+ポート番号,プロトコル種別)
    • column ポート攻撃
    • 3.1.4 ルータとの違い
    • 3.1.5 レイヤ7フィルタリング
    • 3.1.6 ルールベース作成の注意

    3.2 シングルサインオン

    • 3.2.1 プロキシサーバ
    • 3.2.2 リバースプロキシとシングルサインオン
    • 3.2.3 その他のシングルサインオン

    3.3 WAF

    • 3.3.1 WAFとは

    3.4 DMZ

    • 3.4.1 公開サーバをどこに設置するか
    • 3.4.2 第3のゾーンを作る-DMZ

    3.5 その他のファイアウォール

    • 3.5.1 パーソナルファイアウォール
    • 3.5.2 コンテンツフィルタリング
    • column スパイウェア

    3.6 リモートアクセス

    • 3.6.1 リモートアクセス技術
    • 3.6.2 PPP
    • 3.6.3 PPPの認証技術

    3.7 VPN

    • 3.7.1 VPNの基本構成
    • 3.7.2 VPNの種類
    • 3.7.3 VPNの2つのモード
    • 3.7.4 VPNを実現するプロトコル
    • 3.7.5 ネットワーク仮想化

    3.8 IPsec

    • 3.8.1 IPsecとは
    • 3.8.2 SA
    • 3.8.3 AHとESP

    3.9 IDS

    • 3.9.1 IDSとは
    • 3.9.2 IDSのしくみ

    3.10 IPS

    • 3.10.1 IPSとは
    • 3.10.2 IPSの配置
    • 3.10.3 IPSとファイアウォールの関係

    3.11 不正データの排除

    • 3.11.1 サニタイジング
    • 3.11.2 エスケープ処理

    3.12 プレースホルダ

    • 3.12.1 プレースホルダとは

    3.13 信頼性の向上①RASIS

    • 3.13.1 RASIS

    3.14 信頼性の向上②耐障害設計

    • 3.14.1 耐障害設計の考え方
    • 3.14.2 フォールトアボイダンス
    • 3.14.3 フォールトトレランス
    • 3.14.4 耐障害設計の手法
    • 3.14.5 性能管理

    3.15 信頼性の向上③バックアップ

    • 3.15.1 バックアップとは
    • 3.15.2 バックアップ計画
    • 3.15.3 バックアップ方法
    • 3.15.4 バックアップ運用

    3.16 信頼性の向上④新しいバックアップ技術

    • 3.16.1 NAS
    • 3.16.2 SAN
    • column データ爆発

    3.17 ネットワーク管理技術

    • 3.17.1 syslog
    • 3.17.2 NTP
    • 3.17.3 管理台帳の作成
    • 3.17.4 SNMP

    3.18 セキュアOS

    • 3.18.1 Trusted OS
    • 3.18.2 セキュアOS

    3.19 クラウドとモバイル

    • 3.19.1 クラウド技術の脆弱性と対策
    • 3.19.2 モバイル機器の脆弱性と対策

    章末問題

    第4章 セキュリティ技術─暗号と認証

    4.1 セキュリティ技術の基本

    • 4.1.1 セキュリティ技術とは
    • 4.1.2 セキュリティ技術の種類

    4.2 暗号①暗号化の考え方

    • 4.2.1 盗聴リスクと暗号化
    • 4.2.2 暗号の基本と種類

    4.3 暗号②共通鍵暗号方式

    • 4.3.1 共通鍵暗号方式
    • 4.3.2 共通鍵暗号方式のしくみ
    • 4.3.3 共通鍵暗号方式の実装技術
    • 4.3.4 秘密鍵の管理

