2023年4月からの新試験制度に完全対応！ ４年連続売上No.1のベストセラー学習書！ 初心者でも挫折しない学習書。入門から合格までていねいに導きます。 2023年４月からの新試験制度に完全対応！ 情報セキュリティマネジメント試験が、2023年４月から、毎日・何度でも受験できるようになります。 全国にある試験会場で、コンピュータに向かって行うCBT方式で受験します。 午前試験・午後試験が、科目Ａ・科目Ｂから構成された１つの試験になり、試験時間や問題数も変わります。 本書はこの新しい試験に対応した学習書です。 【本書をおすすめする理由】 （1）「初心者が挫折しない本」をコンセプトにした入門書 「知ってて当然」の表現をなくし、初心者にとって難解な専門用語を、ていねいに、やさしく説明。 （2）合格に必要な、最低限の知識のみに絞り、効率よく学習できる 過去問題の分析により「出るとこ、出ないとこ」を見極め、合格のために過不足のない「出るとこだけ」を掲載。 （3）「読めば分かる」という方法では、通用しない科目Ｂの長文対策 序章１では「読んでも分からない」長文問題への対策法を詳しく解説。 序章２ではウイルス感染時の初動対応など、問われる考え方を列挙。 （4）科目Ａ、科目Ｂの予想問題を掲載 科目Ａ 48問、科目Ｂ 12問の予想問題を巻末に収録。 （5）コンピュータ上での試験への備えも万全 全８回分の過去問題〈午前〉と予想問題〈科目Ａ〉をコンピュータ上で解けるWebアプリ付き。 スマホでも使えるので、スキマ時間での学習に最適。 （6）著者は、情報処理技術者試験の試験対策の専門家 プロだから分かる「初心者が分からなくなるポイント」を補うために、似て非なる用語の違いも明示。納得しながら学習できる。 （7）全過去問題の解説をダウンロード可。これ１冊で過去問題集としても使える 全８回分の過去問題〈午前〉の解説PDFファイルをWebダウンロードで提供。 ３段階の難易度アイコンを掲載し、復習すべき問題と、無視してよい難問・悪問とを区別でき、効率よく学習できる。 ※PDFのダウンロード期限・Webアプリの利用期限は、2023年12月31日です。 ファイナルチェックシート 情報セキュリティマネジメント試験とは 　試験の背景 　科目Ａ試験 傾向と対策 　科目Ｂ試験 傾向と対策 　本書の使い方 　情報セキュリティとは 序章１　科目Ｂ トラップ対策 　科目Ｂの特徴と対策法 　科目Ｂ対策１ 下部から上部へとたどる 　科目Ｂ対策２ 問題文の一部と問題文の一部を対応付ける 　科目Ｂ対策３ 選択肢の内容の過不足に注意する 　科目Ｂ対策４ 時系列で内容を整理する 序章１　科目Ｂ 虎の巻 　科目Ｂ 虎の巻とは 　科目Ｂ 虎の巻 第１章　サイバー攻撃手法 　1-1　サイバー攻撃 　1-2　マルウェア 　1-3　パスワードクラック 　1-4　不正アクセス・盗聴 　1-5　なりすまし 　1-6　DoS攻撃 　1-7　Web攻撃 　1-8　スクリプト攻撃 　1-9　標的型攻撃 　1-10　その他の攻撃手法 第２章　暗号と認証 　2-1　暗号とは 　2-2　共通鍵暗号方式 　2-3　公開鍵暗号方式 　2-4　ハイブリッド暗号 　2-5　ディジタル署名 　2-6　公開鍵基盤 　2-7　暗号技術 　2-8　認証技術 　2-9　利用者認証 　2-10　生体認証技術 第３章　情報セキュリティ管理 　3-1　情報セキュリティ管理 　3-2　情報セキュリティポリシ 　3-3　リスクマネジメント 　3-4　情報セキュリティ管理の実践 第４章　情報セキュリティ対策 　4-1　脅威 　4-2　人的セキュリティ対策 　4-3　技術的セキュリティ対策 　4-4　物理的セキュリティ対策 第５章　情報セキュリティ製品 　5-1　ウイルス対策ソフト 　5-2　ファイアウォール 　5-3　DMZ 　5-4　IDS・IPS 　5-5　WAF 　5-6　VPN・VLAN 　5-7　無線LAN 　5-8　その他の製品 第６章　セキュリティ関連法規 　6-1　知的財産権 　6-2　セキュリティ関連法規 　6-3　労働関連法規 第７章　テクノロジ系 　7-1　システム構成要素 　7-2　データベース 　7-3　ネットワーク 第８章　マネジメント系 　8-1　プロジェクトマネジメント 　8-2　サービスマネジメント 　8-3　システム監査 第９章　ストラテジ系 　9-1　システム戦略 　9-2　システム企画 　9-3　企業活動 予想問題 　予想問題〈科目Ａ〉 　予想問題〈科目Ｂ〉 【付録１ Webアプリ】 ・予想問題〈科目Ａ〉 ・令和元年 秋期試験 解説 ・平成31年 春期試験 解説 ・平成30年 秋期試験 解説 ・平成30年 春期試験 解説 ・平成29年 秋期試験 解説 ・平成29年 春期試験 解説 ・平成28年 秋期試験 解説 ・平成28年 春期試験 解説 【付録２ ダウンロードPDF】 ・令和元年 秋期試験 解説 ・平成31年 春期試験 解説 ・平成30年 秋期試験 解説 ・平成30年 春期試験 解説 ・平成29年 秋期試験 解説 ・平成29年 春期試験 解説 ・平成28年 秋期試験 解説 ・平成28年 春期試験 解説 ・「組織における内部不正防止ガイドライン」のポイント

