情シス担当者のための絵で見てわかる情報セキュリティ

第１部：基礎編　　クラウド時代に通用する情報セキュリティの基礎知識

CHAPTER 01 情報セキュリティ概論
はじめに
情報セキュリティ
情報セキュリティの３要素
脅威と脆弱性とリスク
　　・脅威
　　・脆弱性
　　・リスク
セキュリティ対策のアプローチ
　　・抑止
　　・予防
　　・検知
　　・対応
適合性と有効性

CHAPTER 02 情報セキュリティマネジメント／監査
情報セキュリティマネジメントとは
ISMSの仕組みと役割
　　・ISMSの確立と運用管理
　　・ISMSの構築
ISMSの導入及び運用時のポイント
　　a) リスク対応計画の策定
　　b) 経営陣による資源の割り当て
　　c) 教育／訓練の実施
ISMSの監視及びレビューと改善のポイント
攻撃が妨げているわけではない
モニタリングと見直し
　　・準拠性と有効性
情報セキュリティ監査の概念／定義
　　・法廷監査と任意監査
　　・内部監査と外部監査
　　・助言型監査と保証型監査
システム管理と情報セキュリティ監査
　　・システム監査
　　・情報セキュリティ監査
情報セキュリティ管理基準と情報セキュリティ監査基準
　　・情報セキュリティ管理基準
　　・情報セキュリティ監査基準
　　・ISMS適合性評価制度？情報セキュリティ監査制度？

CHAPTER 03 内部統制と情報セキュリティ、法と倫理
内部統制とは
　　・日本版SOX法
　　・米国「SOX法」の概要
　　・日本版SOX法の誕生
　　・日本版SOX法の特徴
　　・ITへの対応
情報セキュリティによるITの統制
　　・アクセス制御
職務の分離による不正行為の抑止
情報セキュリティは内部統制の一部分
企業が引き起こす社会的問題
　　・企業に求められるコンプライアンス
　　・コンプライアンスは「法令遵守」で良いのか？
法の定義
　　・法と法律
　　・法律の限界
　　・情報セキュリティと法
倫理の定義
　　・倫理とは
　　・ソフトロー
「法と倫理」と情報セキュリティ ～個人情報とプライバシーを事例に～
　　・個人情報とプライバシー
　　・個人情報とプライバシーに関する法
　　・個人情報とプライバシーに関する倫理
　　・個人情報とプライバシーに関する動向

CHAPTER 04 セキュリティアーキテクチャと暗号、電子署名、PKIの認証技術
「アーキテクチャ」とは
セキュリティアーキテクチャとは
高信頼性コンピューティング基盤
　　・マルチレベルセキュリティ
　　・セキュリティモデル
　　・リファレンスモニタ
　　・評価基準
「暗号化」とは
　　・暗号化の役割
暗号の種類
　　・共通鍵暗号方式
　　・公開鍵暗号方式
　　・電子署名
PKI （Public Key Infrastructure）
　　・PKIの構成要素
　　・PKIの仕組み
　　・SSL （Secure Sockets Layer）

第２部：実践編　　セキュリティインシデントの傾向と対策

CHAPTER 05 不正アクセス対策
不正アクセスへの理解
　　・不正アクセスはなぜ起こるのか
　　・不正アクセスの手法
不正アクセスへの対策
　　・原因への働きかけ ～「抑止」「予防」「防御」
　　・定石プロセスに応じた対策 ～「予防」「防御」
　　・不正アクセスの検知
　　・不正アクセスが発覚したら ～インシデントへの対応

CHAPTER 06 ネットワークインフラセキュリティ
ネットワークインフラセキュリティの定義と目的
　　・物理層
　　・データリンク層
　　・ネットワーク層
　　・トランスポート層
ネットワークセキュリティの概念
　　・境界セキュリティ
　　・階層防御
　　・単一障害点の回避
　　・要塞化
ファイアウォール
　　・パケットフィルタリング
　　・アプリケーションレベルゲートウェイ
　　・サーキットレベルゲートウェイ
　　・ステートフルインスペクション
　　・ファイアウォールの限界
侵入検知システム（IDS)と侵入防止システム（IPS)
　　・不正アクセスの早期検知／遮断
　　・ログの収集／保存
ネットワークセキュリティへの保証
　　・ペネトレーションテストの必要性
　　・ログ管理と監査

CHAPTER 07 OSセキュリティ
OS（カーネル）の基本機能
　　・プロセス管理機能
　　・メモリ管理機能
　　・ファイル管理
　　・デバイス管理機能
セキュリティの観点から見たOSの機能
　　（１）サービス制御機能
　　（２）アカウント管理機能
　　（３）監査機能
　　（４）セキュリティポリシー管理機能
　　（５）アップデート機能
OSに関する脅威
　　・バッファオーバーフロー
　　・パスワードクラック
　　・内部関係者による不正操作
　　・ウィルス感染

CHAPTER 08 不正プログラム対策
不正プログラムとは
　　（１）ウイルス
　　（２）ワーム
　　（３）トロイの木馬
　　（４）ボット
不正プログラム対策
　　・不正プログラムの予防
　　・事後対応

CHAPTER 09 セキュアプログラミングとセキュアアプリケーション開発
なぜアプリにセキュリティ対策が必要か
Webアプリの対策が浸透しない理由
セキュリティを考慮した開発ライフサイクル
　　・要件定義
　　・設計／開発
　　・テスト
　　・運用

CHAPTER 10 インシデントレスポンス
それぞれの組織のそれぞれのインシデント
インシデントを上手く乗り越えるためには？
インシデントレスポンスの事前準備
　　・対応すべきリスクの優先付け
　　・マニュアルの整備
　　・検知／調査機能の準備
　　・インシデントレスポンスチームの体制
　　・関係者と関係組織の把握
　　・教育／訓練
インシデントレスポンスの流れ
　　・検知
　　・確認
　　・抑制
　　・調査
　　・復旧
　　・フォローアップ

第３部：特別編　　今日からできるDBセキュリティ対策

CHAPTER 11 これだけはやっておきたいDBセキュリティ対策
DBセキュリティの重要性
１ DBセキュリティ要件の検討
　　・セキュリティ要件の標準
２ DBMSの適切な導入
　　・パッチの適用だけでは万全ではない
３ アクセス制御
　　・基本はアカウント分離＋最小権限
　　・さまざまなアクセス制御手法
４ 暗号化によるデータ保護
　　・通信の暗号化
　　・データの暗号化
　　・データファイルの暗号化（透過的暗号化）
　　・ディスクの暗号化
５ アクセスログの取得
６ アクセスログの取得の目的
　　・SQLインジェクション対策
　　・内部犯行対策
７ アクセスログ取得のポイント
　　・どんな項目をログとして取るべきか
　　・必要なアカウント分離となりすまし対策
　　・どんな操作をログとして残すべきか
　　・ログ取得の対象を絞り込む
　　・ログはどのように保護すべきか
　　・ログを活用する
　　・アクセスログ分析
８ インシデントレスポンスケース
ケース(1) SQLインジェクションによる情報漏洩
　　・インシデントの発生
　　・調査と結果報告
　　・ケース(1)のまとめと教訓
ケース(2) SQLインジェクションによる情報改ざん
　　・ケース(2)のまとめと教訓
ケース(3) 内部関係者による情報漏洩
　　・ケース(3)のまとめと教訓
　　・ログ
９ DBセキュリティの今後
　　・検知から遮断へ
　　・レギュレーションにおけるDBの明示／例示が増加

• 本商品の内容についての問い合わせ
• ご購入等に関する問い合わせ