IPA(Information Technology Promotion Agency:独立行政法人 情報処理推進機構)のISEC(IT SEcurity Center:セキュリティセンター)のスタッフの執筆により2007年7月に発行されていた情報セキュリティ責任者・担当者のための教科書情報セキュリティ教本」が2009年3月に改訂発行されています。


情報システムは、今日、どんな組織においても業務遂行を進める上で必要不可欠な基本的インフラとなっています。


そこでその情報システムが確実に安定した状態でその機能を提供できるために情報セキュリティ管理の位置づけが極めて重要なものになっています。


本書では、企業・学校・政府機関・団体等の情報セキュリティの担当者、責任者、部門長、経営者といった読者を対象にして、組織において、情報セキュリティ管理をどのように行えばよいかといった点について、さまざまな事例を交え解説しています


とくに、情報セキュリティの担当者、責任者として知っておくべき基本的事項が体系的に網羅的に取り上げられ教科書的な分かり易い構成にて解説されています。


「「情報セキュリティ教本 改訂版」の発刊に寄せて」と題して、本書の冒頭で山口 英 教授(内閣官房情報セキュリティ補佐官 奈良先端科学技術大学院大学 情報科学研究科 教授)が一般に人は、楽観的で、単純反復作業に向かず、元来なまけものといった特質を備えているのでその特質を理解して情報セキュリティ対策の実施プロセスを産み出すことが必要と述べ、以下のように述べています。


「第一に、「なぜ情報セキュリティ対策をやらなければならないのか?」という問いに対して、建前やきれい事ではない、根源的な理由を提示することが必要である。

 第二に、怠け者で単純反復作業を嫌い、元来楽観的である人間でも、継続的に取り組むための枠組みを考えることだ。やりたくない人でも、ついつい情報セキュリティ対策をやってしまうような、創意工夫に富んだ、実施方法を設計・実装しなければならない。

 第三に、徹底して調査、計測し、対策状況を可視化することだ。人は、成果の見えない物事はやりたがらない。であるならば、対策状況を可視化することで、成果を目に見えるようにしてしまえば良い。

 第四に、組織構成員全員を対象として、情報セキュリティについての効果的な教育プログラムを提供することだ

 読者の皆さんが、問題に気づき、より良い対策の実装の手助けとなることを目標として、本書はまとめられたこの充実した内容は、現時点でのベストプラクティスの一つである。これを使わない手はない。読者の皆さんの積極的な活用を切にお願いする。」


<<ポイント>>


組織の情報セキュリティの担当者、責任者、部門長、経営者のための情報セキュリティ対策実践の手引き書


本書では、PDCAサイクルに沿って情報セキュリティ対策の手順が解説されています。


情報セキュリティの組織と体制づくりにはじまり、


  • セキュリティポリシーのつくり方
  • 情報の管理
  • リスクマネジメント
  • 技術的対策の基本
  • 導入と運用のポイント
  • 脆弱性検査
  • セキュリティ評価

などについて、基本的な事項を丁寧に分かり易く解説しています。


とくにPDCAサイクルの中で重要ポイントについて現場での実践に活用できるといった観点から解説が進められています。


本書:「情報セキュリティ教本 改訂版」です。


組織の情報セキュリティ対策実践の手引き」との副題が付いています。


Handbok for CISO and Information Security Professionals」との英題が付いています。


「CISO(:企業内で情報セキュリティを統括する担当役員)と情報セキュリティの専門家のためのハンドブック」ということになります。


本書は、著者:情報処理推進機構(IPA)、ならびに土居 範久 先生の監修にて、2009年3月に実教出版より発行されています。


本書は、IPAによる「情報セキュリティ読本 改訂版」の姉妹本になります。


情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
実教出版
発売日:2009-03
発送時期:在庫あり。
ランキング:27317

<<本書のエッセンスの一部>>


本書は、12章から構成されています。


各章の最後でその章のポイントをまとめており、そこでその章をレビューできるという構成になっています。


またコラムの欄があり、例えば、「スパムメール対策」といったテーマなどについて具体的な対策法などを解説しています。


その章に関連するweb情報について、ネットで情報が得られるようにその参考のURLが掲載されています。


巻末に1985年から2007年までの情報セキュリティ事件・事故、IT関連の出来事、社会の出来事などが一覧でまとめられた情報セキュリティ関連年表が掲載されています。