3年連続売上No.1！ 初心者でもこれ1冊で万全の試験対策 初心者でも挫折しない学習書。入門から合格までていねいに導きます。 Webアプリ付きで、CBT試験の演習に最適！ 【こんな方へおすすめ！】 ・とにかく合格したい人 ・時間がないので、パパッと効率よく学習したい人 ・他の学習書を難しいと感じた人 【本書をおすすめする理由】 （1）「初心者が挫折しない本」をコンセプトにした入門書 「知ってて当然」の表現をなくし、初心者にとって難解な専門用語を、ていねいに、やさしく説明。 （2）合格に必要な、最低限の知識のみに絞り、効率よく学習できる 過去問題の分析により「出るとこ、出ないとこ」を見極め、合格のために過不足のない「出るとこだけ」を掲載。 （3）「読めばわかる」という方法では、通用しない午後問題の長文対策 「読んでもわからない」長文問題への対策法を、序章・過去問題の解説に収録。 （4）CBT試験の備えも万全 令和2年度から導入されたCBT試験（コンピュータで行う試験）の申込みや受験時の注意点・便利な機能を説明。 過去全８回分の午前問題を画面上で解けるWebアプリ付き。スマホでも使えるのでスキマ時間での学習に最適。 （5）著者は、情報処理技術者試験の試験対策の専門家 プロだから分かる「初心者が分からなくなるポイント」を補うために、似て非なる用語の違いも明示。納得しながら学習できる。 （6）暗記学習に便利な赤いシート付き 色文字を隠しながら読めるので、重要用語をスイスイ暗記できる。 （7）全過去問題の解説をダウンロード可。これ1冊で過去問題集としても使える 平成28年春期から令和元年秋期まで全8回分の解答解説PDFをWebダウンロードで提供。 午前問題の解説では、3段階の難易度アイコンを掲載。 復習すべき問題と無視してよい難問・悪問とを区別でき、効率よく学習できる。 過去問題の解説では、おちいりやすい罠（ワナ）とその対策法も詳しく説明。得点力が身に付く。 ※PDFのダウンロード期限は、2022年12月31日です。 【目次】 序章 午後問題の対策 第1章 サイバー攻撃手法 第2章 暗号と認証 第3章 情報セキュリティ管理 第4章 情報セキュリティ対策 第5章 情報セキュリティ製品 第6章 セキュリティ関連法規 第7章 テクノロジ系 第8章 マネジメント系 第9章 ストラテジ系 予想問題 ファイナルチェックシート 情報セキュリティマネジメント試験とは CBT方式 申込みから受験まで 試験の背景 午前問題 傾向と対策 午後問題 傾向と対策 本書の使い方 情報セキュリティとは 序章　午後問題の対策 午後問題の特徴と対策法 午後対策1　否定による言い換え 午後対策2　見つけにくい対応関係 午後対策3　分かりにくい説明文 午後対策4　ミスを誘う選択肢 第1章　サイバー攻撃手法 1-1　サイバー攻撃 1-2　マルウェア 1-3　パスワードクラック 1-4　不正アクセス・盗聴 1-5　なりすまし 1-6　DoS攻撃 1-7　Web攻撃 1-8　スクリプト攻撃 1-9　標的型攻撃 1-10　その他の攻撃手法 第2章　暗号と認証 2-1　暗号とは 2-2　共通鍵暗号方式 2-3　公開鍵暗号方式 2-4　ハイブリッド暗号 2-5　ディジタル署名 2-6　公開鍵基盤 2-7　暗号技術 2-8　認証技術 2-9　利用者認証 2-10　生体認証技術 第3章　情報セキュリティ管理 3-1　情報セキュリティ管理 3-2　情報セキュリティポリシ 3-3　リスクマネジメント 3-4　情報セキュリティ管理の実践 第4章　情報セキュリティ対策 4-1　脅威 4-2　人的セキュリティ対策 4-3　技術的セキュリティ対策 4-4　物理的セキュリティ対策 第5章　情報セキュリティ製品 5-1　ウイルス対策ソフト 5-2　ファイアウォール 5-3　DMZ 5-4　IDS・IPS 5-5　WAF 5-6　VPN・VLAN 5-7　無線LAN 5-8　その他の製品 第6章　セキュリティ関連法規 6-1　知的財産権 6-2　セキュリティ関連法規 6-3　労働関連法規 第7章　テクノロジ系 7-1　システム構成要素 7-2　データベース 7-3　ネットワーク 第8章　マネジメント系 8-1　プロジェクトマネジメント 8-2　サービスマネジメント 8-3　システム監査 第9章　ストラテジ系 9-1　システム戦略 9-2　システム企画 9-3　企業活動 予想問題 問題〈午前〉 解説〈午前〉 問題〈午後〉 解説〈午後〉 【ダウンロードPDF】 ・令和元年 秋期試験 解説〈午前・午後〉 ・平成31年 春期試験 解説〈午前・午後〉 ・平成30年 秋期試験 解説〈午前・午後〉 ・平成30年 春期試験 解説〈午前・午後〉 ・平成29年 秋期試験 解説〈午前・午後〉 ・平成29年 春期試験 解説〈午前・午後〉 ・平成28年 秋期試験 解説〈午前・午後〉 ・平成28年 春期試験 解説〈午前・午後〉 ・「組織における内部不正防止ガイドライン」のポイント

想定模擬試験で新方式に対応！　変わらぬ確かな知識と技能を届ける「情報セキュリティマネジメント試験」問題集の決定版！ 【新方式をシミュレーション！　充実の模擬試験問題を掲載】 情報セキュリティマネジメント試験は令和5年度から新方式で行われ、従来の午前・午後二部構成の試験は、知識を問う「科目A」と技能を問う「科目B」に再編されます。また、これまでの受験期間は年2回設けられていましたが、来年度からは通年での受験が可能になります。 試験方式は変わりますが、試験で問われる知識はこれまでどおりです。本書ではこれまでの出題などをもとに、実際の試験を想定した模擬試験問題を掲載。従来の午前試験の方式を踏襲する科目Aの問題はもちろん、新方式である科目Bの模擬問題も収録します。試験方式が変わっても、確実に合格をつかみとる手助けをします！ 【問われる知識は変わらない！　ジャンル別トレーニングで徹底対策】 試験で問われる知識が変わらないなら、合格の近道は過去問のやり込みです。これまでの午前試験問題をもとに、知識を身につけるためのジャンル別練習問題を用意。解けば解くだけ力になります。 【豊富な蓄積にもとづく試験分析】 巻頭では公開されている試験情報をもとにした試験の傾向と対策を掲載。IPAが公表している資料と合わせて重要な分野をおさえます。さらに、科目Aで頻出となる知識や、独自の分析にもとづく問題の難易度も設定（科目Aのみ）。効率良く試験勉強を進められます。 【多様なニーズに応える充実の購入者特典】 本書の購入者は「過去問題＋予想問題PDFファイル」「要点整理book」「プロが教える！　よくわかる動画解説」の三つの特典をご利用いただけます。知識の理解をさまざまな角度から強力にアシストします。 ●特典1 これまでの出題履歴が丸わかり「過去問題＋予想問題PDFファイル」 平成28年度春期から令和元年度秋期までの全8回＋予想問題3回の、合計11回分の試験問題をダウンロード提供（午前試験問題のみ）。書籍掲載分と合わせて800問以上の問題を解くことができます。 ●特典2 スキマ時間も有効活用「要点整理book」 これまで問われた用語を中心に、重要キーワードの意味をまとめて解説しています。スマホから閲覧できるので、移動時間などのちょっとしたすき間を使って得点力をアップできます。 ●特典3 プロの講義を体験できる「プロが教える！よくわかる動画解説」 科目Aで頻出の用語を著者自身が丁寧に解説します。再生するだけで自然と合格のための知識が頭に入ってきます。 ## 情報セキュリティマネジメント試験とは？ ## 試験のスケジュールと申込み ## 試験方式 ## 試験の傾向と対策 ## IPAの資料から読み解く情報セキュリティ動向 ## 直前対策！頻出キーワード # 模擬問題1 ## 科目A（問題、解答・解説） ## 科目B（問題、解答・解説） # 模擬問題2 ## 科目A（問題、解答・解説） ## 科目B（問題、解答・解説） # ジャンル別トレーニング ## 情報セキュリティ ## サイバー攻撃手法 ## 情報セキュリティ技術 ## 情報セキュリティ管理 ## セキュリティ技術評価 ## 情報セキュリティ対策 ## 法務 ## システム構成要素 ## データベース ## ネットワーク ## プロジェクトマネジメント ## サービスマネジメント ## システム監査 ## システム戦略 ## 企業活動 ## システム企画