    4.4 暗号③公開鍵暗号方式

    • 4.4.1 公開鍵暗号方式
    • 4.4.2 公開鍵暗号方式のしくみ
    • 4.4.3 公開鍵暗号の実装技術

    4.5 認証①認証システム

    • 4.5.1 アクセスコントロールと認証システム
    • 4.5.2 パスワード認証
    • column 権限管理の方法

    4.6 認証②ワンタイムパスワード

    • 4.6.1 ワンタイムパスワードとは
    • 4.6.2 S/KEY
    • 4.6.3 時刻同期方式

    4.7 認証③パスワード運用の注意

    • 4.7.1 パスワード認証の運用
    • 4.7.2 パスワード作成上の要件
    • 4.7.3 パスワード作成要件の矛盾
    • 4.7.4 ユーザID発行上の注意
    • 4.7.5 二要素認証
    • column クッキーによる認証

    4.8 認証④バイオメトリクス認証

    • 4.8.1 バイオメトリクス認証

    4.9 認証⑤ディジタル署名

    • 4.9.1 ディジタル署名とは
    • 4.9.2 ディジタル署名のしくみ
    • 4.9.3 メッセージダイジェスト
    • 4.9.4 ディジタル署名と公開鍵暗号方式の複合
    • 4.9.5 電子メールのエンコードと暗号化

    4.10 認証⑥PKI(公開鍵基盤)

    • 4.10.1 ディジタル署名の弱点
    • 4.10.2 PKI
    • 4.10.3 ディジタル証明書の失効
    • 4.10.4 ディジタル証明書が証明できないもの
    • 4.10.5 PKIで問われる関連技術
    • 4.10.6 タイムスタンプ

    4.11 認証⑦認証サーバの構成

    • 4.11.1 認証サーバとは
    • 4.11.2 RADIUS
    • 4.11.3 Kerberos(ケルベロス)

    4.12 認証⑧SSL/TLS

    • 4.12.1 SSL
    • 4.12.2 SSLの通信手順

    4.13 認証⑨新しい認証方式

    • 4.13.1 事物による認証
    • 4.13.2 ICカードの認証プロセス
    • 4.13.3 ICカードの問題点
    • 4.13.4 多要素認証
    • column RFID

    章末問題

    第5章 セキュリティマネジメント

    5.1 情報セキュリティポリシ

    • 5.1.1 情報セキュリティポリシとは
    • 5.1.2 法律との違い
    • 5.1.3 情報セキュリティポリシを生かすISMS
    • 5.1.4 情報セキュリティポリシの種類
    • 5.1.5 他の社内文書等との整合性
    • 5.1.6 情報セキュリティポリシを具体化する組織(CSIRT,SOC)

    5.2 ISMSの運用

    • 5.2.1 ISMS運用のポイント

    5.3 ISMS審査のプロセス

    • 5.3.1 ISMS適合性評価制度の審査
    • 5.3.2 ISMS審査の手順

    5.4 セキュリティシステムの実装

    • 5.4.1 セキュリティ製品の導入
    • 5.4.2 ペネトレーションテスト(脆弱性検査)の実施

    5.5 セキュリティシステムの運用

    • 5.5.1 セキュリティパッチの適用
    • 5.5.2 ログの収集
    • 5.5.3 ログの監査

    5.6 サービスマネジメント

    • 5.6.1 サービスマネジメントとは
    • 5.6.2 サービスレベルアグリーメント(SLA)
    • 5.6.3 ITIL
    • 5.6.4 ファシリティマネジメント

    5.7 セキュリティ教育

    • 5.7.1 ユーザへの教育
    • 5.7.2 セキュリティ技術者・管理者への教育
    • 5.7.3 セキュリティ教育の限界

    5.8 セキュリティインシデントへの対応

    • 5.8.1 セキュリティインシデントの対応手順
    • 5.8.2 初動処理
    • 5.8.3 影響範囲の特定と要因の特定
    • 5.8.4 システムの復旧と再発防止
    • 5.8.5 BCP
    • 5.8.6 BCM

    5.9 システム監査

    • 5.9.1 システム監査とは
    • 5.9.2 監査基準
    • 5.9.3 監査の種類
    • 5.9.4 監査人の選定
    • 5.9.5 監査の流れ
    • 5.9.6 監査活動のステップ
    • 5.9.7 被監査者側が対応すべきこと
    • column 状況的犯罪状況
    • column 不正のトライアングル
    • column よく出題されるその他の文書類
    • column システム監査の今後