本書で記載されている情報セキュリティの管理策は、基本的には、政府機関統一基準をベースとしたものとなっています。


ただ政府機関統一基準だけではなく、ISO/IEC 27000シリーズ等の国際標準やその他のガイドライン、IPAのホームページ上で掲載されている多くの対策実践情報なども参照されています。


またコンプライアンスの観点からどのようなセキュリティ対策を行なえばよいかといった内容も取り上げています


ざっとした概要を紹介します。


1章では、「はじめに
と題して、ITと情報セキュリティといった話題ではじまり、情報セキュリティの重要性、ガイドライン、本書の使い方に触れた上で、情報セキュリティを脅かす「ファイル交換ソフトで情報漏洩」といった4つの緊急事態の事例を取り上げ、それぞれについてどう予防したらよいかをまとめています。


上記の緊急事態について総括し、情報セキュリティ対策の基本的な考え方、情報資産、情報セキュリティの定義と情報セキュリティの3要素 などの基本を解説しています。


さらに情報セキュリティマネジメントシステム(ISMS)とPDCAサイクル、プロセスアプローチ、情報セキュリティ対策実施の成功要因をまとめ解説しています。


2章では、「情報セキュリティの組織
と題して、情報セキュリティ対策を進める上での組織と体制作りについて解説しています。


とくに経営者の役割、管理体制の構築 、情報セキュリティ委員会と専門家による助言、情報セキュリティの推進体制、違反と例外処置といった内容について留意すべきポイントをまとめ分かり易く、また組織と体制の事例(A社)を交えて解説しています。


3章では、「情報セキュリティポリシーのつくり方
と題して、情報セキュリティポリシーの定義の確認にはじまり、情報セキュリティポリシーの文書構成 、ガイドラインと実施手順、適用対象範囲や規程類との関係、情報セキュリティポリシー策定の流れなどをまず解説しています。


次いで情報セキュリティ基本方針、情報セキュリティ対策基準(管理策集(JIS Q 27002:2006)/政府機関の情報セキュリティ対策のための統一基準(政府機関統一基準)/地方公共団体における情報セキュリティポリシーに関するガイドライン/JNSA「情報セキュリティポリシー・サンプル0.92a版」/対策基準の構成と策定のポイント)、情報セキュリティ実施手順、について解説しています。


4章では、「情報の分類と管理
と題して、情報資産の洗い出し、管理責任者の決定、情報資産の分類と格付け、情報のライフサイクル(「情報の作成と入手」→「情報の利用」→「情報の保存」→「情報の移送」→「情報の提供」→「情報の消去」)と個人情報保護対策とその取扱い(情報の管理)といった取組についての手順と管理について解説しています。


5章では、「リスクマネジメント
と題して、リスクの定義にはじまり、リスクマネジメントリスクマネジメントシステム、リスクアセスメント、GMITSに見るリスク分析手法、リスク対応といった内容について解説しています。


リスクマネジメントの例について、ISMSユーザーズガイド、政府機関統一基準、NISTガイドラインの各手法について解説しています。


6章では、「技術的対策の基本
と題して、政府統一基準第四部の管理策をベースとした管理策の基本的な機能と脅威について解説しています。


とくに情報セキュリティの機能について、「主体認証」、「アクセス制御」、「権限管理」、「証跡管理(ログの管理)」、「暗号と電子署名」について解説しています。


また情報セキュリティについての脅威については、「セキュリティホール対策(脆弱性対策)」、「不正プログラム対策」、「サービス不能攻撃対策(DoS/DDoS攻撃対策)」について解説しています。


7章では、「セキュリティ製品とセキュリティサービス
と題して、さまざまなセキュリティ製品とセキュリティサービスのなかから代表的なものを取り上げ解説しています。


ネットワークセキュリティ製品については、ファイアウォール、WAF(Webアプリケーションファイアウォール) 、IDS(侵入検知システム)とIPS(侵入防止システム)、VPN(Virtual Private Network)、検疫システムについて解説しています。


