情報セキュリティ教本


 情報セキュリティ教本
独立行政法人情報処理推進機構
定価 2,724円(本体:2,476円)
仕様 A5判 376頁
ISBN 978-4-407-31696-4
発行日 2009年03月27日発行

●情報セキュリティ対策の構築・運用について、計画・導入・運用・評価というPDCAサイクルに則り、わかりやすく解説しました。

●IPA/ISECのスタッフによる執筆で、情報セキュリティに関わる主要な基準・対策を網羅。


1章 はじめに
(1)ITと情報セキュリティ
 1 増大する脅威と情報セキュリティの重要性
 2 情報セキュリティのガイドライン
 3 本書の使い方
(2)緊急事態発生!
 1 エピソード1【ファイル交換ソフトで情報漏えい】
 2 エピソード2【Webサイトから情報漏えい】
 3 エピソード3【ノートパソコンの紛失・盗難】
 4 エピソード4【敵は内部にいた!】
(3)基本的な考え方
 1 全体を見通してみる
 2 情報資産と情報セキュリティ
 3 情報セキュリティの定義と情報セキュリティの3要素
(4)情報セキュリティマネジメントシステムとPDCAサイクル
 1 ISMとPDCAサイクル
 2 PDCAとプロセスアプローチ
 3 情報セキュリティ対策実施の成功要因

2章 情報セキュリティの組織
(1)情報セキュリティの組織と体制づくり
 1 情報セキュリティ対策推進のポイント
 2 経営者の役割
 3 管理体制の構築
 4 情報セキュリティ委員会と専門家による助言
 5 情報セキュリティの推進体制
 6 違反と例外措置
(2)情報セキュリティの組織と体制の例

3章 情報セキュリティポリシーのつくり方
(1)情報セキュリティポリシーとは
 1 情報セキュリティポリシーの文書構成
 2 ガイドラインと実施手順
 3 適用対象範囲や規程類との関係
 4 情報セキュリティポリシー策定の流れ
(2)情報セキュリティ基本方針
 1 情報セキュリティ基本方針の概要
 2 情報セキュリティ基本方針の項目例
(3)情報セキュリティ対策基準
 1 管理策集(JIS Q 27002:2006)
 2 政府機関の情報セキュリティ対策のための統一基準(政府機関統一基準)
 3 地方公共団体における情報セキュリティポリシーに関するガイドライン
 4 JNSA「情報セキュリティポリシー・サンプル0.92a版」
 5 情報セキュリティ対策基準の構成と策定のポイント
(4)情報セキュリティ実施手順
 1 情報セキュリティ実施手順の概要と策定の観点
 2 政府機関統一基準の対策基準・実施手順・ガイドラインの関係
(5)情報セキュリティポリシー策定のポイント

4章 情報の分類と管理
(1)情報資産の洗い出しと管理責任者の決定
 1 情報資産の洗い出し
 2 情報資産洗い出しの手順
 3 情報資産のグループ分け
 4 情報資産管理台帳
 5 情報の管理責任者
(2)情報資産の分類と格付け
 1 情報の分類と格付けのための基準
 2 格付けと取扱制限の明示
 3 情報の利用者とNeed to knowの原則
(3)情報のライフサイクルとその取扱い(情報の管理)
 1 情報のライフサイクル
 2 情報の作成と入手
 3 情報の利用
 4 情報の保存
 5 情報の移送
 6 情報の提供
 7 情報の消去
 8 情報のライフサイクルと個人情報保護対策
(4)情報の分類と管理のポイント

5章 リスクマネジメント
(1)リスクマネジメントとリスクマネジメントシステム
 1 リスクとは
 2 リスクマネジメントとリスクマネジメントシステム
 3 リスクマネジメントに関する規格類
(2)リスクアセスメント
 1 情報資産価値の評価
 2 脅威(threat)
 3 脆弱性(vulnerability)
 4 リスクの算定
 5 リスク評価
(3)GMITSに見るリスク分析手法
 1 ベースラインアプローチ
 2 非形式的アプローチ
 3 詳細リスク分析
 4 組合せアプローチ
(4)リスク対応
 1 リスクの低減(適切な管理策の採用)
 2 リスクの保有
 3 リスクの回避
 4 リスクの移転
 5 リスクの受容
 6 リスクコミュニケーション
 7 リスクマネジメントの記録
(5)リスクマネジメントの例
 1 ISMSユーザーズガイドに見るリスクマネジメント
 2 政府機関統一基準に見るリスクマネジメント
 3 NISTガイドラインに見るリスクマネジメント
(6)リスクマネジメントのポイント