    章末問題

    第6章 ソフトウェア開発技術とセキュリティ

    6.1 システム開発のプロセス

    • 6.1.1 システム開発の流れ
    • 6.1.2 システム開発の基本的骨格

    6.2 ソフトウェアのテスト

    • 6.2.1 視点による分類
    • 6.2.2 プロセスによる分類
    • 6.2.3 結合テストの手法
    • 6.2.4 テストデータの作り方
    • 6.2.5 脆弱性チェックツール

    6.3 システム開発技術

    • 6.3.1 個々のプロセスの進め方
    • 6.3.2 システム設計のアプローチ方法

    6.4 プロジェクトマネジメント

    • 6.4.1 プロジェクトを取り巻く環境の悪化
    • 6.4.2 スケジュール管理で使われるツール
    • 6.4.3 ソフトウェアの見積り方法

    6.5 セキュアプログラミング①C/C++

    • 6.5.1 C言語はなぜ脆弱か
    • 6.5.2 C言語で安全なプログラムを書く方法
    • 6.5.3 代表的なC/C++の脆弱性

    6.6 セキュアプログラミング②Java

    • 6.6.1 サンドボックスモデル
    • 6.6.2 クラス
    • 6.6.3 パーミッションの付与方法

    6.7 セキュアプログラミング③ECMAScript

    • 6.7.1 ECMAScript
    • 6.7.2 ECMAScriptにおけるエスケープ処理

    章末問題

    第7章 ネットワークとデータベース

    7.1 ネットワークの基礎

    • 7.1.1 プロトコル
    • 7.1.2 OSI基本参照モデル
    • 7.1.3 OSI基本参照モデルの詳細
    • 7.1.4 パケット交換方式
    • 7.1.5 コネクション型通信とコネクションレス型通信
    • column IoT
    • column AI

    7.2 TCP/IP

    • 7.2.1 IPとTCP/IPプロトコルスイート
    • 7.2.2 IPの特徴
    • 7.2.3 IPヘッダ
    • 7.2.4 IPバージョン6(IPv6)
    • 7.2.5 TCP
    • 7.2.6 UDP
    • 7.2.7 トランスポート層のプロトコルとポート番号

    7.3 IPアドレス

    • 7.3.1 IPアドレス
    • 7.3.2 ネットワークアドレスとホストアドレス
    • 7.3.3 IPアドレスクラス
    • 7.3.4 プライベートIPアドレス
    • 7.3.5 MACアドレス

    7.4 ポート番号

    • 7.4.1 トランスポート層の役割
    • 7.4.2 ポート番号
    • 7.4.3 ポート番号の使われ方

    7.5 LAN間接続装置①物理層

    • 7.5.1 リピータ
    • 7.5.2 ハブ
    • column LANの規格

    7.6 LAN間接続装置②データリンク層

    • 7.6.1 ブリッジ
    • 7.6.2 スイッチングハブ
    • column プロトコルアナライザ

    7.7 LAN間接続装置③ネットワーク層

    • 7.7.1 ルータ
    • 7.7.2 L3スイッチ
    • 7.7.3 VLAN
    • column その他のLAN間接続装置

    7.8 アドレス変換技術

    • 7.8.1 NAT
    • 7.8.2 IPマスカレード
    • 7.8.3 NAT,IPマスカレードの注意点
    • 7.8.4 UPnP

    7.9 アプリケーション層のプロトコル

    • 7.9.1 アプリケーション層の役割
    • 7.9.2 DHCP
    • 7.9.3 DNS
    • 7.9.4 メールプロトコル
    • 7.9.5 その他のメールプロトコル
    • 7.9.6 セキュアなメールプロトコル
    • 7.9.7 HTTP
    • 7.9.8 HTTPS
    • 7.9.9 FTP
    • 7.9.10 Telnet
    • 7.9.11 SSH

    7.10 無線LAN

    • 7.10.1 無線LAN
    • 7.10.2 無線LANの規格
    • 7.10.3 無線LANのアクセス手順
    • 7.10.4 WEP暗号
    • 7.10.5 セキュリティの向上

