図解即戦力 情報セキュリティの技術と対策がこれ1冊でしっかりわかる教科書

著者 : 中村行宏 若尾靖和 林静香

• 技術評論社 (2021年5月8日発売)

作品紹介・あらすじ

情報セキュリティに関する基本的な知識を、キーワード形式で、イラストを使ってわかりやすく解説しています。掲載している項目は、「情報セキュリティマネジメント試験」の午前重点分野で出題される項目が中心になっています。

感想・レビュー・書評

[横さんの感想 · 2023年11月11日]

これだけ、PCやスマホが普及している現代、悪意ある行為から、自分で身を守るしかない
情報セキュリティとは何か、どんな手段をつかってくるか、その予防、事後の対応は何か

本書は、情報セキュリティの入門書と言った位置づけになります
ネットワークやメールなどの若干の知識は必要であるが、コードを見たり、書いたりすることはない
粗いけれども、索引があって、機能からの逆引きができる

構成は大きく５つに分かれています

概要　第１章
攻撃手法　第２，３章
セキュリティに関する基礎技術　第４，５章
セキュリティ対策に関する機器、プロダクト　第６章
通信などのプロトコルから見たセキュリティの実装技術　第７章

気になったのは以下です

■情報セキュリティの７要素
機密性　許可されたユーザだけが情報資産にアクセスできる
完全性　情報が正確であり完全な状態で保持、保護できている
可用性　許可されたユーザが必要なときに、いつでもアクセスできる
真正性　ユーザや情報そのものが本物である
責任追及性　ある行為が誰によって行われたを明確にする
否認防止　情報の作成者があとから否認できないようにする
信頼性　情報システムが欠陥や不具合なく利用できる

■ＯＥＣＤセキュリティガイドライン　経済協力開発機構が定めた情報システムやネットワークのセキュリティ確保に関する指針

■脅威
　①物理的脅威　天災、ハードウェア障害、破損など
　②技術的脅威　サイバー攻撃、マルウェア、プログラムの不具合、不正
　③人的脅威　入力ミス、誤動作、盗難、誤送信　

■脆弱性　リスク要因となる弱点や欠陥のこと
　①物理的脆弱性　建物、設備、ハードウエアに関するもの
　②技術的脆弱性　ソフトウエアの不具合、アクセス制御、不正アクセス、マルウェアなど、技術的な不具合や不備に関するもの
　③人的脆弱性　管理体制の不備、施錠わすれ、誤動作など、人に関するもの

■人為的不正のメカニズム　動機、機会、正当化

■サイバー攻撃の手法
　・マルウェア　トロイの木馬、ワーム、ウイルス、バックドアボット、ランサムウエア、スパイウエア
　・ボット／Ｃ＆Ｃサーバー　ＤｏＳ攻撃
　・ブートセクターウイルス　ＰＣ起動時のソフト、ブートローダに感染
　・複合感染型ウイルス　
　・マクロウイルス

■パスワードを狙った攻撃
　・ブルート・フォース攻撃　パスワードを総当たりで入力
　・辞書攻撃／パスワードリスト攻撃　パスワード化されやすい文字列を辞書化して、入力
　・レインボーテーブル　ハッシュアルゴリズムを復元

■マルウエア
　・マルウエア　悪意あるソフトウエアの総称
　・ワーム　自己複製、自動感染を繰り返すことができる、マルウエア
　・バックドア　認証を経由せずに不正アクセスをする機能
　・トロイの木馬　ゲーム、動画ソフト、便利なツールから侵入し、利用者の意図しない動作を行うマルウエア
　・ランサムウエア　システムを利用不可にさせ、解除キーと引き換えに金銭を要求する　身代金要求マルウエア
　・ＭＩＴＢ攻撃　ブラウザ内に感染し、特定サーバへの通信の間に入って攻撃するマルウエア

■スパイウエア
　・スパイウエア　情報収集の機能をもつマルウエア　・アドウエア　広告表示でえる収入を目的としたマルウエア

■標的型攻撃
　・水飲み場攻撃　・なりすましメール　・フィッシング詐欺　・ＤＮＳキャッシュポイズニング

■Ｗｅｂブラウザ標的攻撃
　・ドライブバイダウンロード　・クリックジャッキング　・ＸＳＳ（クロスサイト・サイト・スクリプティング）　・ＨＴＴＰヘッダインジェクション

