サイバーセキュリティ入門:図解×Q&A【第2版】
第2版に際して 初版 はじめに
第1章 サイバーセキュリティとは? 新型コロナウイルス感染症が「サイバーセキュリティ」を変えた 1−1 サイバーセキュリティと「情報セキュリティ」は違う? 1−2 「サイバーセキュリティ基本法」とは? 1−3 サイバー空間の脅威?
第2章 セキュリティ上の「リスク」? 1 情報の漏えいはどのようにして生じる? 2−1 「脅威」と「リスク」、「インシデント」はどう違う? 2−2 「障害対応」も情報セキュリティ? 2 組織やビジネスにおけるセキュリティ上の脅威はどこに? 2−3 ファイル作成から廃棄まで〜適切な情報の管理 2−4 システム設計・構築時や廃棄時の脅威 2−5 「サイバー攻撃」ってどのようなもの? 2−6 サイバー攻撃手法の変遷 3 プライベートに潜むセキュリティリスク 2−7 フィッシング詐欺やスミッシングに騙されない! 2−8 スマートフォンの盗難・忘失が実際に発生!〜どうすれば? 2−9 公共の場での入力〜個人情報が見られていませんか?
第3章 他人事ではないサイバー攻撃 1 「サイバー攻撃」の目的と対象〜何が狙われる? 3−1 脆弱性(弱点)を見つける方法 3−2 脆弱性(弱点)を放置すれば? 3−3 ソーシャル・エンジニアリングとは? 2 弱み(脆弱性)に付け入る攻撃手法 3−4 アカウント管理〜パスワードの使い回しに注意! 3−5 基本ソフト(OS)やアプリケーションへの攻撃 3−6 サーバや開発システムへの攻撃 3−7 OSS(オープンソースソフトウェア)への攻撃とは? 3−8 ホームページを見ただけでウイルスに感染するのか? 3−9 家庭の様々な機器が狙われる 3−10 防犯カメラや業務用・制御用のシステムも狙われている 3−11 端末以外も!〜調達時に潜む危険性〜サプライチェーン管理 3 システム侵入後、マルウェアは何をするのか? 3−12 マルウェアの危険性 3−13 ワンクリックウェアやクリックジャッキングの仕組み? 3−14 バックドアやルートキットとは? 3−15 “ボット”の機能と高度化 3−16 バンキングトロイ(不正送金ウイルス)とは? 3−17 ランサムウェア〜マルウェアによる脅迫 3−18 ウイルスを作成することは罪になる? 3−19 スクリプトウイルス? 3−20 マルウェアは検出を逃れようとする 4 脆弱性がなければ安心? 3−21 標的型攻撃と水飲み場型攻撃 3−22 なりすましにひっかからない! 3−23 「アクセス集中!」かと思っていたら…DoS攻撃? 3−24 Webを利用したマーケティング? クッキー? クッキーレス? 3−25 DNSへの攻撃・DNSの悪用
第4章 セキュリティを確保する!――事前の準備とその対策 1 組織のセキュリティ対策に必要なこと? 4−1 リスク分析とその評価 4−2 リスク評価の指標とは? 4−3 情報セキュリティマネジメントシステムとは? 4−4 Pマークだけじゃダメ? GDPRの施行!〜個人情報保護対策 2 攻撃状況が「見えない」ことが難しい! 4−5 セキュリティ対策@ 組織・人的対策 4−6 セキュリティ対策A 物理的対策 4−7 セキュリティ対策B 運用管理(監視)〜攻撃の「見える化」 4−8 アクセス制御と認証 4−9 日常業務〜マルウェア対策・ソフトウェア更新 4−10 セキュリティ監査とペネトレーションテスト 4―11 バックアップと仮想化 3 「Webアプリケーション」のセキュリティ確保 4−12 SSL(TLS)やVPNの仕組み〜ネットワークのセキュリティ確保 4−13 電子証明書や認証局の役割と仕組み 4−14 メール送付における「送信ドメイン認証」 4−15 Webアプリケーションへの攻撃 4−16 PPAPなぜ禁止?
第5章 「異常」発生?――検知(検出)と対処 平素の運用状況(定常状態)を把握し、“異常” 発生時に備える! 5−1 エンドポイント・セキュリティと「ゼロトラスト」 5−2 「サンドボックス」〜振る舞いの検知? 5−3 検疫ネットワーク・出口対策 5−4 インシデント・レスポンスの留意点 5−5 デジタル・フォレンジックとは? 5−6 ネットワーク・フォレンジックとトレース
第6章 端末機器のセキュリティー ――職場のパソコンや自分のスマホは大丈夫? 1 職場で「セキュリティ担当」に指名されたら? 6−1 職場のPCや端末の管理は? 6−2 ルータ、ハブ、NAS、WiFi機器にも注意! 6−3 オフィスの複合機(MFP)に注意? 6−4 コンプライアンスや内部統制、監査との関係? 6−5 「ウイルスが検出されました!」と表示されたら? 6−6 「リベンジポルノ」と「ネットストーカー」 2 スマートフォンの危険性? 6−7 スマートフォンへの攻撃 6−8 「ワンクリック詐欺」に引っかからない! 6−9 スマートフォンを業務で利用する? 6−10 スマートフォンにおけるフィルタリング設定 6−11 ネット選挙とSNSの利用 6−12 スマートフォンでもP2Pには要注意 6−13 スマートフォンの迷惑メール? 6−14 スマートフォンがおサイフ? 6−15 スマートフォンで仮想通貨の取引…大丈夫? 6−16 ネット詐欺に騙されないためには?
第7章 ITサービスの高度化とセキュリティ確保 暗号・匿名・分散技術の進展とセキュリティ対策 7−1 匿名性を確保するためのサービス? 7−2 個人情報の匿名性を確保するには? 7−3 ビッグデータ、IoT機器のセキュリティ 7−4 制御システムのセキュリティ
第8章 クラウドの活用とセキュリティ対策 クラウドの活用とセキュリティの確保 8−1 クラウドとは? どのような種類があるのか? テレワークでも利用? 8−2 仮想化技術とクラウド、コンテナ? 8−3 サーバレス? マイクロサービス? 何のこと? 8−4 クラウドへの攻撃 8−5 クラウドネイティブ、ゼロトラスト 8−6 クラウド防護の手法 8−7 クラウド環境におけるフォレンジック 8−8 クラウド・セキュリティに関する標準・ガイドライン 8−9 「ゼロトラスト」関連の規定等
第9章 組織の情報セキュリティ管理のために 国際標準や規格等 9−1 ISO/IEC 27000シリーズ(情報セキュリティマネジメント)の規定 9−2 ISMSとITSMS、BCMS、DR 9−3 個人情報・プライバシー保護 9−4 ITガバナンスとIT統制 9−5 プロジェクトマネジメントとリスクやセキュリティの管理 9−6 ITSEC(IT製品のセキュリティ) 9−7 暗号・認証技術の規格 9−8 ソフトウェア開発とセキュリティの確保 9−9 自動車のソフトウェア開発とCSMS 9−10 会計システムのセキュリティ 9−11 セキュリティ関連の資格・団体
あとがき INDEX
|