新しい試験方式にも対応！　試験開始時から刊行を続ける情報セキュリティマネジメント試験参考書の決定版！ 【出題実績をもとに有名教授がわかりやすく解説！】 メディアでも活躍する情報セキュリィのプロフェッショナル・岡嶋裕史先生が、わかりやすいイラストを交えながら解説します。解説する内容は過去の出題実績に即して厳選しているので、この本を読みさえすれば必要な知識がたしかに身につきます。 【新形式の試験にも対応！】 令和5年度の試験から、試験方式が一新されます。従来の午前・午後の二部構成が再編され、知識を問う「科目A」と技能を問う「科目B」からなる通しの試験となります。 このように大きく変わる情報セキュリティマネジメント試験ですが、本書ではこれらの変化にしっかり対応。変更点のまとめや、科目B対策の解説も行います。 そもそも、形式は変更しても問われる内容は大きく変わらない予定です。試験発足時から版を重ねている蓄積にもとづくたしかな知識で、皆さんを合格に導きます。 【充実の特典たち！】 参考書を読むだけだとなかなか勉強がはかどらない……という人のため、便利な特典がついてきます。 1. 重点的に勉強する範囲がわかる演習アプリ「DEKIDAS-WEB」 パソコン・スマートフォンから問題演習を行えるオリジナルのWebアプリ「DEKIDAS-WEB」を無料でご利用いただけます。「DEKIDAS-WEB」では、過去問題をベースに、科目Aで問われる知識を身につける問題に挑戦できます。自動採点機能や分析機能も付いているので、苦手克服や直前対策に大いに役立ちます。すきま時間にスマホで解くもよし、実際の試験形式を意識してパソコンで解くもよしの、お得なアプリです。 2. 学習内容を整理して見直せる「直前対策！要点確認ノート」 「直前対策！要点確認ノート」は穴埋め形式で参考書の内容をまとめ直すノートです。重要な用語や考え方を自分なりに整理して見直すのに役立ちます。知識が身についたか確かめながら、各単元をおさらいでいます。 3. 基礎知識を動画で理解！　「情報セキュリティマネジメント試験 重要用語対策講座！」 試験でよく問われるキーワードを5分で解説した動画を視聴いただけます。「よく問われるサイバー攻撃手法とその対策は？」「暗号はどういうしくみ？」など、情報セキュリティの要点を目と耳から覚えられます。 ## 巻頭特集1 変わる？　変わらない？　試験の改定情報 ## 巻頭特集2 おさえておきたい頻出文書 # 第1章 情報セキュリティ基礎 ## 1-1 情報のCIA ### 1-1-1 情報のCIA ## 1-2 情報資産・脅威・脆弱性 ### 1-2-1 情報資産・脅威・脆弱性の関係 ### 1-2-2 脅威の種類 ### 1-2-3 脆弱性の種類 ## 1-3 サイバー攻撃手法 ### 1-3-1 不正アクセス ### 1-3-2 盗聴 ### 1-3-3 なりすまし ### 1-3-4 サービス妨害 ### 1-3-5 ソーシャルエンジニアリング ### 1-3-6 その他の攻撃方法 ## 1-4 暗号 ### 1-4-1 セキュリティ技術の広がり ### 1-4-2 暗号の基本 ### 1-4-3 共通鍵暗号 ### 1-4-4 公開鍵暗号 ## 1-5 認証 ### 1-5-1 認証の基本 ### 1-5-2 ワンタイムパスワード ### 1-5-3 パスワードの欠点 ### 1-5-4 バイオメトリクス ### 1-5-5 デジタル署名 ### 1-5-6 PKI # 第2章 情報セキュリティ管理 ## 2-1 リスクマネジメント ### 2-1-1 リスクマネジメントとは ### 2-1-2 手法の決定 ### 2-1-3 リスク評価 ### 2-1-4 リスク対応 ## 2-2 情報セキュリティポリシ ### 2-2-1 情報セキュリティポリシ ### 2-2-2 適用範囲 ### 2-2-3 情報セキュリティ基本方針 ### 2-2-4 情報セキュリティ対策基準 ### 2-2-5 情報セキュリティ対策実施手順 ## 2-3 各種管理策 ### 2-3-1 情報セキュリティマネジメントシステム ### 2-3-2 国際基準のガイドライン ### 2-3-3 国内のガイドライン ## 2-4 セキュリティ評価 ### 2-4-1 セキュリティ評価基準 ## 2-5 CSIRT ### 2-5-1 CSIRT ## 2-6 システム監査 ### 2-6-1 システム監査 # 第3章 情報セキュリティ対策 ## 3-1 マルウェア対策 ### 3-1-1 マルウェアとは ### 3-1-2 マルウェア対策 ## 3-2 不正アクセス対策 ### 3-2-1 ファイアウォール ### 3-2-2 DMZ ### 3-2-3 その他のフィルタリング技術 ### 3-2-4 IDS ### 3-2-5 不正入力の防止 ## 3-3 情報漏えい対策 ### 3-3-1 リモートアクセス ### 3-3-2 認証サーバ ## 3-4 アクセス管理 ### 3-4-1 TLS ### 3-4-2 VPN ### 3-4-3 ネットワーク管理技術 ## 3-5 人的対策 ### 3-5-1 人的・物理的セキュリティ対策 ### 3-5-2 情報セキュリティ教育 # 第4章 情報セキュリティ関連法規 ## 4-1 知的財産権と個人情報の保護 ### 4-1-1 知的財産保護 ### 4-1-2 個人情報保護 ## 4-2 セキュリティ関連法規 ### 4-2-1 コンピュータ犯罪関連の法規 ### 4-2-2 サイバーセキュリティ基本法 ## 4-3 その他の法規やガイドライン ### 4-3-1 電子文書関連の法規 ### 4-3-2 労働関連の法規 ### 4-3-3 各種標準化団体と国際規格 # 第5章 ネットワークとデータベース ## 5-1 ネットワーク ### 5-1-1 ネットワークの基礎 ### 5-1-2 TCP/IP ### 5-1-3 IPアドレス ### 5-1-4 ポート番号 ### 5-1-5 通信装置①　物理層 ### 5-1-6 通信装置②　データリンク層 ### 5-1-7 通信装置③　ネットワーク層 ### 5-1-8 NAT ### 5-1-9 アプリケーション層のプロトコル ### 5-1-10 無線LAN ## 5-2 データベース ### 5-2-1 データベースのモデル ### 5-2-2 DBMS # 第6章 経営とセキュアシステム ## 6-1 システム戦略と構成要素 ### 6-1-1 情報システム戦略の策定 ### 6-1-2 共通フレームの開発プロセス ### 6-1-3 調達 ### 6-1-4 RASIS ### 6-1-5 耐障害設計 ### 6-1-6 バックアップ ### 6-1-7 ストレージ技術 ### 6-1-8 システムの形態と性能 ## 6-2 セキュリティシステム戦略 ### 6-2-1 ITガバナンス ### 6-2-2 セキュリティシステムの実装・運用 ### 6-2-3 セキュリティインシデントへの対応 ## 6-3 プロジェクトマネジメント ### 6-3-1 プロジェクトマネジメント手法 ### 6-3-2 PMBOK ## 6-4 企業の活動と統治 ### 6-4-1 財務・会計 ### 6-4-2 JIS Q 20000 # 第7章 科目B問題対策 ## 7-1 標的型攻撃メールへの対応訓練 ## 7-2 Webサイトの脆弱性診断 ## 7-3 マルウェア感染時の初動対応

学習支援機能をオールカラーでわんさか搭載！　はじめてでも合格するための基本テキスト＆問題演習一体型基本対策書！ 「情報セキュリティマネジメント」試験の受験対策書。出題傾向分析に基づく合格直結ポイントを、盛りだくさんの新学習機能とオールカラー図解によって効率よくマスターすることができる基本テキストです。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 気になる新試験対策法、科目A・Bサンプル問題（新試験1回分・解説付き）も掲載しています。 ★はじめての学習をサポートする「スタートアップ講座」：学習の進め方と各章の概要をイラスト付きでやさしく説明しました。 ★ダブルでメリハリをつけた解説 出るところ／出ないところでメリハリ：主要出題範囲の「情報セキュリティ分野」は基礎から“しっかり”と、「関連分野」は出題可能性が高いところに絞り“すっきり”と解説しました。 科目A対策／科目B対策でメリハリ：科目A対策は基本的な考え方と用語を覚えることを中心に解説する一方、科目B対策用に「事例式学習」として、習得した知識をもとに考える章を設けました。 ★学習段階に応じて活用できる機能的な変形2段組レイアウト：はじめての学習は、「本文」→「側注」→「確認問題」と理解を進め、直前期は、「側注」を見て、自信のないところは「本文」へ戻って復習、試験３日前～当日は、重要事項を集めた「側注」だけ見て、余裕があれば「確認問題」で仕上げましょう。 ★内容の理解をやさしくサポートするカラー図解：ひと目でわかるカラー図表と、キーワード・キーフレーズが目に飛び込んでくるカラー解説文がインプットを助けます。 ★巻末に科目A・Bサンプル問題（新試験1回分）を収載しました。解いた後は丁寧な解説で知識を補強できるので、試験前の腕試し、総仕上げに最適です。

情報セキュリティマネジメント試験対策年間版テキストで売上No.1！ 指導歴20年以上で徹底攻略教科書のAP、SC、NW、DBも手がける著者陣が、AIも活用して分析。情報セキュリティ分野のほか、テクノロジ系、ストラテジ系などの関連する内容も完全網羅。予想問題＆解説2回分と過去問解説8回分、「本書全文の電子版（PDF）」スマホで学べる単語帳「でる語句200」付き（特典の利用には、インプレスの無料読者会員システムへの登録が必要になります。提供予定期間は、発売から1年間となっています）。

