はじめに
目次
本書の使い方
情報セキュリティマネジメント試験とは？

Chapter0情報セキュリティとは？
0-1 ネットワークに潜む脅威と情報セキュリティ
●情報セキュリティの目的
●情報セキュリティの3要素
●情報セキュリティの7要素
●「脅威」とはなにか

Chapter1 情報セキュリティマネジメント
1-1 リスクマネジメント
●リスクマネジメントとは「不確かさ」への備え
●リスクマネジメントに含まれる4つのプロセス
●リスク特定
●リスク分析
●リスク評価
●リスク対応
1-2 情報セキュリティ2 マネジメントシステム（ISMS）
●ISMSの概要と適合性評価制度
●ISMSと規格
●ISMSを確立して運用する流れ
●求められる組織運営
●情報セキュリティ委員会
1-3 情報セキュリティポリシ
●情報セキュリティポリシの文書構成
●基本方針（なぜ取り組むのか?）
●対策基準（なにを実施するのか?）
●実施手順（どのように実施するか?）
1-4 組織としてのセキュリティ対策
●不正のトライアングル
●CSIRT
●JPCERTコーディネーションセンター（JPCERT/CC）
1-5 利用者認証とアクセス管理
●パスワード認証
●バイオメトリクス（生体）認証
●多要素認証
●アクセス権の設定

Chapter2 ネットワーク
2-1 LANとWAN
●LANの接続形態（トポロジー）
●現在のLANはイーサネットがスタンダード
●イーサネットはCSMA/CD方式でネットワークを監視する
●クライアントとサーバ
●線がいらない無線LAN
●SSID（Service Set IDentifier）は無線LANにつける名前
2-2 プロトコルとパケット
●プロトコルとOSI基本参照モデル
●なんで「パケット」に分けるのか
2-3 ネットワークを構成する装置
●LANの装置とOSI基本参照モデルの関係
●NIC（Network Interface Card）
●リピータ
●ブリッジ
●ハブ
●ルータ
●ゲートウェイ
2-4 TCP/IPを使ったネットワーク
●TCP/IPの中核プロトコル
●IPアドレスはネットワークの住所なり
●グローバルIPアドレスとプライベートIPアドレス
●DHCPは自動設定する仕組み
●NATとIPマスカレード
●ドメイン名とDNS
●IPv6（Internet Protocol Version 6）
●ネットワークを診断するプロトコル
2-5 ネットワーク上のサービス
●代表的なサービスたち
●サービスはポート番号で識別する
2-6 WWW（World Wide Web）
●Web サーバに、「くれ」と言って表示する
●WebページはHTMLで記述する
●URLはファイルの場所を示すパス
●Webサーバから返されるHTTPステータスコードたち
2-7 電子メール
●メールアドレスは、名前@住所なり
●メールの宛先には種類がある
●電子メールを送信するプロトコル（SMTP）
●電子メールを受信するプロトコル（POP）
●電子メールを受信するプロトコル（IMAP）
●電子メールを暗号化して送受信するプロトコル
●SMTPの送信者認証
●送信ドメイン認証
●MIME（Multipurpose Internet Mail Extensions）
●電子メールのメッセージ形式

Chapter3 コンピュータウイルスとマルウェア
3-1 マルウェア
●コンピュータウイルスを定義づける3つの機能
●マルウェアの分類
●ボット
●その他のマルウェア
3-2 マルウェアの感染経路
●媒体（メディア）を介する感染
●ネットワークの利用による感染
3-3 マルウェア対策と感染後の対応
●ウイルス対策ソフトと定義ファイル
●ヒューリスティック検知
●サンドボックス
●マルウェアの予防と感染時の対処
●セキュアブート

Chapter4 サイバー攻撃手法とセキュリティ対策
4-1 攻撃の動機と、多様化する攻撃者たち
●攻撃の動機
●攻撃者の種類
●脆弱性の種類
4-2 攻撃の準備
●フットプリンティングとポートスキャン
4-3 パスワードクラック
●ブルートフォース攻撃
●辞書攻撃
●リバースブルートフォース攻撃
●パスワードリスト攻撃
●レインボー攻撃
4-4 盗聴
●スニッフィング
●電波の傍受
●キーボードロギング
4-5 なりすまし
●中間者（MITM: Man-in-the-middle）攻撃
●MITB（Man-in-the-browser）攻撃
●第三者中継
●DNSキャッシュポイズニング
4-6 スクリプト攻撃
●クロスサイトスクリプティング
●ドライブバイダウンロード
●SQLインジェクション
●ディレクトリトラバーサル
4-7 サービス妨害
●DoS（Denial of Service）攻撃
●DDoS（Distributed Denial of Service）攻撃
4-8 その他の攻撃手法
●バッファオーバーフロー攻撃
●標的型攻撃
●水飲み場攻撃
●フィッシング
●ゼロデイ攻撃
●ソーシャルエンジニアリング
4-9 ネットワークのセキュリティ対策
●ファイアウォール
●パケットフィルタリング
●アプリケーションゲートウェイ
●WAF（Web Application Firewall）の設置位置
●DMZ（DeMilitarized Zone）
●IDS（Intrusion Detection System）
●IPS（Intrusion Prevention System）
●ハニーポット
●ペネトレーションテスト
●ファジング
4-10情報漏えいに対する備えと機器管理
●情報機器の保護
●BYODとシャドーIT
●DLP（Data Loss Prevention）
●耐タンパ性
4-11 セキュリティ関連用語
●CAPTCHA
●ステガノグラフィ
●デジタルフォレンジックス
●CVSS（Common Vulnerability Scoring System）
●JVN（Japan Vulnerability Notes）
●PCI DSS
●バックドア