    7.11 データベースモデル

    • 7.11.1 データの表現方法
    • 7.11.2 概念モデルの必要性

    7.12 データベースマネジメントシステム

    • 7.12.1 データを扱う具体的なシステム
    • 7.12.2 分散データベース
    • 7.12.3 トランザクション管理
    • 7.12.4 排他制御
    • 7.12.5 リカバリ機能

    7.13 SQL

    • 7.13.1 SQLとは
    • 7.13.2 3つの言語機能
    • 7.13.3 頻出の命令文

    章末問題

    第8章 国際標準・法律

    8.1 国際標準とISMS

    • 8.1.1 ISO/IEC 15408
    • 8.1.2 OECDプライバシーガイドライン
    • 8.1.3 ISMS標準化の流れ
    • column PCI DSS

    8.2 国内のガイドライン

    • 8.2.1 政府機関の情報セキュリティ対策のための統一基準
    • 8.2.2 情報セキュリティ監査制度
    • 8.2.3 情報システム安全対策基準
    • 8.2.4 コンピュータウイルス対策基準
    • 8.2.5 システム監査基準
    • 8.2.6 コンピュータ不正アクセス対策基準
    • 8.2.7 プライバシーマーク制度
    • 8.2.8 個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001)
    • 8.2.9 SLCP-JCF2013
    • 8.2.10 クラウドサービス利用のための情報セキュリティマネジメントガイドライン

    8.3 法令

    • 8.3.1 コンピュータ犯罪に対する法律
    • 8.3.2 個人情報保護
    • 8.3.3 知的財産保護
    • 8.3.4 電子文書
    • 8.3.5 サイバーセキュリティ基本法
    • column 派遣と請負
    • column サイバーテロリズム

    章末問題

    第Ⅱ部 長文問題演習-午後Ⅰ・Ⅱ問題対策-

    • 午後問題の出題
    • 午後問題で知っておくべきネットワーク

    午後Ⅰ問題の対策

    1 パケットログ解析

    • 解答のポイント

    2 標的型攻撃

    • 解答のポイント

    3 アプリケーション開発時の脆弱性対策

    • 解答のポイント

    4 Javaプログラミング

    • 解答のポイント

    5 スマホアプリのセキュリティチェック

    • 解答のポイント

    6 プロキシサーバによるマルウェア対策

    • 解答のポイント

    7 パブリッククラウドサービス

    • 解答のポイント

    午後Ⅱ問題の対策

    1 ISMS認証の維持と対処

    • 解析のポイント

    2 公開鍵基盤の構築

    • 解析のポイント

    3 公開サーバの情報セキュリティ対策

    • 解析のポイント

    4 スマホを利用したリモートアクセス環境

    • 解析のポイント

    索引

    別冊付録 高度試験共通 午前Ⅰ確認問題集

    サポート

    ダウンロード

    電子版用ダウンロード

    電子版用に,付録CD-ROM収録コンテンツを以下から入手できます。ダウンロードには電子版本紙に掲載されているIDとパスワードが必要です。

    正誤表

    本書の以下の部分に誤りがありました。ここに訂正するとともに,ご迷惑をおかけしたことを深くお詫び申し上げます。

    (2017年3月15日更新)

    P.220 問題4 イ,ウ 解説内容

    イ 故障などの事態が生じた場合に、当該箇所を切り離すなどして、性能を落としつつも最低限の機能を実行する手法です。
    ウ 事故などが起きたときに安全な停止、壊れ方をする手法です。転倒すると火が消える暖房器具や、壊れると赤信号がつきっぱなしになる信号機などが該当します。
    イ 事故などが起きたときに安全な停止、壊れ方をする手法です。転倒すると火が消える暖房器具や、壊れると赤信号がつきっぱなしになる信号機などが該当します。
    ウ 故障などの事態が生じた場合に、当該箇所を切り離すなどして、性能を落としつつも最低限の機能を実行する手法です。

    商品一覧