情報セキュリティというと技術的な視点に偏り勝ちになりますが、人・運用・技術まで拡げた総合的な観点から情報セキュリティ基盤の構築の手法を体系的に解説している本を紹介します。
本書:「実践 情報セキュリティ―人・運用・技術」です。
本書は、Andress,Amanda氏による原著書:「SURVIVING SECURITY : How to Integrate People, Process, and Technology Second Edition」を(株)富士通ソーシアルサイエンスラボラトリ訳ならびに戸田 巌氏監訳により、2005年2月にオーム社より発行されています。
なお原著者のAndress,Amanda氏は、セキュリティ技術についてExxon USAやDeloitte&ToucheおよびErnst&Youngなどの四大会計事務所で実務経験をもっていて、Deloitte&Toucheでは、セキュリティ管理解析の担当。各種セキュリティ製品と技術について実務経験を積んだ。四大会計事務所を離れてプライバシービジネスを扱うスタートアップ企業Privadaのセキュリティ役員に就任後、セキュリティ製品評価とコンサルテーションを行うArcSec Technologies社を創業して現在社長を務めているという人物です。
本書の翻訳本としてのリリース に際し、以下のように発表されています。
「本書は、技術重視で語られがちなセキュリティ問題を“人”と“運用”と“技術”の面から総合的にとらえ、セキュリティと役に立つインフラストラクチャの総合的構築法を説明しているため、セキュリティ運用者および責任者、システム設計者が、担当分野の役割とセキュリティ問題の全貌を把握するのに役立ちます。また、情報セキュリティにおける経営者の役割についても触れており、お客様の情報セキュリティマネジメントにご活用いただける内容となっています。 」
まさに情報セキュリティについて人・運用・技術面の総合的観点からセキュリティ基盤の構成要素と役割、構築法・運用方法等について相互的に技術者だけでなく、経営者、管理者にも役立つ観点から解説してあります。
実践 情報セキュリティ―人・運用・技術 Amanda Andress 戸田 巌 富士通ソーシアルサイエンスラボラトリ オーム社 2005-02 売り上げランキング : 73,936 おすすめ平均 Amazonで詳しく見る by G-Tools |
(広告)
なお本書の目次は、以下の内容となっています。
1 セキュリティの必要性
1.1 はじめに
1.2 効率的なセキュリティインフラストラクチャの重要性
1.3 人、運用、および技術
1.4 敵は誰か
1.5 攻撃のタイプ
1.6 攻撃者のタイプ
1.7 競争優位性としてのセキュリティ
1.8 ソリューションの選択
1.9 セキュリティ技術者の探し方
1.10 階層的アプローチ
2 リスクとセキュリティ要件
2.1 リスクとは
2.2 リスクの容認
2.3 情報セキュリティリスクの評価
2.4 リスクを評価する
2.5 保険
3 セキュリティポリシーと手順
3.1 内部フォーカスが鍵
3.2 セキュリティの意識向上および教育
3.3 ポリシーのライフサイクル
3.4 ポリシー策定
3.5 セキュリティポリシーの要素
3.6 セキュリティポリシーの例
3.7 手順
4 暗号
4.1 暗号化技術の歴史
4.2 今日の暗号化技術
4.3 ハッシュアルゴリズム
4.4 電子署名
4.5 電子署名法
4.6 電子証明書
4.7 公開鍵基盤 (PKI)
4.8 Secure Sockets Layer(SSL)
4.9 他のプロトコルおよび規格
4.10 Pretty Good Privacy(PGP)
4.11 電子透かし
4.12 その他の暗号化の使用方法
5 認証
5.1 多要素認証
5.2 認証手法
5.3 シングルサインオン
5.4 集中管理はまだ幻か
6 ネットワークアーキテクチャと物理セキュリティ
6.1 ネットワークアーキテクチャの変遷
6.2 典型的なネットワーク構成
6.3 Anson社のネットワークアーキテクチャ
6.4 ネットワークの内部アーキテクチャ
6.5 VLAN (仮想LAN)
6.6 物理セキュリティ
7 ファイアウォールと境界セキュリティ
7.1 ファイアウォールの進歩
7.2 ファイアウォールの技術
7.3 ファイアウォールの機能
7.4 あなたにとってベストのファイアウォールとは
7.5 ハードウェアアプライアンスとソフトウェア
7.6 自主運営かアウトソーシングか
7.7 ファイアウォールのアーキテクチャ
7.8 どのアーキテクチャがよいか?