Chapter5 暗号と認証
5-1 暗号化技術とデジタル署名
●盗聴・改ざん・なりすましの危険
●暗号化と復号
●共通鍵暗号方式と公開鍵暗号方式
●暗号の危殆化
●CRYPTREC（Cryptography Research and Evaluation Committees）
5-2 共通鍵暗号方式
●共通鍵暗号方式で用いる鍵の数
●共通鍵暗号方式で用いられる代表的な暗号アルゴリズム
5-3 公開鍵暗号方式
●公開鍵暗号方式の特徴
●公開鍵暗号方式で用いる鍵の数
●公開鍵暗号方式で用いられる代表的な暗号アルゴリズム
5-4 ハイブリッド暗号方式
●ハイブリッド暗号方式で行う暗号化手順
5-5 デジタル署名
●署名鍵と検証鍵
●メッセージダイジェストの生成
●代表的なハッシュ関数
●メッセージ認証符号（MAC）
5-6 公開鍵基盤（PKI）
●認証局（CA）とデジタル証明書
●認証局の階層構造
5-7 通信経路の暗号化
●SSL（Secure Sockets Layer）は代表的な暗号化プロトコル
●VPN（Virtual Private Network）
●IPsec（Security Architecture for Internet Protocol）

Chapter6 データベース
6-1 DBMSと関係データベース
●関係データベースは表、行、列で出来ている
●表を分ける「正規化」という考え方
●関係演算とビュー表
●主キーは行を特定する鍵のこと
●外部キーは表と表とをつなぐ鍵のこと
6-2 トランザクション管理と排他制御
●トランザクションとは処理のかたまり
●排他制御とはロックする技
●トランザクションに求められるACID特性
6-3 データベースの障害管理
●更新はトランザクション単位で行うのです
●コミットはトランザクションを確定させる
●ロールバックはトランザクションを巻き戻す
●データベースを復旧させるロールフォワード
6-4 データベースの応用
●ビッグデータ

Chapter7 システム開発
7-1 システム化計画
●共通フレーム2013のプロセス体系
●要件定義プロセスの機能要件と非機能要件
●システム開発のV字モデル
7-2 調達の流れ
●契約締結に至るまでの流れと取り交わす文書

Chapter8 システム構成と故障対策
8-1 コンピュータを働かせるカタチの話
●シンクライアントとピアツーピア
●3層クライアントサーバシステム
●オンライントランザクション処理とバッチ処理
●ソフトウェアによる自動化（RPA）
●クラウドコンピューティング
8-2 システムの性能指標
●スループットはシステムの仕事量
●レスポンスタイムとターンアラウンドタイム
8-3 システムを止めない工夫
●デュアルシステム
●デュプレックスシステム
●ストレージの多重化（RAID）
8-4 システムの信頼性と稼働率
●RASIS（ラシス）
●平均故障間隔（MTBF：Mean Time Between Failures）
●平均修理時間（MTTR：Mean Time To Repair）
●システムの稼働率
●「 故障しても耐える」という考え方
8-5 転ばぬ先のバックアップ
●バックアップの方法

Chapter9 システム周りの各種マネジメント
9-1 プロジェクトマネジメント
●定常業務とプロジェクトのちがいとプロジェクトライフサイクル
●作業範囲を把握するためのWBS
9-2 スケジュール管理とアローダイアグラム
●アローダイアグラム（PERT図）の書き方
●全体の日数はどこで見る?
●最早結合点時刻と最遅結合点時刻
●クリティカルパス
9-3 ITサービスマネジメント
●SLA（Service Level Agreement）
●サービスサポート
●サービスデスクの組織構造
●サービスデリバリ
●事業継続計画（BCP：Business Continuity Plan）
●ファシリティマネジメント
9-4 システム監査
●内部統制
●システム監査人と監査の依頼者、被監査部門の関係
●システム監査の手順
●システムの可監査性
●監査報告とフォローアップ

Chapter10企業と法務
10-1 知的財産権
●著作権
●産業財産権
●法人著作権
●著作権の帰属先
●不正競争防止法
10-2 セキュリティ関連法規
●サイバーセキュリティ基本法
●不正アクセス禁止法
●個人情報保護法とプライバシーマーク
●プロバイダ責任制限法
●特定電子メール法
●電子署名法
●刑法
10-3 労働・取引関連法規
●労働基準法
●労働者派遣法
●外部企業による労働力の提供形態と指揮命令系統
10-4 その他の法律やガイドライン
●製造物責任法（PL法）
●電子帳簿保存法
●e-文書法
●シュリンクラップ契約
●ボリュームライセンス契約

Chapter11 企業活動とお金の話
11-1 企業活動と組織のカタチ
●代表的な組織形態と特徴
●組織における役職
●サイバーセキュリティ経営ガイドライン
●BPO（Business Process Outsourcing）
●グリーン購入
●CSR調達
11-2 財務諸表は企業のフトコロ具合を示す
●貸借対照表
●損益計算書
●固定資産と減価償却
●様々な財務指標

Chapter12 科目B試験対策
●科目B問題の特徴
●科目B問題の構成
●科目B問題の読み解き方
●問題演習 その1
●問題演習 その2
●まとめ

過去問に挑戦！
索引