サイバー犯罪者の攻撃を防ぎ、また組織内部のリテラシーを向上させることが情報セキュリティの目的です。このようなサイバー犯罪との攻防において、重要視されるのが組織としてどのように防御するかという視点です。本書は、一般向けに情報セキュリティの基礎知識から具体的な対策までをわかりやすく図説した入門書です。ウイルス対策ソフトやクラウドの活用、ゼロトラスト・セキュリティなど、貴社の情報資産を守る手法がわかります。 サイバー犯罪者からの攻撃を防ぐ情報セキュリティについて、ウイルス対策ソフトやクラウドの活用、ゼロトラスト・セキュリティなど、情報セキュリティ担当者だけでなく現代を生きるすべての人に向けた内容となっています。 第1章 情報セキュリティの基礎 1-1 サイバー攻撃 1-2 サイバー犯罪 コラム ハインリッヒの法則 1-3 情報セキュリティの範囲 1-4 脅威とリスク 1-5 情報にとって何が脅威か 1-6 インシデント 1-7 情報セキュリティの要素 コラム 非機能要求 1-8 コンピュータウイルス コラム コンピュータウイルスに関する罪 コラム トロイの木馬 1-9 セキュリティホール 1-10 ソフト品質としてのセキュリティ コラム ゼロデイ攻撃 コラム ISOおよびIEC 1-11 心の隙を狙った攻撃 1-12 個人情報に関する世界の動き コラム セキュリティホールと脆弱性の違い 1-13 ゼロトラスト 第2章 サイバー攻撃を知り、備え、防ぐ 2-1 ポートスキャン 2-2 標的型攻撃 コラム ビットコイン発掘に利用される 2-3 DDoS攻撃 2-4 Spoofing攻撃 コラム CAPEC 2-5 フィッシング攻撃 2-6 Webサイトの改ざん コラム 「.htaccess」改ざんによる手口 2-7 ActiveDirectoryのセキュリティ コラム NTLM認証とKerberos認証 2-8 SQLインジェクション攻撃 2-9 クロスサイトスクリプティング 2-10 クロスサイトリクエストフォージェリ 2-11 バッファオーバーラン 2-12 APT攻撃 2-13 Wi-Fiのセキュリティ コラム スマホのWi-Fiのセキュリティ 2-14 バージョンロールバック攻撃 第3章 攻撃への技術的な対応 3-1 ファイアウォール コラム OSI参照モデル 3-2 IDS/IPS 3-3 DMZ 3-4 WAF 3-5 UTM 3-6 暗号 3-7 共通鍵暗号 3-8 ストリーム暗号とブロック暗号 3-9 公開鍵暗号 コラム Webページの暗号化 コラム RSA暗号方式 3-10 電子署名 3-11 ハッシュ関数 3-12 暗号へのアタック コラム アラン・ポーの「黄金虫」（ネタばれ注意！） 3-13 ワンタイムパスワード コラム CAPTCHA 3-14 量子コンピュータと電子鍵 3-15 量子暗号通信 3-16 生体認証 3-17 ペネトレーションテスト コラム 無料のペネトレーションテストツール 第4章 セキュリティを高める具体策 4-1 今日から始めるセキュリティ対策 コラム 情報セキュリティマネジメント試験 4-2 情報セキュリティ○か条 4-3 脆弱性への対策 4-4 ウイルスへの対策 4-5 不正アクセスへの対策 コラム アカウント管理 4-6 パスワード管理 コラム パスワードになっていない！ コラム パスワードは定期的に変更しなければならない？ 4-7 初期設定のままにしない 4-8 IoTのセキュリティ 4-9 中小企業の情報セキュリティ コラム デジタル監 4-10 情報セキュリティポリシー コラム セキュリティ・バイ・デザイン 4-11 経営者の情報セキュリティ コラム サイバーセキュリティ経営チェックシート 4-12 セキュリティリスク管理体制 コラム CSIRT 4-13 情報セキュリティ経営 4-14 個人情報 コラム 個人情報データベースなど 4-15 個人情報の漏えい コラム 要配慮個人情報 4-16 個人情報の扱い 4-17 組織内部の不正を防止する 4-18 犯行防止理論 4-19 サプライチェーン攻撃への対抗 コラム サイバーリスク保険 4-20 PPAP撤廃 4-21 クラウドとセキュリティ 4-22 標的型攻撃への対策 4-23 ランサムウェア対策 第5章 関連する制度 5-1 ISO/IEC 27000シリーズ 5-2 ISO/IEC 27001 5-3 ISO/IEC 27002 コラム ISO/IEC 27000のバージョン コラム ISO/IEC 27003とISO/IEC 27004 5-4 ISO/IEC 27005 コラム ISO/IEC 27006およびJIS Q 27006 コラム JIS Qシリーズ 5-5 ISO/IEC 27017 5-6 ISO/IEC 27018 コラム ISO/IEC 27036 5-7 ISO/IEC 13335（GMITS） 5-8 JIS Q 15001 コラム 個人情報とプライバシー 5-9 ISO/IEC 27701 コラム 個人情報保護委員会 5-10 内部監査 5-11 政府情報システムのためのセキュリティ評価制度（ISMAP） 5-12 個人情報の保護 5-13 不正アクセス禁止法 コラム NIST SP800-53 5-14 個人情報保護委員会 5-15 NOTICE コラム 注意喚起を受けた場合の対処 5-16 経済産業省による情報セキュリティ管理基準 5-17 プライバシーマーク 5-18 OECDのガイドライン 5-19 ENISA 5-20 GDPR 5-21 中国サイバーセキュリティ法

午後攻略の長尺動画をプラス！ 五十嵐式「攻略のカギ」＆「二層午後解説」と「頻出トレーニング」で、そして動画解説で、合格力が必ず身に付く！ 令和元年秋期を含む過去問題4回(紙面)とPDFダウンロード提供7回分の学習ができます。購入者特典として「全文PDF」とWebアプリ「でる語句334」「よくでる問題集」が付いています（特典の利用には、インプレスの無料読者会員システムへの登録が必要になります。提供予定期間は、発売から1年間となっています。全文電子版は一部を除き印刷不可となっています。詳しくは目次をご参照ください）。

情報セキュリティに関する基本的な知識を、キーワード形式で、イラストを使ってわかりやすく解説しています。掲載している項目は、「情報セキュリティマネジメント試験」の午前重点分野で出題される項目が中心になっています。 1章 セキュリティの概念と対策の方針 01 情報セキュリティとは 02 情報セキュリティを構成する7つの要素 03 OECDセキュリティガイドライン 04 リスク 05 情報資産とは 06 脅威の種類 07 脆弱性の種類 08 人為的不正のメカニズム 2章 サイバー攻撃の手法① 09 サイバー攻撃の攻撃者 10 サイバー攻撃の手法 11 パスワードを狙った攻撃 12 マルウェア 13 スパイウェア 3章 サイバー攻撃の手法② 14 標的型攻撃 15 Webブラウザを狙った攻撃 16 サーバーを狙った攻撃① 17 サーバーを狙った攻撃② 18 乗っ取り／不正アクセス／なりすまし 19 負荷をかける攻撃 20 プログラムの脆弱性を突いた攻撃 4章 セキュリティ確保の基礎技術 21 暗号化技術の基礎 22 暗号化技術の種類 23 暗号鍵管理システム 24 ディスク／ファイルの暗号化 25 危殆化 26 利用者に対する認証技術 27 生体認証技術 28 PKI 29 デジタル証明書のしくみ 5章 情報セキュリティの管理 30 情報資産と無形資産 31 リスクマネジメント 32 情報セキュリティインシデント 33 情報資産の調査と分類 34 リスクの分析と評価 35 情報セキュリティリスクアセスメント 36 リスクコントロール 37 情報セキュリティマネジメントシステム 38 セキュリティの評価 39 セキュリティ規定と関連機関 6章 情報セキュリティ対策の基礎知識 40 内部不正防止ガイドライン 41 入口対策と出口対策 42 マルウェア／不正プログラム対策 43 ファイアウォール 44 WAF 45 プロキシサーバー 46 不正侵入検知システム 47 侵入防止システム 48 DMZ 49 ネットワーク認証／フィルタリング 50 無線通信セキュリティ 51 著作権保護 52 メール認証 53 ネットワーク管理 54 対策機器 55 物理対策 7章 セキュリティの実装に関する知識 56 セキュア・プロトコル 57 ネットワークセキュリティ 58 データベースセキュリティ 59 アプリケーションセキュリティ