■サーバ標的攻撃
　・ディレクトリ・トラバーサル　・ディレクトリ・リスティング　・ＳＱＬインジェクション
　・ＯＳコマンドインジェクション　・メールヘッダ・インジェクション　・第三者中継（メール）
　・ＣＳＲＦ（クロスサイト・リクエスト・フォージェリ）　・ポートスキャン　・ＩＰスプーフィング

■乗っ取り、不正アクセス、なりすまし
　・セクションハイジャック　・リプレイ攻撃　・ルートキット攻撃　・中間者攻撃

■高負荷攻撃
　・Ｆ５アタック　・電子メール爆弾　・ＤｏＳ攻撃
　・Ｐｉｎｇ　Ｆｌｏｏｄ　・ＵＤＰ　Ｆｌｏｏｄ・ＳＹＮ／ＦＩＮ　Ｆｌｏｏｄ
　・Ｃｏｎｎｅｃｔｉｏｎ　Ｆｌｏｏｄ　・ＨＴＴＰ　Ｇｅｔ　Ｆｌｏｏｄ／Ｆ５アタック　・ＤＤｏ

■プログラムの脆弱性をついた攻撃
　・ゼロディ　・バッファ・オーバーフロー　・セキュリティ・ホール　・パッチ

■暗号　平文⇒暗号化⇒復号⇒平文
　共通鍵暗号方式　ＤＥＳ，ＡＥＳ
　公開鍵暗号方式　ＲＳＡ　公開鍵と秘密鍵　ＰＫＩ・ＣＡ
　ハッシュ関数　ＭＤ５，ＳＨＡ－１、ＳＨＡ－２

■認証
　ＰＩＮコード（パスワード）、ワンタイムパスワード、トークン、多要素認証、Ｓ／ＫＥＹ、リスクベース認証
　生体認証（指紋、静脈、虹彩、網膜、声紋、顔）本人拒否率、他人受入率

■デジタル証明書
　メッセージダイジェスト（ＭＤ），メッセージ認証コード（ＭＡＣ），タイムスタンプ
　ルート証明書、ＳＳＬ／ＴＬＳ、クライアント認証

■情報セキュリティ管理
　情報セキュリティポリシー、プライバシーポリシー
　リスクアセスメント（ＪＩＳＱ３１０００）
　情報セキュリティ・インシデント
　情報資産台帳
　リスク分析・評価　リスク基準、リスクマトリクス、定性的分析、定量的分析
　リスク制御　ＢＣＰ，リスクヘッジ、リスク対応計画
　情報セキュリティマネジメント　ＩＳＭＳ，ＪＩＳＱ２７００１，ＰＤＣＡ
　セキュリティ評価　ＰＣＩ　ＤＳＳ，ＣＶＳＳ，脆弱性診断、ペレトレーションテスト
　ＣＳＩＲＴ，ＪＰＣＥＲＴ／ＣＣ
　ＮＩＳＣ／ＳＯＣ／ＪＶＮ

■情報セキュリティ対策
　啓発活動、パスワード管理、アクセス制御、棚卸、ログ管理
　監視、ＤＬＰ
　入口対策（Ｆ／Ｗ，ＩＰＳ，ＷＡＦ）悪意ある攻撃をブロック、出口対策（侵入された前提でのデータの漏えいを防ぐ）、多層防御
　マルウエア対策、不正プログラム対策　パターンマッチング、ヒューリスティック、ビヘイビア
　ファイヤウオール　パケットフィルタリング（スタティクス、ダイナミック、ステートフルパケットインスペクション）
　ＷＡＦ，プロキシサーバー、ＩＤＳ（不正検知）、ＩＰＳ（侵入防止）、ＤＭＺ、検疫ネットワーク、ＵＲＬフィルタリング、コンテンツフィルタリング（単語）
　無線系（ＷＰＡ２／３，ＳＳＩＤ）
　著作権保護　電子透かし、デジタルフィレンジックス
　メール認証（ＳＰＦ，ＤＫＩＭ，ＤＭＡＲＣ）
　ネットワーク管理　アクセス制御、モバイル管理（ＭＤＭ），ＳＩＥＭ（ログ保存、管理）ＵＴＭ（総合機能）
　物理対策　ＵＰＳ，ミラーリング、遠隔バックアップ、監視カメラ、施錠・入退室管理、クリアデスク、クリアスクリーン

