HOME情報セキュリティ資料・報告書・出版物出版物のご案内情報セキュリティ教本 改訂版の目次

本文を印刷する

情報セキュリティ

情報セキュリティ教本 改訂版の目次

独立行政法人情報処理推進機構
セキュリティセンター

目次

「情報セキュリティ教本 改訂版」の発刊によせて

1章 はじめに
1.ITと情報セキュリティ
  1.増大する脅威と情報セキュリティの重要性
  2.情報セキュリティのガイドライン
  3.本書の使い方
2.緊急事態発生!
  1.エピソード1【ファイル交換ソフトで情報漏えい】
  2.エピソード2【Webサイトから情報漏えい】
  3.エピソード3【ノートパソコンの紛失・盗難】
  4.エピソード4【敵は内部にいた!】
3.基本的な考え方
  1.全体を見通してみる
  2.情報資産と情報セキュリティ
  3.情報セキュリティの定義と情報セキュリティの3要素
4.情報セキュリティマネジメントシステムとPDCAサイクル
  1.ISMSとPDCAサイクル
  2.PDCAとプロセスアプローチ
  3.情報セキュリティ対策実施の成功要因

2章 情報セキュリティの組織
1.情報セキュリティの組織と体制づくり
  1.情報セキュリティ対策推進のポイント
  2.経営者の役割
  3.管理体制の構築
  4.情報セキュリティ委員会と専門家による助言
  5.情報セキュリティの推進体制
  6.違反と例外措置
2.情報セキュリティの組織と体制の例

3章 情報セキュリティポリシーのつくり方
1.情報セキュリティポリシーとは
  1.情報セキュリティポリシーの文書構成
  2.ガイドラインと実施手順
  3.適用対象範囲や規程類との関係
  4.情報セキュリティポリシー策定の流れ
2.情報セキュリティ基本方針
  1.情報セキュリティ基本方針の概要
  2.情報セキュリティ基本方針の項目例
3.情報セキュリティ対策基準
  1.管理策集(JIS Q 27002:2006)
  2.政府機関の情報セキュリティ対策のための統一基準(政府機関統一基準)
  3.地方公共団体における情報セキュリティポリシーに関するガイドライン
  4.JNSA「情報セキュリティポリシー・サンプル0.92a版」
  5.対策基準の構成と策定のポイント
4.情報セキュリティ実施手順
  1.情報セキュリティ実施手順の概要と策定の観点
  2.政府統一基準における対策基準と実施手順・ガイドラインの関係
5.情報セキュリティポリシー策定のポイント

4章 情報の分類と管理
1.情報資産の洗い出しと管理責任者の決定
  1.情報資産の洗い出し
2.情報資産洗い出しの手順
  3.情報資産のグループ分け
  4.情報資産管理台帳
  5.情報の管理責任者
2.情報資産の分類と格付け
  1.情報の分類と格付けのための基準
  2.格付けと取扱い制限の明示
  3.情報の利用者とNeed to knowの原則
3.情報のライフサイクルとその取扱い(情報の管理)
1.情報のライフサイクル
  2.情報の作成と入手
  3.情報の利用
  4.情報の保存
  5.情報の移送
  6.情報の提供
  7.情報の消去
  8.情報のライフサイクルと個人情報保護対策
4.情報の分類と管理のポイント

5章 リスクマネジメント
1.リスクマネジメントとリスクマネジメントシステム
  1.リスクとは
  2.リスクマネジメントとリスクマネジメントシステム
  3.リスクマネジメントに関する規格類
2.リスクアセスメント
  1.情報資産価値の評価
  2.脅威(threat)
  3.脆弱性(vulnerability)
  4.リスクの算定
  5.リスク評価
3.GMITSに見るリスク分析手法
  1.ベースラインアプローチ
  2.非形式的アプローチ
  3.詳細リスク分析
  4.組合せアプローチ
4.リスク対応
  1.リスクの低減(適切な管理策の採用)
  2.リスクの保有
  3.リスクの回避
  4.リスクの移転
  5.リスクの受容
  6.リスクコミュニケーション
  7.リスクマネジメントの記録
5.リスクマネジメントの例
  1.ISMSユーザーズガイドに見るリスクマネジメント
  2.政府機関統一基準に見るリスクマネジメント
  3.NISTガイドラインに見るリスクマネジメント
6.リスクマネジメントのポイント

6章 技術的対策の基本
1.技術的対策における基本的機能と脅威
  1.情報セキュリティにおける基本機能
  2.情報セキュリティにおける脅威
2.主体認証
  1.主体認証とは
  2.主体認証の方法
  3.主体認証に関する管理策
3.アクセス制御
  1.アクセス制御とは
  2.任意アクセス制御と強制アクセス制御
  3.アクセス制御に関する管理策
4.権限管理
  1.権限管理とは
  2.特権ユーザと最小権限
  3.権限管理に関する管理策
5.証跡管理(ログの管理)
  1.証跡とは
  2.ログの取得
  3.ログの保存と管理
  4.ログの点検、分析および報告
5.ログ管理に関する管理策
6.暗号と電子署名
  1.暗号と電子署名の概要
2.暗号の危殆化
  3.鍵管理
7.パソコン上のデータ保護
  1.パソコン上のデータ保護について
  2.USBメモリの暗号化について
  3.ノートパソコン上のデータの暗号化について
8.セキュリティホール対策(脆弱性対策)
  1.セキュリティホール(脆弱性)とは
  2.脆弱性対策
9.不正プログラム対策
  1.不正プログラムとは
  2.不正プログラム対策
10. サービス不能攻撃対策(DoS/DDoS攻撃対策)
1.サービス不能攻撃とは
  2.サービス不能攻撃対策
11.技術的対策の基本:まとめ