学習支援機能をオールカラーでわんさか搭載！　はじめてでも合格するための基本テキスト＆問題演習一体型基本対策書！ 「情報セキュリティマネジメント」試験の受験対策書。出題傾向分析に基づく合格直結ポイントを、盛りだくさんの新学習機能とオールカラー図解によって効率よくマスターすることができる基本テキストです。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 気になる「CBT方式」対策法も掲載しています。 ★はじめての学習をサポートする「スタートアップ講座」：学習の進め方と各章の概要をイラスト付きでやさしく説明しました。 ★ダブルでメリハリをつけた解説 出るところ／出ないところでメリハリ：主要出題範囲の「情報セキュリティ分野」は基礎から“しっかり”と、「関連分野」は出題可能性が高いところに絞り“すっきり”と解説しました。 午前対策／午後対策でメリハリ：午前対策は基本的な考え方と用語を覚えることを中心に解説する一方、午後試験対策用に「事例式学習」として、習得した知識をもとに考える章を設けました。また、午後の長文問題対策として読み解く力を鍛える項目も新設しました。 ★学習段階に応じて活用できる機能的な変形2段組レイアウト：はじめての学習は、「本文」→「側注」→「確認問題」と理解を進め、直前期は、「側注」を見て、自信のないところは「本文」へ戻って復習、試験３日前～当日は、重要事項を集めた「側注」だけ見て、余裕があれば「確認問題」で仕上げましょう。 ★内容の理解をやさしくサポートするカラー図解：ひと目でわかるカラー図表と、キーワード・キーフレーズが目に飛び込んでくるカラー解説文がインプットを助けます。 ★予想問題と本試験問題：第１部各章末と第２部の末尾の「確認問題」は、午前試験の出題傾向分析にもとづき再出題が予想される過去問を掲載しました。また、午後対策として第１部第４章の演習問題の内容見直し・充実を図りました。

情報セキュリティを知り、試験を知り尽くすプロが教える、フルボリュームな「情報セキュリティマネジメント試験」過去問題集の決定版！ 【数こそがパワー！　一番やりこめる問題集】 過去問題の再利用も少なくない情報セキュリティマネジメント試験では、過去問のやりこみと理解が合格への最短ルートです。本書では、令和元年度秋期から平成30年度秋期までの試験問題と模擬問題×2の計5回分の問題を本紙に収録しています。さらに、平成30年春期から平成28年春期までの過去問題＋予想問題3回分をPDFでダウンロード提供。本紙と合計13回分の問題に取り組めます。合格への力を確かなものにするだけの問題数を取り揃えています。 【「現場」と「試験」の両方を知る専門家による徹底解説】 情報セキュリティ企業の現役社員を中心とした執筆陣が試験問題を徹底解説します。不正解の選択肢も含めて、試験で問われる知識が網羅されています。また、第1回試験から分析を続けてきた経験を活かし、試験の傾向を踏まえた対策の知識もふんだんに盛り込んでいます。情報セキュリティの最前線の知識と、積み上げてきた試験への理解が、皆さんを合格に導きます。 【多様なニーズに応える充実の購入者特典】 本書の購入者は「要点整理book」と「プロが教える！よくわかる動画解説」のふたつの特典をご利用いただけます。過去問の理解をさまざまな角度から強力にアシストします。 ●特典1 スキマ時間も有効活用「要点整理book」 これまで問われた用語を中心に、重要キーワードの意味をまとめて解説しています。スマホから閲覧できるので、移動時間などのちょっとしたすき間を使って得点力をアップできます。 ●特典2 プロの講義を体験できる「プロが教える！よくわかる動画解説」 午前試験で頻出の用語と、試験合格の関門である午後試験問題＝長文読解の解き方を著者自身が丁寧に解説します。再生するだけで自然と合格のための知識が頭に入ってきます。 情報セキュリティマネジメントとは？ 試験のスケジュールと申込み CBT方式とは？ 試験対策 IPAの資料から読み解く情報セキュリティ動向 直前対策！ 頻出キーワード ■過去問題の詳細解説 ●模擬問題1 午前（問題、解答・解説） 午後（問題、解答・解説） ●模擬問題2 午前（問題、解答・解説） 午後（問題、解答・解説） ●令和元年度【秋期】 午前（問題、解答・解説） 午後（問題、解答・解説） ●平成31年度【春期】 午前（問題、解答・解説） 午後（問題、解答・解説） ●平成30年度【秋期】 午前（問題、解答・解説） 午後（問題、解答・解説）

新シラバス3.1とCBTに対応！ 指導歴20年以上で徹底攻略教科書のAP、SC、NW、DBも手がける著者陣が、AIも活用して出題傾向を分析。情報セキュリティ分野のほか、テクノロジ系、ストラテジ系などの関連する内容も完全網羅した、SG対策書です。付録に予想問題＆解説を装備するほか、8回分の過去問解説PDFをダウンロード提供。購入者特典「本書全文の電子版（PDF）」「スマホで学べる単語帳ウェブアプリ」付き（特典の利用には、インプレスの無料読者会員システムへの登録が必要になります。提供予定期間は、発売から1年間となっています）。

セキュリティの基礎とセキュリティマネジメントの 最新過去問解説が1冊につまった参考書の決定版 「セキュリティと最新過去問の両方の詳細解説が1冊につまった本」 　情報セキュリティマネジメント試験（セマネ）を初めて受ける人に向けた最良の参考書。情報システム部門の担当者ではなく、ユーザー部門向けに始まったセマネは、普段パソコンを使っているけど「セキュリティって何？」と思う人が対象です。 本書なら、セキュリティ事故を疑似体験できるマンガがあったり、豊富なイラストや図を解説させていたり、セキュリティ初心者でも無理なく安心して学習できます。 　セマネを含む国家試験、情報処理技術者試験を初めて受ける人に向けて、学習計画の立て方や勉強のコツだけでなく、試験の概要から試験場での注意点なども解説しています。受験者がよく遭遇する「「同じ解答が続いてもいいの？」「迷ったときはどっちを選ぶ？」といったコラムも充実しています。 ≪第1章≫試験概要 マンガ：セキュリティ事故に遭遇したら（1） コラム（1）：正解は，アイウエのどれが一番多いのか？ ≪第2章≫勉強法とコツ マンガ：セキュリティ事故に遭遇したら（2） コラム（2）：問1の正解は「ウ」なのか？ ≪第3章≫情報セキュリティの基礎 1時限目 情報セキュリティ全般 2時限目 情報セキュリティ管理 3時限目 情報セキュリティ対策 4時限目 情報セキュリティ関連法規 5時限目 テクノロジ 6時限目 マネジメント 7時限目 ストラテジ マンガ：セキュリティ事故に遭遇したら（3） コラム（3）：同じ正解選択肢は何回も続いて大丈夫か？ ≪第4章≫内部不正ガイドライン ≪第5章≫午後問題演習 平成28年春午後問題 平成28年秋午後問題

なぜ危ないの?どこに注意すればいいの?「リスク」や「脅威」だけでなく、取り巻く「技術」や「しくみ」からキッチリ解説! 情報セキュリティとは 最新技術を取り巻くセキュリティのリスク 情報セキュリティを理解するために知っておきたい技術 パスワードを理解する 暗号の基本を理解する 暗号を利用する技術 サイバー攻撃のしくみ マルウェア、ウイルス、ランサムウェア 脆弱性は何が危ないのか インシデントに対応するために セキュリティ対策のしおり