■セキュリティの実装技術

　ＯＳＩ基本参照モデル
　ＩＰｓｅｃ（３層）
　ＳＳＨ（４層）
　ＳＳＬ（４層）
　ＴＳＬ（４層）
　ＨＴＴＰＳ（４層）
　
　ＭＡＣアドレス・フィルタリング（１層）
　認証ＶＬＡＮ
　ＶＰＮ

　ＤＢのセキュリティ　ストレージの暗号化、ＤＢの暗号化、アプリケーションの暗号化　ＤＢアクセス制御、ＤＢバックアップ

■アプリケーションのセキュリティ対策
　ＳＱＬインジェクション対策　プレスフォルダー
　Ｗｅｂシステム　ＨＴＴＰレスポンスのエスケープ処理（サニタイズ），Ｗｅｂフォームの入力値チェック、専用のＡＰＩ関数、脆弱性に関連する機能を実装しない、セキュリティアップデート、ＵＲＬ，Ｗｅｂフォーム入力値を使わない
　バッファ・オーバフロー対策

目次
1章 セキュリティの概念と対策の方針
01 情報セキュリティとは
02 情報セキュリティを構成する7つの要素
03 OECDセキュリティガイドライン
04 リスク
05 情報資産とは
06 脅威の種類
07 脆弱性の種類
08 人為的不正のメカニズム

2章 サイバー攻撃の手法①
09 サイバー攻撃の攻撃者
10 サイバー攻撃の手法
11 パスワードを狙った攻撃
12 マルウェア
13 スパイウェア

3章 サイバー攻撃の手法②
14 標的型攻撃
15 Webブラウザを狙った攻撃
16 サーバーを狙った攻撃①
17 サーバーを狙った攻撃②
18 乗っ取り／不正アクセス／なりすまし
19 負荷をかける攻撃
20 プログラムの脆弱性を突いた攻撃

4章 セキュリティ確保の基礎技術
21 暗号化技術の基礎
22 暗号化技術の種類
23 暗号鍵管理システム
24 ディスク／ファイルの暗号化
25 危殆化
26 利用者に対する認証技術
27 生体認証技術
28 PKI
29 デジタル証明書のしくみ

5章 情報セキュリティの管理
30 情報資産と無形資産
31 リスクマネジメント
32 情報セキュリティインシデント
33 情報資産の調査と分類
34 リスクの分析と評価
35 情報セキュリティリスクアセスメント
36 リスクコントロール
37 情報セキュリティマネジメントシステム
38 セキュリティの評価
39 セキュリティ規定と関連機関

6章 情報セキュリティ対策の基礎知識
40 内部不正防止ガイドライン
41 入口対策と出口対策
42 マルウェア／不正プログラム対策
43 ファイアウォール
44 WAF
45 プロキシサーバー
46 不正侵入検知システム
47 侵入防止システム
48 DMZ
49 ネットワーク認証／フィルタリング
50 無線通信セキュリティ
51 著作権保護
52 メール認証
53 ネットワーク管理
54 対策機器
55 物理対策

7章 セキュリティの実装に関する知識
56 セキュア・プロトコル
57 ネットワークセキュリティ
58 データベースセキュリティ
59 アプリケーションセキュリティ

付録
索引

ISBN：9784297121068
出版社：技術評論社
判型：A5
ページ数：256ページ
定価：2280円（本体）
発行年月日：2021年05月
発売日：2021年05月21日初版第1刷
発売日：2023年05月23日初版第3刷

[桃山学院大学附属図書館さんの感想 · 2022年4月18日]

桃山学院大学附属図書館蔵書検索OPACへ↓
https://indus.andrew.ac.jp/opac/book/651280

[miyaさんの感想 · 2021年8月3日]

METI ATT&CKなんて3年前ぐらいから出ているのに、国家試験にはそれが反映されていない。国家試験遅れてないか？

[fraserlibさんの感想 · 2021年7月2日]

請求記号　007.6/N 37

[T.Maedaさんの感想 · 2021年6月27日]

情報セキュリティは広範囲に渡る技術知識が必要。内容は深い。
もう少し説明を充実した内容が欲しい。

[arnoさんの感想 · 2021年6月1日]

幅広く情報セキュリティを学べるよう構成された本。
パソコンとかスマホのセキュリティ教育を社員にしている企業なら参考になります。
eラーニングに載ってる説明ではわかり難いことも、例を交えて比較的知識の浅い人にも伝わるよう書かれています。
役員とか老人が読むには難しい。もっと優しいものを完全理解してからならOK。
20〜30代向けかな。