7章 セキュリティ製品とセキュリティサービス
1.セキュリティ製品の導入にあたって
2.ネットワークセキュリティ製品
1.ファイアウォール
  2.WAF(Webアプリケーションファイアウォール)
  3.IDS(侵入検知システム)とIPS(侵入防止システム)
4.VPN(Virtual Private Network)
5.検疫システム
3.認証製品
  1.PKI関連製品
2.認証サーバ
  3.ワンタイムパスワード
  4.ICカード/スマートカード
5.バイオメトリック認証(Biometric Authentication)
6.シングルサインオン(Single Sign-On)
4.データセキュリティ関連製品
  1.情報漏えい防止ソリューション
  2.メールセキュリティ
5.ウイルスなどの不正プログラム、スパム、フィッシング゙対策
1.ウイルス対策ソフトウェア、スパイウェア対策ソフトウェア
  2.スパムフィルタリングソフトウェア
  3.フィッシング対策ソフトウェア
6.その他
  1.UTM(Unified Threat Management:統合脅威管理)
2.コンテンツフィルタリングソフトウェア
  3.完全性チェックツール
  4.フォレンジックツール
7.セキュリティサービス
  1.コンサルティングサービス、セキュリティ教育など
  2.セキュリティ監視、検知、運用管理サービス
  3.電子認証サービス
  4.タイムスタンプサービス
8.製品の選定と購入

8章 導入と運用
1.導入と運用にあたって
  2.情報セキュリティポリシーの周知と徹底
  1.告知
   2.情報セキュリティ教育
3.従業員の管理と外部委託先の管理
1.従業員の管理
2.外部委託先の管理
3.ソフトウェア開発の委託
  4.事業継続管理、緊急時対応、インシデント対応
   1.緊急時対応に関する諸計画
   2.事業継続計画
   3.ケーススタディ:パソコン紛失時の対応
   4.インシデント対応:原因究明と証拠保全
   5.平時における準備
5.情報システムの導入と運用
   1.情報システムの設定と運用開始
   2.施設と環境(物理的および環境的セキュリティ)
   3.ホストセキュリティ(サーバ・端末・通信装置等に関する対策)
  4.ネットワークセキュリティ(通信回線との接続)
   5.アプリケーションセキュリティ(電子メールやWebに関する対策)
   6.バックアップ

9章 セキュリティ監視と侵入検知
1.セキュリティ監視
  1.セキュリティ監視とは
  2.脆弱性検査と侵入検知の概要
2.脆弱性検査
  1.脆弱性検査のポイント
  2.Webサイトの脆弱性検査
  3.チェックリストによるWebサイトの脆弱性検査
  4.脆弱性検査ツール
3.侵入検知
  1.侵入検知ツール
  2.Webサイトの監視・検知

10章 セキュリティ評価
1.セキュリティ評価とは
  1.セキュリティ評価の目的
  2.誰が誰を評価する?
2.情報セキュリティ対策実施状況の評価
  1.自己点検
  2.情報セキュリティ対策ベンチマーク
  3.情報セキュリティ監査
  4.ISMS適合評価制度
  5.情報セキュリティマネジメントに関する規格類
3.製品調達におけるセキュリティ評価の活用
  1.ITセキュリティ評価及び認証制度
  2.暗号モジュール試験及び認証制度(JCMVP)
4.適合性評価(Conformity Assessment)
  1.適合性評価制度の概要

11章 見直しと改善
1.見直しと改善のプロセス
2.見直しの契機と対応
  1.定期的な見直し
  2.環境の変化に伴う見直し
  3.セキュリティ事件・事故の発生に伴う見直し

12章 法令遵守
1.法蓮遵守と情報セキュリティ
2.情報セキュリティに関連する法律
  1.個人情報の保護に関する法律(個人情報保護法)
2.不正アクセス行為の禁止に関する法律(不正アクセス法)
3.不正競争防止法
4.e-文書法

13章 内部統制と情報セキュリティ
1.コーポーレートガバナンス・リスク管理・内部統制
2.金融商品取引法
3.会社法
4.内部統制に関する基準やガイドライン
5.ITへの対応

付章
1.政府機関統一基準の構成と本書の関係
2.政府機関統一基準第4部と第5部との関係

資料1 JIS Q 27002:2006箇条、セキュリティカテゴリ、管理策(タイトル)一覧
資料2 参考文献 参考URL
資料3 図表出典
索引
情報セキュリティ関連年表