認証製品については、PKI関連製品、認証サーバ、ワンタイムパスワード、ICカード/スマートカード 、バイオメトリック認証(Biometric Authentication)、シングルサインオン(Single Sign-On)について解説しています。


データセキュリティ関連製品については、情報漏えい防止ソリューション、メールセキュリティについて解説しています。


ウイルスなどの不正プログラム、スパム、フィッシング゙対策について、関連するソフトウェアの概要を、その他として、UTM(Unified Threat Management:統合脅威管理)、コンテンツフィルタリングソフトウェア、完全性チェックツール、フォレンジックツールについて、セキュリティサービスについては、コンサルティングサービス、セキュリティ教育など、セキュリティ監視、検知、運用管理サービス、電子認証サービス、タイムスタンプサービスなどを解説しています。


8章では、「導入と運用
と題して、前章までのplanからdo段階の取組の導入と運用について解説しています。


「情報セキュリティポリシーの周知と徹底」 、「従業員の管理と外部委託先の管理」、「事業継続管理、緊急時対応、インシデント対応」、「情報システムの導入と運用」などに関わる取組についての具体的な要領を解説しています。

9章では、「セキュリティ監視と侵入検知
と題して、システムのcheckにあたるセキュリティ監視について、脆弱性検査侵入検知についての概要とそのポイントについて解説しています。


脆弱性検査については、脆弱性検査のポイントからはじまり、Webサイトの脆弱性検査、チェックリストによるWebサイトの脆弱性検査、脆弱性検査ツールについて解説しています。


また 侵入検知については、侵入検知ツール、Webサイトの監視・検知といった点について解説しています。


10章では、「セキュリティ評価
と題して、システムのcheckに関わる公的な規格や標準に基づくセキュリティ評価について、その概要および実施方法等について解説しています。

情報セキュリティ対策実施状況の評価については、自己点検、情報セキュリティ対策ベンチマーク、情報セキュリティ監査、ISMS適合評価制度、情報セキュリティマネジメントに関する規格類といった内容を解説しています。


また製品調達におけるセキュリティ評価の活用については、ITセキュリティ評価及び認証制度、暗号モジュール試験及び認証制度(JCMVP)について、さらに適合性評価(Conformity Assessment)についてその概要を解説しています。


11章では、「見直しと改善
と題して、システムのactionに関わる情報セキュリティポリシーの見直しと改善のプロセスについて、定期的な見直し、環境の変化に伴う見直し、セキュリティ事件・事故の発生に伴う見直しといった観点から解説しています。


12章では、「法令遵守
と題して、刑法、著作権法、不正アクセス禁止法、不正競争防止法、電子署名法、eー文書法、個人情報保護法といった情報セキュリティに関わる法令遵守について解説しています。


とくに情報セキュリティに関連する法律として、個人情報の保護に関する法律(個人情報保護法) 、不正アクセス行為の禁止に関する法律(不正アクセス法)、不正競争防止法、e-文書法について解説しています。


また内部統制と情報セキュリティとして、コーポーレートガバナンス・リスク管理・内部統制、金融商品取引法、会社法、内部統制に関する基準やガイドライン、ITへの対応といった内容を解説しています。


また付章として、「政府統一基準と本書の関係
と題して、以下の説明、参考資料が掲載されています。


1.政府機関統一基準の構成と本書の関係
2.政府機関統一基準第4部と第5部との関係
資料1 JIS Q 27002:2006箇条、セキュリティカテゴリ、管理策(タイトル)一覧
資料2 参考文献 参考URL
資料3 図表出典


<<本書で何が学べるか?>>


本書では、組織として、情報セキュリティ対策として実施すべき活動とそれをどのようにして実行すればようかという点についてPlan、Do、Check、ActionというPDCAのマネジメントサイクルに沿って、最新の情報セキュリティのツールなどのさまざまな事例を交えながら、具体的にわかりやすく解説しています