7.9 ファイアウォールの設定
7.10 ファイアウォールのルール
7.11 コンテンツフィルタリング
7.12 ロギング
7.13 良いスタート
8 ネットワーク管理とネットワーク装置セキュリティ
8.1 どこにでもネットーワークが
8.2 DoS攻撃 (Denial Of Service)
8.3 反射型攻撃 (Reflected Attacks)
8.4 ネットワークの防御
8.5 感染したシステムの発見
8.6 SNMP
8.7 SNMPセキュリティ
8.8 ネットワーク上の新しい装置の発見
8.9 セキュアな装置の設定
8.10 すべてのネットワーク装置の共通の手順
9 無線LANのセキュリティ
9.1 標準規格
9.2 セキュリティの問題
9.3 認証ソリューション
9.4 無線LANの監査
10 侵入検知
10.1 侵入検知システムとは何か?
10.2 侵入分析の分類
10.3 良いIDSが持つ特性
10.4 誤報
10.5 侵入検知の分類
10.6 誇大広告から真実を選び出すには
10.7 侵入検知におけるネットワークアーキテクチャについて
10.8 運用サービス
10.9 侵入検知における問題点
10.10 開発中の技術
11 リモートアクセス
11.1 リモートアクセスユーザ
11.2 リモートアクセスの要件
11.3 リモートアクセスの問題点
11.4 ポリシー
11.5 技術
11.6 リモートアクセスの展開とサポート
11.7 エンドユーザーセキュリティ
12 ホストセキュリティ
12.1 ホストセキュリティの実装
12.2 システム機能の理解
12.3 OSの堅牢化
12.4 セキュリティ監視プログラム
12.5 システム監査
13 サーバセキュリティ
13.1 堅牢化とサーバセキュリティ
13.2 ファイアウォール
13.3 Webサーバ
13.4 メールサーバ
13.5 データベース
13.6 DNSサーバ
13.7 DNSSEC
13.8 ドメインコントローラおよびアクティブディレクトリ
13.9 アプライアンス
13.10 電子メールセキュリティ
13.11 ポリシーマネジメント
13.12 ポリシーコントロール
14 クライアントセキュリティ
14.1 システムに鍵をかける
14.2 ウィルスに対する防御
14.3 有害ソフトに対する防御
14.4 Microsoftアプリケーション
14.5 インスタントメッセージ
15 アプリケーション開発
15.1 脅威の発見
15.2 Webアプリケーションのセキュリティ
15.3 防止策
15.4 対策用のツールとソリューション
16 セキュリティ運用と監視
16.1 セキュリティは継続したプロセス
16.2 パッチ
16.3 メーリングリストの監視
16.4 ログの調査
16.5 定期的な設定調査
16.6 マネージドセキュリティサービス
17 脆弱性テスト
17.1 どのようにアセスメントを行うか
17.2 脆弱性のアセスメントはどういう時に必要か
17.3 なぜ脆弱性をアセスメントするのか
17.4 アセスメントの実施
17.5 パスワード解析
17.6 一般的な攻撃
18 セキュリティ監査
18.1 監査の概観
18.2 監査
18.3 監査の種類
18.4 監査の分析
18.5 監査の受審
18.6 監査のコスト
18.7 監査チェックリストのサンプル
19 インシデント対応
19.1 インシデント管理について
19.2 CSIRチームの重要性
19.3 CSIRチームの理由づけ
19.4 インシデントのコスト
19.5 何が必要かを評価する
19.6 あなたの評価の使い方
19.7 攻撃に対するインシデント対応計画の作成
19.8 インシデントが発生した時
19.9 SANS研修所のインシデント対応計画
19.10 攻撃を分析する
20 人、運用、技術の統合
20.1 セキュリティインフラストラクチャ
20.2 セキュリティインフラストラクチャの維持
20.3 セキュリティ意識の啓発
20.4 セキュリティの投資効果
20.5 セキュリティインフラストラクチャの構成要素
20.6 相互運用性と管理
20.7 セキュリティの神話
21 今後の動向
21.1 PDA
21.2 ピアツーピアネットワーク(Peer-to-Peer Network)
21.3 ハニーポット(Honeypot:おとり)
21.4 ストレージエリアネットワーク
21.5 あなたの努力は報われる
- 2006年05月11日
- ISMS(情報セキュリティマネジメント)
- コメント(0)
- トラックバック(0)