セキュリティ技術の教科書 第2版 (教科書シリーズ)
【情報処理安全確保支援士試験(SC)のおすすめ参考書・テキスト(独学勉強法/対策)】も確認する
これから“セキュリティ技術”を学ぶ方へ
『セキュリティ技術の教科書』の執筆コンセプト
本書は,次のような方を想定読者として執筆しました。
・これから社会人になり、ITパーソンとして活躍しようと志している学生の方
・既にITパーソンとして実務を行いながら、セキュリティ技術全般を学習しようとする方
・情報処理安全確保支援士試験の午前II試験におけるセキュリティ分野の専門知識を効率的,かつ,しっかりと理解したい方
セキュリティに係わるIT・パーソンは、ホワイトハッカー (3.1.2参照)と呼ばれるようなセキュリティプロフェッショナルと,その他の様々な領域のITプロフェッショナルに分類されます。後者の“様々”というのは、プログラマやシステムアーキテクト, ネットワークエンジニアや基盤系エンジニア,フィールドエンジニア, データベースエンジニアや組込みエンジニア, ITコンサルタントやプロジェクトマネージャ,サービスマネージャやシステム監査人などです。
セキュリティに係わるITパーソンのうち,95%は後者だと言われています。職種が多いの で当然です。重要なポイントは、セキュリティプロフェッショナルはもちろん、他のいずれの領域で活動するにしても、セキュリティ技術の知識が必要だということです。
このような多様なITパーソンの方向けに,ITSS (ITスキル標準)レベル3~4のセキュリティ技術全般の基礎を整理しました。そのため, ITSSレベル2(基本情報技術者)のIT知識をもっている方がより知識を深めるのに最適です。
執筆に当たって
本書は,情報処理安全確保支援士試験の対策セミナー向けのレジュメをベースに制作しまし た。レジュメに対する典型的なご意見は、「コンパクトでよくまとまっているけど、読んだだけでは分からない部分があります」でした。書籍として制作する機会を得て,「読んで分かる」を目指して再構成・加筆しました。
IT技術全般と同様、セキュリティ技術の学習では,目に見えない概念的(論理的)な内容を理解することが必要です。そこで、本書では図解を心がけています。理解を定着させるためには,自分で図を描いてみることをお勧めします。
本書を学習して十分に理解したセキュリティ技術の基本が,現場におけるセキュリティ実践
の礎として役立つことを期待しています。
第2版について
第2版は,第1版のマイナーチェンジ版で全体の構成は変わりません。変更点は次のとおりです。
・第1版へのご意見や技術の動向を考慮して、文章表現や説明内容を見直しました。
・第1版の出版後に情報処理安全確保支援士試験で出題された,DMARCやFIDOといった重要技術を追加しました。
・例題演習の問題を3割入れ替えました。
2020.3 著者 長嶋 仁
本書の構成と使い方
(1) 本書の構成と使い方
11章に分類したセキュリティ技術の説明と,各章の大きな節ごとの例題演習で構成しています。例題は,情報セキュリティスペシャリスト試験や応用情報技術者試験の午前問題です。インプットとアウトプットを組み合わせるのが効果的です。例題の解答解説は、全体をまとめて第12章に記載しています。
(2) 英字の略号のルビについて
ルビを付けているのは,アルファベット読みではないものです。読み方は唯一ではないものもあります。本書では代表的なものを掲載しています。
例 ARP “エーアールピー”ではなく“アープ”なのでルビを付けています。
TLS “ティーエルエス”なのでルビを付けていません。
(3) 法令,規格, ガイドラインについて
法令、規格,ガイドラインなどは、出版後に改正される可能性がありますので、必要に応じて最新の情報を確認してください。
Pick up ―情報処理安全確保支援士試験とは―
前述のとおり,本書は情報処理安全確保支援士試験の学習にもご活用いただけます。そこで、簡単に試験の概要を紹介します。※以下、IPAホームページ(https://www.jitec.ipa.go.jp/)より要約
(1) 「情報処理安全確保支援士」の創設