6章 技術的対策の基本
(1)技術的対策における基本的機能と脅威
 1 情報セキュリティにおける基本機能
 2 情報セキュリティにおける脅威
(2)主体認証
 1 主体認証とは
 2 主体認証の方法
 3 主体認証に関する管理策
(3)アクセス制御
 1 アクセス制御とは
 2 任意アクセス制御と強制アクセス制御
 3 アクセス制御に関する管理策
(4)権限管理
 1 権限管理とは
 2 特権ユーザと最小権限
 3 権限管理に関する管理策
(5)証跡管理(ログの管理)
 1 証跡とは
 2 ログの取得
 3 ログの保存と管理
 4 ログの点検、分析および報告
 5 ログ管理に関する管理策
(6)暗号と電子署名
 1 暗号と電子署名の概要
 2 暗号の危殆化
 3 鍵管理
(7)パソコン上のデータ保護
 1 パソコン上のデータ保護について
 2 USBメモリの暗号化について
 3 ノートパソコン上のデータの暗号化について
(8)セキュリティホール対策(脆弱性対策)
 1 セキュリティホール(脆弱性)とは
 2 脆弱性対策
(9)不正プログラム対策
 1 不正プログラムとは
 2 不正プログラム対策
(10)サービス不能攻撃対策(DoS/DDoS攻撃対策)
 1 サービス不能攻撃とは
 2 サービス不能攻撃対策
(11)技術的対策の基本:まとめ

7章 セキュリティ製品とセキュリティサービス
(1)セキュリティ製品の導入にあたって
(2)ネットワークセキュリティ製品
 1 ファイアウォール
 2 WAF(Webアプリケーションファイウォール)
 3 IDS(侵入検知システム)とIPS(侵入防止システム)
 4 VPN(Vitual Private Network)
 5 検疫システム
(3)認証製品
 1 PKI関連製品
 2 認証サーバ
 3 ワンタイムパスワード
 4 ICカード/スマートカード
 5 バイオメトリック認証(Biometric Authentication)
 6 シングルサインオン(Single Sign-On)
(4)データセキュリティ関連製品
 1 情報漏えい防止ソリューション
 2 メールセキュリティ
(5)ウィルスなどの不正プログラム、スパム、フィッシング対策等
 1 ウィルス対策ソフトウェア、スパイウェア対策ソフトウェア
 2 スパムフィルタリングソフトウェア
 3 フィッシング対策ソフトウェア
(6)その他
 1 UTM(Unified Treat Management:総合脅威管理)
 2 コンテンツフィルタリングソフトウェア
 3 完全性チェックツール
 4 フォレンジックツール
(7)セキュリティサービス
 1 コンサルティングサービス、セキュリティ教育など
 2 セキュリティ監視、検知、運用管理サービス
 3 電子認証サービス
 4 タイムスタンプサービス
(8)製品の選定と購入

8章 導入と運用
(1)導入と運用にあたって
(2)情報セキュリティポリシーの周知と徹底
 1 告知
 2 情報セキュリティ教育
(3)従業員の管理と外部委託先の管理
 1 従業員の管理
 2 外部委託先の管理
 3 ソフトウェア開発の委託
(4)事業継続管理、緊急時対応、インシデント対応
 1 緊急時対応に関する諸計画
 2 事業継続計画
 3 ケーススタディ:パソコン紛失時の対応
 4 インシデント対応:原因究明と証拠保全
 5 平時における準備
(5)情報システムの導入と運用
 1 情報システムの設定と運用開始
 2 施設と環境(物理的および環境的セキュリティ)
 3 ホストセキュリティ(サーバ・端末・通信装置などに関する対策)
 4 ネットワークセキュリティ(通信回線との接続)
 5 アプリケーションセキュリティ(電子メールやWebに関する対策)
 6 バックアップ

9章 セキュリティ監視と侵入検知
(1)セキュリティ監視 
 1 セキュリティ監視とは
 2 脆弱性検査と侵入検知の概要
(2)脆弱性検査
 1 脆弱性検査のポイント
 2 Webサイトの脆弱性検査
 3 チェックリストによるWebサイトの脆弱性検査
 4 脆弱性検査ツール
(3)侵入検知
 1 侵入検知ツール
 2 Webサイトの監視・検知

10章 セキュリティ評価
(1)セキュリティ評価とは
 1 セキュリティ評価の目的
 2 誰が誰を評価する?
(2)情報セキュリティ対策実施状況の評価
 1 自己点検
 2 情報セキュリティ対策ベンチマーク
 3 情報セキュリティ監査
 4 ISMS適合性評価制度
 5 情報セキュリティマネジメントに関する規格類
(3)製品調達におけるセキュリティ評価の活用
 1 ITセキュリティ評価及び認証制度
 2 暗号モジュール試験及び認証制度(JCMVP)
(4)適合性評価(Conformity Assessment)
 1 適合性評価制度の概要

11章 見直しと改善
(1)見直しと改善のプロセス
(2)見直しの契機と対応
 1 定期的な見直し
 2 環境の変化に伴う見直し
 3 セキュリティ事件・事故の発生に伴う見直し

12章 法令遵守
(1)法令順守と情報セキュリティ
(2)情報セキュリティに関連する法律
 1 個人情報の保護に関する法律(個人情報保護法)
 2 不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)
 3 不正競争防止法
 4 e-文書法
(3)内部統制と情報セキュリティ
 1 コーポレートガバナンス・リスク管理・内部統制
 2 金融商品取引法
 3 会社法
 4 内部統制に関する基準やガイドライン
 5 ITへの対応

付章 政府機関統一基準と本書の関係
 1 政府機関統一基準の構成と本書の関係
 2 政府機関統一基準第4部と第5部の関係


資料1 JIS Q 27002:2006箇条、セキュリティカテゴリ、管理策(タイトル)一覧
資料2 参考文献 参考URL
資料3 図・表出典一覧
索引
付表 情報セキュリティ関連年表