企業はDX（デジタルトランスフォーメーション）によって変化しなければならない、しかしIT化すればするほど情報セキュリティの問題が発生！　業者に頼めばいいのか……、いや継続的に情報セキュリティの問題は起きてしまうだろう……。そう、企業がIT化を進めDXを促進すると、情報セキュリティが生命線になることは避けられないのが本当のところです。そこで欧米では技術職の視点をもった経営陣の一人としてCISO（Chief Information Security Officer）の役職が誕生しました。情報セキュリティ問題に悩むあらゆる企業の担当者の皆さんのために、本書はCISOがすべき情報セキュリティの問題解決方法を最新の情報をもとにまとめあげました。 ■第1章　情報セキュリティの目的 1 1-1 CISOの役割とは何か 1-2 ビジネスリスクと情報セキュリティ 1-3 情報セキュリティリスクにかかわる3つの立場（3線モデル：Three Lines of Defense Model） ■第2章　情報セキュリティマネジメントの基礎知識 2-1 情報セキュリティマネジメントの基礎知識 2-1-1 リスクマネジメント 2-1-2 ISO31000リスクマネジメント 2-1-3 統計的手法に基づいたリスクの定量化 2-1-4 EDC によるリスクの定量化 2-1-5 リスクマネジメントを実施するにあたって 2-2 情報セキュリティ計画実施モデル 2-2-1 情報セキュリティ計画策定のケーススタディ：CISコントロールズの実装 2-2-2 CIS コントロールズから始める情報セキュリティ対策 2-2-3 侵害を前提としたセキュリティ計画：サイバーセキュリティフレームワーク 2-3 経営サイクルと情報セキュリティマネジメントサイクル 2-4 マネジメントサイクルに沿った報告 2-4-1 年間計画に基づいたPDCA的な報告 2-4-2 緊急対応に関するOODA的な報告 2-4-3 情報セキュリティと法令順守 2-4-4 監査による執行状況の評価 2-4-5 情報セキュリティとコーポレートガバナンス ■第3章　基本となる経営指標 3-1 CISOのための財務諸表の読み方 3-2 経営における「数字」の重要性 3-3 財務会計49 3-4 貸借対照表の見方 3-5 短期的な支払い能力の評価 3-6 長期的な支払い能力の評価 3-7 財務の健全性の評価 3-8 管理会計 3-8-1 計画する：損益分岐点 3-8-2 分割する：セグメントへの分割と評価 3-8-3 評価する：規模や内容が異なる事業（セグメント）の評価 3-9 財務健全性と投資収益性を比較する 3-10 経営指標を現場に展開する（オムロン株式会社の例） 3-11 ファイナンス 3-11-1 原価主義と時価主義 3-12 ファイナンスの基本的な考え方 3-13 会社法と資本比率 3-13-1 資本比率 3-13-2 セキュリティ事故と株価 ■第4章　情報セキュリティの指標化 4-1 情報セキュリティの指標化 4-2 コストとしての情報セキュリティ 4-2-1 セキュリティ事故の推定損害額 4-3 情報セキュリティ指標を経営の数字に展開 4-3-1 バランストスコアカードを使ったKPIの展開 4-3-2 ケーススタディ：テレワークを題材としたバランストスコアカードの利用例 4-3-3 経営における情報セキュリティの役割 4-3-4 情報セキュリティに対する役割と責任 ■第5章　モニタリングと評価手法 5-1 モニタリングに基づいた施策の評価 5-2 組織情報のセキュリティ成熟度評価 5-2-1 Cybersecurity Capability Maturity Model（C2M2） 5-2-2 評価対象：機能（ファンクション）100 5-2-3 評価ドメイン 5-2-4 成熟度指標レベル 5-2-5 成熟度評価で参照される規準および標準 5-3 実装レベルのモニタリング 5-3-1 インベントリの取得と維持 5-3-2 脆弱性の把握と不正アクセス検知 5-4 サイバー攻撃への対応能力評価 5-4-1 攻撃者視点での評価：Red Teaming 5-4-2 TLPTフレームワーク ■第6章　情報セキュリティ監査 6-1 情報セキュリティ監査の目的 6-1-1 Cから始めるPDCA 6-2 セキュリティ監査の分類と目的 6-2-1 「助言型監査」と「保証型監査」 6-2-2 ISMS 適合性評価制度とセキュリティ監査 6-2-3 第三者によるセキュリティ監査結果の利用 6-3 内部監査人の選択方法 6-4 外部監査人の選択方法 6-5 CISOは監査報告書を受け取ったら何をすれば良いか 6-5-1 監査結果の確認とCISO の心得 6-5-2 改善計画書の作成 6-5-3 フォローアップの必要性 ■第7章　情報セキュリティアーキテクチャ 7-1 アーキテクチャの重要性 7-2 情報セキュリティアーキテクチャの基本要素 7-2-1 IAAAに基づいたアクセスコントロール 7-2-2 情報格付（データクラシフィケーション） 7-2-3 権限管理 7-2-4 物理的・ネットワーク的なアクセスコントロール 7-2-5 統制基盤 7-2-6 統合ログ管理 7-3 エンタープライズセキュリティアーキテクチャ（ESA） 7-3-1 Sherwood Applied Business Security Architecture（SABSA） 7-3-2 SABSA を学ぶためのガイド 7-3-3 COBIT 7-3-4 The Open Group Architecture Framework（TOGAF） 7-3-5 TOGAF を学ぶためのガイド 7-3-6 Information Technology Infrastructure Library（ITIL） 7-4 ゼロトラスト 7-5 「トラストがゼロ」の背景 7-5-1 技術革新 7-5-2 利用形態の変化 7-5-3 攻撃手法の変化 7-6 ゼロトラストアーキテクチャ 7-6-1 リソースのセグメント境界 7-6-2 システムリソース 7-6-3 アプリケーションリソース 7-6-4 リソースに対する最小権限の維持 7-6-5 アクセス要求元が使用するシステム 7-6-6 アクセス要求元が使用するアプリケーション 7-6-7 ゼロトラストの基本原則と前提 7-7 ゼロトラストアーキテクチャの論理的構成要素 7-7-1 PE（ポリシーエンジン）：指定されたリソースへのアクセス許可の最終的な判断を行う 7-7-2 PA（ポリシーアドミニストレータ）：アクセス要求元とリソースの通信経路の確立・遮断を行う 7-7-3 PEP（ポリシー実施ポイント）：アクセス要求元とリソースの接続を有効化、監視、終了を行う 7-7-4 ゼロトラストアーキテクチャの要素 7-8 ゼロトラストアーキテクチャで防げない攻撃 7-9 継続的な技術動向の把握 ■第8章　DXと情報セキュリティ 8-1 デジタルトランスフォーメーション（DX）の目的は事業変革 8-2 DXとテクノロジー 8-3 OODA、アジャイル、DevOpsのアプローチ 8-3-1 OODA の適用 8-3-2 アジャイルの適用 8-3-3 DevOpsの適用 8-4 DX のセキュリティ実現において、PDCAをどう使うか 