教科書シリーズとして
2023/02/03 08:27
0人中、0人の方がこのレビューが役に立ったと投票しています。
投稿者:もぐら - この投稿者のレビュー一覧を見る
セキュマネとかSecurity+とかの受験前後辺りの人向けに良いかなと。
投稿元:
レビューを見る
幅広く情報セキュリティを学べるよう構成された本。
パソコンとかスマホのセキュリティ教育を社員にしている企業なら参考になります。
eラーニングに載ってる説明ではわかり難いことも、例を交えて比較的知識の浅い人にも伝わるよう書かれています。
役員とか老人が読むには難しい。もっと優しいものを完全理解してからならOK。
20〜30代向けかな。
投稿元:
レビューを見る
これだけ、PCやスマホが普及している現代、悪意ある行為から、自分で身を守るしかない
情報セキュリティとは何か、どんな手段をつかってくるか、その予防、事後の対応は何か
本書は、情報セキュリティの入門書と言った位置づけになります
ネットワークやメールなどの若干の知識は必要であるが、コードを見たり、書いたりすることはない
粗いけれども、索引があって、機能からの逆引きができる
構成は大きく5つに分かれています
概要 第1章
攻撃手法 第2,3章
セキュリティに関する基礎技術 第4,5章
セキュリティ対策に関する機器、プロダクト 第6章
通信などのプロトコルから見たセキュリティの実装技術 第7章
気になったのは以下です
■情報セキュリティの7要素
機密性 許可されたユーザだけが情報資産にアクセスできる
完全性 情報が正確であり完全な状態で保持、保護できている
可用性 許可されたユーザが必要なときに、いつでもアクセスできる
真正性 ユーザや情報そのものが本物である
責任追及性 ある行為が誰によって行われたを明確にする
否認防止 情報の作成者があとから否認できないようにする
信頼性 情報システムが欠陥や不具合なく利用できる
■OECDセキュリティガイドライン 経済協力開発機構が定めた情報システムやネットワークのセキュリティ確保に関する指針
■脅威
①物理的脅威 天災、ハードウェア障害、破損など
②技術的脅威 サイバー攻撃、マルウェア、プログラムの不具合、不正
③人的脅威 入力ミス、誤動作、盗難、誤送信
■脆弱性 リスク要因となる弱点や欠陥のこと
①物理的脆弱性 建物、設備、ハードウエアに関するもの
②技術的脆弱性 ソフトウエアの不具合、アクセス制御、不正アクセス、マルウェアなど、技術的な不具合や不備に関するもの
③人的脆弱性 管理体制の不備、施錠わすれ、誤動作など、人に関するもの
■人為的不正のメカニズム 動機、機会、正当化
■サイバー攻撃の手法
・マルウェア トロイの木馬、ワーム、ウイルス、バックドアボット、ランサムウエア、スパイウエア
・ボット/C&Cサーバー DoS攻撃
・ブートセクターウイルス PC起動時のソフト、ブートローダに感染
・複合感染型ウイルス
・マクロウイルス
■パスワードを狙った攻撃
・ブルート・フォース攻撃 パスワードを総当たりで入力
・辞書攻撃/パスワードリスト攻撃 パスワード化されやすい文字列を辞書化して、入力
・レインボーテーブル ハッシュアルゴリズムを復元
■マルウエア
・マルウエア 悪意あるソフトウエアの総称
・ワーム 自己複製、自動感染を繰り返すことができる、マルウエア
・バックドア 認証を経由せずに不正アクセスをする機能
・トロイの木馬 ゲーム、動画ソフト、便利なツールから侵入し、利��者の意図しない動作を行うマルウエア
・ランサムウエア システムを利用不可にさせ、解除キーと引き換えに金銭を要求する 身代金要求マルウエア
・MITB攻撃 ブラウザ内に感染し、特定サーバへの通信の間に入って攻撃するマルウエア
■スパイウエア
・スパイウエア 情報収集の機能をもつマルウエア ・アドウエア 広告表示でえる収入を目的としたマルウエア
■標的型攻撃
・水飲み場攻撃 ・なりすましメール ・フィッシング詐欺 ・DNSキャッシュポイズニング
■Webブラウザ標的攻撃
・ドライブバイダウンロード ・クリックジャッキング ・XSS(クロスサイト・サイト・スクリプティング) ・HTTPヘッダインジェクション
■サーバ標的攻撃
・ディレクトリ・トラバーサル ・ディレクトリ・リスティング ・SQLインジェクション
・OSコマンドインジェクション ・メールヘッダ・インジェクション ・第三者中継(メール)
・CSRF(クロスサイト・リクエスト・フォージェリ) ・ポートスキャン ・IPスプーフィング
■乗っ取り、不正アクセス、なりすまし
・セクションハイジャック ・リプレイ攻撃 ・ルートキット攻撃 ・中間者攻撃
■高負荷攻撃
・F5アタック ・電子メール爆弾 ・DoS攻撃
・Ping Flood ・UDP Flood・SYN/FIN Flood
・Connection Flood ・HTTP Get Flood/F5アタック ・DDo
■プログラムの脆弱性をついた攻撃
・ゼロディ ・バッファ・オーバーフロー ・セキュリティ・ホール ・パッチ
■暗号 平文⇒暗号化⇒復号⇒平文
共通鍵暗号方式 DES,AES
公開鍵暗号方式 RSA 公開鍵と秘密鍵 PKI・CA
ハッシュ関数 MD5,SHA-1、SHA-2
■認証
PINコード(パスワード)、ワンタイムパスワード、トークン、多要素認証、S/KEY、リスクベース認証