サイバー攻撃の急激な増加により、企業などにおけるサイバーセキュリティ対策の重要性 が高まる一方、サイバーセキュリティ対策を担う実践的な能力を有する人材は不足しています。そこで、サイバーセキュリティに関する実践的な知識・技能を有する専門人材の育成と確保を目指して,国家資格「情報処理安全確保支援士」制度が創設されました。
「情報処理安全確保支援士」はサイバーセキュリティに関する専門的な知識・技能を活用 して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、サイバーセキュリティ対策の調査・分析・評価やその結果に基づく指導・助言を行います。
(2) 登録のメリット
・国家資格「情報処理安全確保支援士」の資格名称を使用ができる。
・情報セキュリティに関する高度な知識・技能を保有する証になる。
・毎年の講習受講により、情報セキュリティに関する最新知識や実践的な能力の維持ができる。
(3) 情報処理安全確保支援士試験
「情報処理安全確保支援士」制度の創設に伴い、従来の情報セキュリティスペシャリスト 試験は廃止され,平成29年4月から新たに情報処理安全確保支援士試験が実施されていま す。情報処理安全確保支援士試験の合格者は、登録をすることによって、独占的に「情報処 理安全確保支援士」の資格名称を使用することができます。
試験に関心をもたれた方、受験を考えている方は,IPAのWEBサイトで詳細情報をご確認ください。支援士資格の登録、講習の受講などに関するFAQも掲載されていまのすので、こまめに確認しておきましょう。
https://www.ipa.go.jp/siensi/index.html
目次
これから”セキュリティ技術”を学ぶ方へ
第1章 情報セキュリティとサイバーセキュリティ
1.1 情報セキュリティからサイバーセキュリティへ
1.1.1 情報セキュリティとは何か
1.1.2 サイバーセキュリティとは何か
1.1.3 例題演習
第2章 インターネット技術の基礎
2.1 インターネット技術の概要
2.1.1 インターネット技術の重要な要素
2.2 IPアドレス, ポート番号,MACアドレス
2.2.1 IPアドレスとNAT
2.2.2 ポート番号とNAPT
2.2.3 MACアドレス
2.2.4 例題演習
2.3 プロトコルとサービス
2.3.1 TCP/IPプロトコル群
2.3.2 IP
2.3.3 TCPとUDP
2.3.4 LANの通信とARP
2.3.5 WebサービスとHTTP
2.3.6 メールサービスとSMTP, POP3, IMAP4
2.3.7 DNSサービスとDNS
2.3.8 その他のプロトコル
2.3.9 例題演習
2.4 ネットワーク機器
2.4.1 ネットワーク接続機器
2.4.2 無線アクセスポイント
2.4.3 例題演習
2.5 データベース技術
2.5.1 SQL文
第3章 セキュリティに対する脅威
3.1 脅威と攻撃者
3.1.1 脅威の分類
3.1.2 攻撃者の種類と動機
3.2 様々な脅威
3.2.1 マルウェア
3.2.2 サイバー攻撃
3.2.3 なりすましと不正アクセス
3.2.4 通信の盗聴や改ざん
3.2.5 情報機器への攻撃
3.2.6 例題演習
第4章 暗号技術・認証技術,PKI
4.1 共通鍵暗号方式と公開鍵暗号方式
4.1.1 共通鍵暗号方式
4.1.2 公開鍵暗号方式
4.1.3 共通鍵暗号方式と公開鍵暗号方式の比較
4.1.4 例題演習
4.2 ハッシュ関数とメッセージ認証
4.2.1 ハッシュ関数
4.2.2 メッセージ認証
4.2.3 例題演習
4.3 ディジタル署名とPKI
4.3.1 ディジタル署名
4.3.2 PKI
4.3.3 秘密鍵の保護
4.3.4 タイムスタンプとXML署名
4.3.5 ブロックチェーン
4.3.6 例題演習
4.4 認証方式
4.4.1 利用者認証の方式
4.4.2 パスワード認証
4.4.3 共通鍵認証と公開鍵認証
4.4.4 その他の認証方式
4.4.5 例題演習
第5章 通信の制御とサイバー攻撃対策技術
5.1 ファイアウォール
5.1.1 ファイアウォールの目的
5.1.2 ファイアウォールの機能
5.1.3 例題演習
5.2 プロキシサーバ
5.2.1 プロキシサーバの種類
5.2.2 プロキシサーバの機能