まさに組織の情報セキュリティの担当者、責任者、部門長、経営者のための情報セキュリティ対策実践の手引き書=教科書に相応しく充実した内容です


本書には、また組織に情報セキュリティ対策実践のハンドブックとして情報セキュリティ対策のために必要な情報が網羅されています。


<<まとめ>>


組織における情報セキュリティの担当者、責任者だけでなく、情報セキュリティに関心があるビジネスパースンには、読んで頂きたい一冊です


なお本書の主要目次は、以下の内容です。
「情報セキュリティ教本 改訂版」の発刊によせて
1章 はじめに
1.ITと情報セキュリティ
2.緊急事態発生!
3.基本的な考え方
4.情報セキュリティマネジメントシステムとPDCAサイクル
2章 情報セキュリティの組織
1.情報セキュリティの組織と体制づくり
2.情報セキュリティの組織と体制の例
3章 情報セキュリティポリシーのつくり方
1.情報セキュリティポリシーとは
2.情報セキュリティ基本方針
3.情報セキュリティ対策基準
4.情報セキュリティ実施手順
5.情報セキュリティポリシー策定のポイント
4章 情報の分類と管理
1.情報資産の洗い出しと管理責任者の決定
2.情報資産の分類と格付け
3.情報のライフサイクルとその取扱い(情報の管理)
5章 リスクマネジメント
1.リスクマネジメントとリスクマネジメントシステム
2.リスクアセスメント
3.GMITSに見るリスク分析手法
4.リスク対応
5.リスクマネジメントの例
6.リスクマネジメントのポイント
6章 技術的対策の基本
1.技術的対策における基本的機能と脅威
2.主体認証
3.アクセス制御
4.権限管理
5.証跡管理(ログの管理)
6.暗号と電子署名
7.パソコン上のデータ保護
8.セキュリティホール対策(脆弱性対策)
9.不正プログラム対策
10. サービス不能攻撃対策(DoS/DDoS攻撃対策)
11.技術的対策の基本:まとめ
7章 セキュリティ製品とセキュリティサービス
1.セキュリティ製品の導入にあたって
2.ネットワークセキュリティ製品
3.認証製品
4.データセキュリティ関連製品
5.ウイルスなどの不正プログラム、スパム、フィッシング゙対策
6.その他
7.セキュリティサービス
8.製品の選定と購入
8章 導入と運用
1.導入と運用にあたって
2.情報セキュリティポリシーの周知と徹底
3.従業員の管理と外部委託先の管理
4.事業継続管理、緊急時対応、インシデント対応
5.情報システムの導入と運用
9章 セキュリティ監視と侵入検知
1.セキュリティ監視
2.脆弱性検査
3.侵入検知
10章 セキュリティ評価
1.セキュリティ評価とは
2.情報セキュリティ対策実施状況の評価
3.製品調達におけるセキュリティ評価の活用
4.適合性評価(Conformity Assessment)
11章 見直しと改善
1.見直しと改善のプロセス
2.見直しの契機と対応
12章 法令遵守
1.法令遵守と情報セキュリティ
2.情報セキュリティに関連する法律
3 内部統制と情報セキュリティ

付章 政府機関統一基準と本書の関係
資料1 JIS Q 27002:2006箇条、セキュリティカテゴリ、管理策(タイトル)一覧
資料2 参考文献 参考URL
資料3 図表出典
索引
情報セキュリティ関連年表




にほんブログ村 本ブログへ



(広告)


WILLCOM NS WS026T


ウィルコムストア


「ISOの本棚」ページのトップへ!


RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク
Add a comment

名前:
URL:
  情報を記憶: 評価:  顔   星
 
 
 

Google 翻訳
Categories
運営者情報
track word
Profile
旅行なら
<

簡単検索
全国のホテルをあなた
好みで検索できます。
■日程
チェックイン
チェックアウト

■1部屋あたりのご利用人数
大人
小学校高学年
小学校低学年
幼児
(食事・布団付)
幼児(食事のみ)
幼児(布団のみ)
幼児
(食事・布団不要)

■部屋数 部屋

■宿泊料金の範囲
■地域を選択する
  
QRコード
QRコード
あわせて読みたい
あわせて読みたいブログパーツ
RSS


【このページをRSSリーダーに登録する!】
Googleに追加
My Yahoo!に追加
livedoor Readerに追加
はてなRSSに追加
goo RSSリーダーに追加
Bloglinesに追加
Technoratiに追加
PAIPOREADERに追加
newsgatorに追加
feedpathに追加

track feed ISOの本棚

  • seo