8-5 CISOはDXプロジェクトにいかにして貢献するか 8-5-1 DXのボトルネックにならない 8-5-2 DXの推進につながる働きかけをする 8-5-3 リスクプロファイルによりセキュリティもDXする ■第9章　クラウドファーストの情報セキュリティ 9-1 クラウドファーストへの転換 9-2 クラウドサービスの主要なモデルと責任分界点 9-3 クラウドサービス選定時の考慮点 9-3-1 情報の格付けおよび取扱制限（クラシフィケーション） 9-3-2 法令・基準への対応状況を確認する 9-3-3 サービス契約と準拠法・裁判管轄 9-3-4 クラウドサービスの中断や終了時 9-3-5 情報流通経路全般のセキュリティ 9-3-6 外部認証、認定を利用した効率的な情報セキュリティ対策実施状況の把握 9-3-7 クラウドサービスプロバイダーのコンプライアンス対応：Microsoft社の例 9-4 実践的な情報セキュリティ評価 9-4-1 European Union Agency for Network and Information Security（ENISA）Cloud Security Guide for SMEs 9-4-2 クラウドサービスの評価：調査サービスの利用 9-5 セキュリティの主要な評価要素 9-5-1 ガバナンスとリスクマネジメント 9-5-2 アーキテクチャ 9-5-3 データセンターセキュリティ 9-5-4 事業継続と可用性 9-5-5 サプライチェーンの管理、透明性、説明責任195 9-5-6 人的セキュリティ 9-5-7 アイデンティティとアクセス管理 9-5-8 顧客データの取り扱い 9-5-9 アプリケーションセキュリティ 9-5-10 暗号化 9-5-11 ロギング、モニタリング 9-5-12 データ連携 9-5-13 変更管理と構成管理 9-5-14 インシデント管理 9-5-15 脆弱性管理 9-5-16 モバイルセキュリティ 9-6 クラウドサービスをセキュアに利用するために 9-6-1 管理機構の利用 9-6-2 クラウド間連携とAPI の課題 ■第10章　情報セキュリティインシデント対応と報告 10-1 情報セキュリティインシデントとCSIRTの設置 10-2 セキュリティインシデントの推移 10-2-1 内部の過失による物理的な保護の破綻 10-2-2 内部の過失によるネットワーク的な保護の破綻 10-2-3 内部からの攻撃 10-2-4 外部からの持続的な攻撃（APT） 10-2-5 内部によるシステム的・ネットワーク的な保護の欠如：オンラインストレージ 10-2-6 内部によるシステム的な保護の欠如：Webサービスのプラットフォーム 10-2-7 外部からの攻撃：リスト型攻撃 10-2-8 外部からの攻撃：DDoS事件 10-2-9 外部からの攻撃：ランサムウェア 10-2-10 外部からの攻撃：ビジネスメール詐欺 10-2-11 外部からの攻撃：DNS の乗っ取り 10-2-12 サプライチェーンの問題：廃棄ハードディスクの転売事件 10-3 新しい領域のインシデント 10-3-1 IoT セキュリティ 10-3-2 自動車のセキュリティ 10-3-3 WannaCry：攻撃者の変化（国家機関の関与） 10-3-4 キャッシュレス決済の不正な引き落とし 10-3-5 暗号資産に対する攻撃 10-3-6 AIセキュリティ 10-3-7 SNSを基点とした炎上255 10-3-8 SNSアカウントの乗っ取り 10-4 脆弱性評価 10-4-1 脆弱性の深刻度評価（CVSS） 10-4-2 脅威ハンティング（Threat Hunting） 10-4-3 製品やサービスベンダーのセキュリティ対応能力 10-4-4 脅威インテリジェンスの利用 10-4-5 リスクの転移 10-4-6 地政学リスク 10-4-7 報告されない脆弱性 10-5 CTFとインシデント対応演習 10-6 インシデントを想定したセキュリティ施策の評価 ■第11章　製品選定とベンダー選定 11-1 ベンダーとの対応方法 11-2 セキュリティソリューション検討時の留意点 11-3 ベンダー選定時の留意点 11-3-1 製品・サービスの開発元 11-3-2 販売会社・販売代理店 11-3-3 システムインテグレータ 11-4 ライフサイクルにおけるベンダー評価 ■第12章　CISOの責務と仕事 12-1 CISOの役割 12-2 サイバーセキュリティ経営ガイドライン 12-3 米国におけるCISO 像：CISO COMPASSのCISO像 12-3-1 CISO の歴史 ■第13章　経営陣としてのCISOへの期待 13-1 CISOの役割と連携 13-1-1 コミュニケーションにおける注意事項 13-2 経営会議での報告 13-3 役職などの名称について 13-4 財務会計部門との連携（CFO） 13-5 業務部門との連携（COO） 13-6 IT部門との連携（CIO） 13-7 リスク管理部門との連携（CRO） 13-8 総務・人事部門との連携 13-9 法務部門との連携 13-10 監査部門との連携 13-11 広報部門との連携 13-12 社外との連携 13-13 執行責任者としてのCISO ■Annex Annex A 事業計画策定例 A-1 事業計画の位置付け A-2 資格制度を導入した場合の試算（サブスクリプション） A-3 事業計画1-4の評価 Annex B CISOダッシュボード B-1 CISOダッシュボード B-2 情報セキュリティ事故の説明責任 Annex C 情報セキュリティ対策の標準化と自動化の流れ Annex D EDC 手法を使ったセキュリティ対策効果の試算 D-1 EDC 手法の導入 D-2 EDC 手法による対策案の最適解算出手順 D-3 対策リストの策定 Annex E Need to Know 再考 E-1 すべての会話と知識を検索可能にする Annex F 新型コロナウイルス後のセキュリティ F-1 業務形態の変化とCISO に求められる役割 F-2 セキュリティ対策 F-3 情報格付けと情報の取り扱い F-4 規定とセキュリティポリシー F-5 企業活動の基盤としてのコミュニケーション F-6 成果の定義と評価 F-7 企業文化と教育 Annex G セキュリティインシデントの推移 G-1 サイバー攻撃の変化と潮流 G-2 マルウェアの誕生（1990年代以前） G-3 インターネットワーム（モリスワーム） G-4 Mellisa とメール型ウイルス G-5 現実化したDDoS攻撃（2000年前後） G-6 日本における省庁Web改ざん（日本のネットワークセキュリティの起点） G-7 CodeRedに始まるワーム事件 G-8 ボットネットとサイバー犯罪 G-9 標的型攻撃 G-10 ランサムウェア G-11 ビジネスメール詐欺（BEC） G-12 攻撃の背景にあるエコシステム（アンダーグラウンドフォーラム） G-13 脆弱性報告に対する報償プログラム G-14 情報セキュリティ早期警戒パートナーシップ G-15 まとめ Annex H 情報格付け H-1 情報格付け統一基準 H-2 日本政府における格付け H-3 英国政府における格付け H-4 日英の違いとそのポイント