5.2.3 例題演習
5.3 IDS・IPS
5.3.1 IDS・IPSの種類
5.3.2 IDS・IPSの検知方法と動作
5.3.3 例題演習
5.4 WAF
5.4.1 WAFの機能と運用
5.4.2 例題演習
5.5 サイバー攻撃対策技術
5.5.1 マルウェア対策技術
5.5.2 標的型攻撃に対する内部拡大・出口対策
5.5.3 例題演習
第6章 Webシステムのセキュリティ
6.1 HTTP
6.1.1 HTTPメッセージ
6.1.2 Cookie
6.1.3 HTTP認証
6.1.4 例題演習
6.2 Webアプリケーションへの攻撃と対策
6.2.1 セッションハイジャック
6.2.2 セッションフィクセーション
6.2.3 SQLインジェクション
6.2.4 クロスサイトスクリプティング(XSS)
6.2.5 クロスサイトリクエストフォージェリ(CSRF)
6.2.6 ディレクトリトラバーサル
6.2.7 OSコマンドインジェクション
6.2.8 バッファオーバフロー(BOF)
6.2.9 クリックジャッキング
6.2.10 HTTPヘッダインジェクション
6.2.11 メールヘッダインジェクション
6.2.12 例題演習
第7章 メールシステムのセキュリティ
7.1 メールシステムにおける脅威
7.1.1 攻撃メール
7.1.2 踏み台攻撃
7.1.3 メールの盗聴・改ざん,誤送信
7.1.4 例題演習
7.2 メールシステムのセキュリティ機構
7.2.1 SMTP, POPのセキュリティ
7.2.2 S/MIME, PGP
7.2.3 送信ドメイン認証(SPF, DKIM, DMARC)
7.2.4 メールのフィルタリング
7.2.5 OP25B
7.2.6 Webメール
7.2.7 例題演習
第8章 DNSシステムのセキュリティ
8.1 DNSシステムにおける脅威と対策
8.1.1 DNSキャッシュポイズニング
8.1.2 DDoS攻撃
8.1.3 その他のDNSセキュリティ
8.1.4 例題演習
第9章 セキュアプロトコル
9.1 トランスポート層のセキュアプロトコル
9.1.1 TLS
9.1.2 SSH
9.1.3 例題演習
9.2 ネットワーク層のセキュアプロトコル
9.2.1 IPsec
9.2.2 例題演習
9.3 LANのセキュリティ規格
9.3.1 IEEE802.1X
9.3.2 無線LANのセキュリティ規格
9.3.3 例題演習
9.4 認証・認可プロトコル
9.4.1 SAML
9.4.2 OAuth
9.4.3 FIDO
9.4.4 例題演習
第10章 システムセキュリティ
10.1 OS関連のセキュリティ
10.1.1 アクセス管理
10.1.2 システムのセキュリティ管理
10.1.3 スマートフォンのセキュリティ
10.1.4 例題演習
10.2 データベースセキュリティ
10.2.1 データベースのセキュアな運用
10.2.2 例題演習
10.3 情報ハイディング技術
10.3.1 ステガノグラフィ,電子透かし
10.3.2 例題演習
第11章 情報セキュリティマネジメント
11.1 ISMSの構築と運用
11.1.1 ISMS(情報セキュリティマネジメントシステム)
11.1.2 リスクマネジメント
11.1.3 セキュリティの検査・監視とシステム管理
11.1.4 脆弱性管理
11.1.5 インシデント対応
11.1.6 内部不正対策
11.1.7 情報セキュリティの点検
11.1.8 例題演習
11.2 情報セキュリティ関連規格,ガイドライン,制度
11.2.1 CRYPTREC
11.2.2 ISO/IEC 27000シリーズ
11.2.3 その他の関連規格・基準
11.2.4 情報セキュリティ関連ガイドライン
11.2.5 情報セキュリティ関連制度
11.2.6 例題演習 11.3 情報セキュリティ関連法規
11.3.1 サイバーセキュリティ基本法
11.3.2 刑法
11.3.3 不正アクセス禁止法
11.3.4 知的財産権関連法規
11.3.5 個人情報保護法
11.3.6 その他の情報セキュリティ関連法規
11.3.7例題演習
第12章 例題演習の解答・解説
用語 INDEX
参考文献/URL