生体認証(指紋、静脈、虹彩、網膜、声紋、顔)本人拒否率、他人受入率
■デジタル証明書
メッセージダイジェスト(MD),メッセージ認証コード(MAC),タイムスタンプ
ルート証明書、SSL/TLS、クライアント認証
■情報セキュリティ管理
情報セキュリティポリシー、プライバシーポリシー
リスクアセスメント(JISQ31000)
情報セキュリティ・インシデント
情報資産台帳
リスク分析・評価 リスク基準、リスクマトリクス、定性的分析、定量的分析
リスク制御 BCP,リスクヘッジ、リスク対応計画
情報セキュリティマネジメント ISMS,JISQ27001,PDCA
セキュリティ評価 PCI DSS,CVSS,脆弱性診断、ペレトレーションテスト
CSIRT,JPCERT/CC
NISC/SOC/JVN
■情報セキュリティ対策
啓発活動、パスワード管理、アクセス制御、棚卸、ログ管理
監視、DLP
入口対策(F/W,IPS,WAF)悪意ある攻撃をブロック、出口対策(侵入された前提でのデータの漏えいを防ぐ)、多層防御
マルウエア対策、不正プログラム対策 パターンマッチング、ヒューリスティック、ビヘイビア
ファイヤウオール パケットフィルタリング(スタティクス、ダイナミック、ステートフルパケットインスペクション)
WAF,プロキシサーバー、IDS(不正検知)、IPS(侵入防止)、DMZ、検疫ネットワーク、URLフィルタリング、コンテンツフィルタリング(単語)
無線系(WPA2/3,SSID)
著作権保護 電子透かし、デジタルフィレンジックス
メール認証(SPF,DKIM,DMARC)
ネットワーク管理 アクセス制御、モバイル管理(MDM),SIEM(ログ保存、管理)UTM(総合機能)
物理対策 UPS,ミラーリング、遠隔バックアップ、監視カメラ、施錠・入退室管理、クリアデスク、クリアスクリーン
■セキュリティの実装技術
OSI基本参照モデル
IPsec(3層)
SSH(4層)
SSL(4層)
TSL(4層)
HTTPS(4層)
MACアドレス・フィルタリング(1層)
認証VLAN
VPN
DBのセキュリティ ストレージの暗号化、DBの暗号化、アプリケーションの暗号化 DBアクセス制御、DBバックアップ
■アプリケーションのセキュリティ対策
SQLインジェクション対策 プレスフォルダー
Webシステム HTTPレスポンスのエスケープ処理(サニタイズ),Webフォームの入力値チェック、専用のAPI関数、脆弱性に関連する機能を実装しない、セキュリティアップデート、URL,Webフォーム入力値を使わない
バッファ・オーバフロー対策
目次
1章 セキュリティの概念と対策の方針
01 情報セキュリティとは
02 情報セキュリティを構成する7つの要素
03 OECDセキュリティガイドライン
04 リスク
05 情報資産とは
06 脅威の種類
07 脆弱性の種類
08 人為的不正のメカニズム
2章 サイバー攻撃の手法①
09 サイバー攻撃の攻撃者
10 サイバー攻撃の手法
11 パスワードを狙った攻撃
12 マルウェア
13 スパイウェア
3章 サイバー攻撃の手法②
14 標的型攻撃
15 Webブラウザを狙った攻撃
16 サーバーを狙った攻撃①
17 サーバーを狙った攻撃②
18 乗っ取り/不正アクセス/なりすまし
19 負荷をかける攻撃
20 プログラムの脆弱性を突いた攻撃
4章 セキュリティ確保の基礎技術
21 暗号化技術の基礎
22 暗号化技術の種類
23 暗号鍵管理システム
24 ディスク/ファイルの暗号化
25 危殆化
26 利用者に対する認証技術
27 生体認証技術
28 PKI
29 デジタル証明書のしくみ
5章 情報セキュリティの管理
30 情報資産と無形資産
31 リスクマネジメント
32 情報セキュリティインシデント
33 情報資産の調査と分類
34 リスクの分析と評価
35 情報セキュリティリスクアセスメント
36 リスクコントロール
37 情報セキュリティマネジメントシステム
38 セキュリティの評価
39 セキュリティ規定と関連機関
6章 情報セキュリティ対策の基礎知識
40 内部不正防止ガイドライン
41 入口対策と出口対策
42 マルウェア/不正プログラム対策
43 ファイアウォール
44 WAF
45 プロキシサーバー
46 不正侵入検知システム
47 侵入防止システム
48 DMZ
49 ネットワーク認証/フィルタリング
50 無線通信セキュリティ
51 著作権保護
52 メール認証
53 ネットワーク管理
54 対策機器
55 物理対策
7章 セキュリティの実装に関する知識
56 セキュア・プロトコル
57 ネットワークセキュリティ
58 データベースセキュリティ
59 アプリケーションセキュリティ
付録
索引
ISBN:9784297121068
出版社:技術評論社
判型:A5
ページ数:256ページ
定価:2280円(本体)
発行年月日:2021年05月
発売日:2021年05月21日初版第1刷
発売日:2023年05月23日初版第3刷
投稿元:
レビューを見る
この本では、情報セキュリティの手法や知識・管理方法など幅広く詳しく解説されています。
セキュリティの基礎が分かっている方でも、図解で深掘りして解説しているので、ぜひオススメしたい1冊です!