- Amazon.co.jp ・本 (216ページ)
- / ISBN・EAN: 9784534054845
感想・レビュー・書評
-
2017年8月28日読了。主に企業のセキュリティ担当者(まあ、全社員か)向けに、情報セキュリティの基本を説く本。基本的な内容は一通り網羅されているが、「完璧すぎ・細かすぎて実行不可能なセキュリティ対策は実行されないことによりかえってセキュリティの危機を招く」「チェックリストは形がい化を招きやすく本当に必要な対策が実施されないリスクがある」「訓練のシナリオが毎回同じだと単なるオペレーションの確認になってしまう、毎回シナリオは現実味のあるもので変更していくことが重要」というあたりはその通りと感じる。「何か入れて終わり」ではなく、「今ある資源をいかに頭を使って活用しているか」が重要なんだよなあ。
詳細をみるコメント0件をすべて表示 -
★2017年4月2日読了『情報セキュリティの基本』島田裕次著 評価B+
情報セキュリティについて、門外漢の素人に分かりやすくまとめてくれた本。
先週まで内部監査で詰められて苦労したところをもう一度頭を整理するために読んでみた。
以前とは比べものにならないほど、会社内での管理水準の要求は高くなっている。
よって一般者、情報通信部門の人間の啓蒙、管理意識の向上が必須。
以下備忘
情報資産:情報セキュリティで守るべき対象。
情報管理台帳:情報資産の明確化、見える化のために作成する。
その項目:番号、情報資産名称、件数、保管場所、管理責任者、重要度、作成日、保存期間、他
リスク評価: 影響度 X 発生可能性
機密性 可用性 インテグリティ(正確性)
影響度/発生可能性
情報分類: 公開情報、社外秘の情報、機密情報=社内特定部門のみ
WAF:WEB APPLICATION FIREWALL ウェブサイトと利用者間の通信の中身を機械的に検査
ウィルス攻撃からウェブアプリを防御、検出。複数ウェブアプリへの攻撃をまとめて防御
その弱点:あらかじめ許可された通信だけを許可する役割
よって、あらかじめ許可された通信を利用した攻撃には対応できない。EX.バッファーオーバーフロー
バイオメトリクス認証:指紋、手形、静脈、顔、虹彩、声紋、サイン認識
時間がかかるのが弱点 認識用機器と運用に関するセキュリティ強化
経済産業省:事業継続計画策定ガイドライン
マイナンバーの利用範囲、管理ポイント
個人情報保護法 2015年9月改正
1.定義明確化 身体的特徴、要配慮個人情報 信教・門地情報などの機微情報
2.個人を特定できなくすれば第三者への提供可 匿名加工情報
その他 小規模事業者も対象化
CSIRT セキュリティインシデントへの対応組織
サイバー攻撃へ適切な対応を迅速に行うための設置組織
ERM:全社的リスクマネジメント Enterprise Risk Management
SLA:Service Level Agreement サービス提供事業者とその利用者の間で結ばれるサービスのレベル
ITガバナンス:システム監査の対象 ①システム化目的の達成状況 ②ユーザの操作性 ③費用対効果
④戦略性 ⑤有効性 ⑥効率性 ⑦コンプライアンス
情報セキュリティ: 機密性、可用性、インテグリティ
対策: (時間軸)予防的、発見対策、回復対策 (方法)物理的、技術的、管理的対策
コントロール: 回避、提言、移転、受容
J-SOXでは、財務データの正確性を阻害するリスク低減が重要 -
情報セキュリティ対策について学ぶために手に取りました。重要なことがまとめられていると感じましたが、文章が多く、図が少ないため、仕組みを知りたい方にとっては難しく感じるかもしれません。
情報セキュリティポリシーの制定、入口、出口、内部のサイバーセキュリティ対策などが書かれています、
-
情報セキュリティ担当者が初心者としての参考書として読む分にはいいと思います。
-
しっかり実務寄り、また働いた時に読もう
-
図書館で借りた。コントロールのとこ参考になった
-
セキュリティ屋が辞めてしまったので私もセキュリティの知識付けておこうと思い読む。
内容も難しくないし、皆これくらいのことを理解していてくれれば、良いのだけれどもね。セキュリティエンジニアが20万人近く不足しているとのニュースも有るし、私もセキュリティに力を入れていこうかと思う。