攻撃や対策、組織体制も徹底図解！解説とイラストがセットなので、わかりやすい。管理者にも開発者にも役立つ、使える教科書です。 攻撃や対策、組織体制もすべて図解 確かな知識がつく「使える教科書」 【本書のポイント】 ・解説とイラストがセットで理解しやすい ・考え方から技術、運用方法までを網羅 ・キーワードから知りたい項目を調べやすい ・管理者にも開発者にも役立つ基本がわかる 【こんな人におすすめ】 ・企業においてセキュリティ対策をしたい人 ・セキュリティを考慮したシステムを開発したい人 ・個人情報の管理における注意点を知りたい人 ・セキュリティ関連の資格試験を受ける人 ・自身のセキュリティを高める必要を感じている人 【内容紹介】 企業におけるセキュリティでは、 小さなことでも気づいたことを 少しずつ改善していく、 その積み重ねが大切です。 そこで、本書では見開きで 1つのテーマを取り上げ、 図解を交えて解説しています。 最初から順に読んで 体系的な知識を得るのはもちろん、 気になるテーマやキーワードに 注目しながら読むなど、 状況に合わせて活用してください。 【目次】 第1章　セキュリティの基本的な考え方 ～分類して考える～ 第2章　ネットワークを狙った攻撃 ～招かれざる訪問者～ 第3章　ウイルスとスパイウェア ～感染からパンデミックへ～ 第4章　脆弱性への対応 ～不備を狙った攻撃～ 第5章　暗号／署名／証明書とは ～秘密を守る技術～ 第6章　組織的な対応 ～環境の変化に対応する～ 第7章　セキュリティ関連の法律・ルールなど ～知らなかったでは済まされない～ 第1章　セキュリティの基本的な考え方 ～分類して考える～ 1-1　攻撃者の目的 ～愉快犯、ハクティビズム、金銭奪取、サイバーテロ～ 1-2　セキュリティに必要な考え方 ～情報資産、脅威、リスク～ 1-3　脅威の分類 ～人的脅威、技術的脅威、物理的脅威～ 1-4　内部不正が起きる理由 ～機会、動機、正当化～ 1-5　セキュリティの三要素 ～機密性、完全性、可用性～ 1-6　三要素（CIA）以外の特性 ～真正性、責任追跡性、否認防止、信頼性～ 1-7　コスト、利便性、安全性の考え方 ～トレードオフ～ 1-8　適切な人にだけ権限を与える ～アクセス権、認証、認可、最小特権～ 1-9　パスワードを狙った攻撃 ～総当たり攻撃、辞書攻撃、パスワードリスト攻撃～ 1-10　使い捨てのパスワードで安全性を高める ～ワンタイムパスワード、多要素認証～ 1-11　不正なログインから守る ～リスクベース認証、CAPTCHA～ 1-12　パスワードを取り巻く環境の変化 ～シングルサインオン、パスワード管理ツール～ 1-13　個人の身体的情報を利用する ～指紋認証、静脈認証、虹彩認証、顔認証～ やってみよう　インターネットに接続するだけでわかってしまう情報を知ろう 第2章　ネットワークを狙った攻撃 ～招かれざる訪問者～ 2-1　データの盗み見 ～盗聴～ 2-2　データの信頼性を脅かす攻撃 ～改ざん～ 2-3　特定人物になりすます ～なりすまし～ 2-4　法律による不正アクセスの定義 ～不正アクセス～ 2-5　無実の人が加害者に ～乗っ取り～ 2-6　攻撃のための裏口を設置 ～バックドア、rootkit～ 2-7　負荷をかけるタイプの攻撃 ～DoS攻撃、DDoS攻撃、ボットネット、メールボム～ 2-8　攻撃をどこで防ぐか ～入口対策、出口対策、多層防御～ 2-9　不正アクセス対策の基本 ～ファイアウォール、パケットフィルタリング～ 2-10　通信の監視と分析 ～パケットキャプチャ～ 2-11　外部からの侵入を検知・防止する ～IDS、IPS～ 2-12　集中管理で対策効果を上げる ～UTM、SIEM～ 2-13　ネットワークを分割する ～DMZ、検疫ネットワーク～ 2-14　ネットワークへの接続を管理する ～MACアドレスフィルタリング～ 2-15　安全な通信を実現する ～無線LANの暗号化と認証～ やってみよう　自分の行動を見ていたような広告が表示される理由を知ろう 第3章　ウイルスとスパイウェア ～感染からパンデミックへ～ 3-1　マルウェアの種類 ～ウイルス、ワーム、トロイの木馬～ 3-2　ウイルス対策の定番 ～ウイルス対策ソフトの導入、ウイルス定義ファイルの更新～ 3-3　ウイルス対策ソフトの技術 ～ハニーポット、サンドボックス～ 3-4　偽サイトを用いた攻撃 ～フィッシング、ファーミング～ 3-5　メールによる攻撃や詐欺 ～スパムメール、ワンクリック詐欺、ビジネスメール詐欺～ 3-6　情報を盗むソフトウェア ～スパイウェア、キーロガー～ 3-7　身代金を要求するウイルス ～ランサムウェア～ 3-8　防ぐのが困難な標的型攻撃 ～標的型攻撃、APT攻撃～ 3-9　気をつけたいその他のWebの脅威 ～ドライブバイダウンロード、ファイル共有サービス～ 3-10　ウイルス感染はPCだけではない ～IoT機器のウイルス～ やってみよう　メールの差出人を偽装してみよう 第4章　脆弱性への対応 ～不備を狙った攻撃～ 4-1　ソフトウェアの欠陥の分類 ～不具合、脆弱性、セキュリティホール～ 4-2　脆弱性に対応する ～修正プログラム、セキュリティパッチ～ 4-3　対策が不可能な攻撃？ ～ゼロデイ攻撃～ 4-4　データベースを不正に操作 ～SQLインジェクション～ 4-5　複数のサイトを横断する攻撃 ～クロスサイトスクリプティング～ 4-6　他人になりすまして攻撃 ～クロスサイトリクエストフォージェリ～ 4-7　ログイン状態の乗っ取り ～セッションハイジャック～ 4-8　メモリ領域の超過を悪用 ～バッファオーバーフロー～ 4-9　脆弱性の有無を検査する ～脆弱性診断、ペネトレーションテスト、ポートスキャン～ 4-10　Webアプリケーションを典型的な攻撃から守る ～WAF～ 4-11　開発者が気をつけるべきこと ～セキュア・プログラミング～ 4-12　便利なツールの脆弱性に注意 ～プラグイン、CMS～ 4-13　脆弱性を定量的に評価する ～JVN、CVSS～ 4-14　脆弱性情報を報告・共有する ～情報セキュリティ早期警戒パートナーシップガイドライン～ やってみよう　脆弱性を数値で評価してみよう 第5章　暗号／署名／証明書とは ～秘密を守る技術～ 5-1　暗号の歴史 ～古典暗号、現代暗号～ 5-2　高速な暗号方式 ～共通鍵暗号～ 5-3　鍵配送問題を解決した暗号 ～公開鍵暗号～ 5-4　公開鍵暗号を支える技術 ～証明書、認証局、PKI、ルート証明書、サーバ証明書～ 5-5　改ざんの検出に使われる技術 ～ハッシュ～ 5-6　公開鍵暗号のしくみを署名に使う ～電子署名、デジタル署名～ 5-7　共通鍵暗号と公開鍵暗号の組み合わせ ～ハイブリッド暗号、SSL～ 5-8　Webサイトの安全性は鍵マークが目印 ～HTTPS、常時SSL、SSLアクセラレータ～ 5-9　安全性をさらに追求した暗号 ～RSA暗号、楕円曲線暗号～ 5-10　暗号が安全でなくなるとどうなる？ ～暗号の危殆化、CRL～ 5-11　メールの安全性を高める ～PGP、S/MIME、SMTP over SSL、POP over SSL～ 5-12　リモートでの安全な通信を実現 ～SSH、クライアント証明書、VPN、IPsec～ 5-13　プログラムにも署名する ～コード署名、タイムスタンプ～ 5-14　データ受け渡しの仲介に入る攻撃者 ～中間者攻撃～ やってみよう　ファイルが改ざんされていないか確認しよう 第6章　組織的な対応 ～環境の変化に対応する～ 6-1　組織の方針を決める ～情報セキュリティポリシー、プライバシーポリシー～ 6-2　セキュリティにおける改善活動 ～ISMS、PDCAサイクル～ 6-3　情報セキュリティ監査制度によるセキュリティレベルの向上 ～情報セキュリティ管理基準、情報セキュリティ監査基準～ 6-4　最後の砦は「人」 ～情報セキュリティ教育～ 6-5　インシデントへの初期対応 ～インシデント、CSIRT、SOC～ 6-6　ショッピングサイトなどにおけるクレジットカードの管理 ～PCI DSS～ 6-7　災害対策もセキュリティの一部 ～BCP、BCM、BIA～ 6-8　リスクへの適切な対応とは ～リスクアセスメント、リスクマネジメント～ 6-9　不適切なコンテンツから守る ～URLフィルタリング、コンテンツフィルタリング～ 6-10　トラブル原因を究明する手がかりは記録 ～ログ管理・監視～ 6-11　証拠を保全する ～フォレンジック～ 6-12　モバイル機器の管理 ～MDM、BYOD～ 6-13　情報システム部門が把握できないIT ～シャドーIT～ 6-14　企業が情報漏えいを防ぐための考え方 ～シンクライアント、DLP～ 6-15　物理的なセキュリティ ～施錠管理、入退室管理、クリアデスク、クリアスクリーン～ 6-16　可用性を確保する ～UPS、二重化～ 6-17　契約内容を確認する ～SLA～ やってみよう　自社のセキュリティポリシーや、使用しているサービスのプライバシーポリシーを見てみよう 第7章　セキュリティ関連の法律・ルールなど ～知らなかったでは済まされない～ 7-1　個人情報の取り扱いルール ～個人情報保護法～ 7-2　個人情報の利活用 ～オプトイン、オプトアウト、第三者提供、匿名化～ 7-3　マイナンバーと法人番号の取り扱い ～マイナンバー法～ 7-4　個人情報の管理体制への認定制度 ～プライバシーマーク～ 7-5　厳格化されたEUの個人情報管理 ～GDPR～ 7-6　不正アクセスを処罰する法律 ～不正アクセス禁止法～ 7-7　ウイルスの作成・所持に対する処罰 ～ウイルス作成罪～ 7-8　コンピュータに対する詐欺や業務妨害 ～電子計算機使用詐欺罪、電子計算機損壊等業務妨害罪～ 7-9　著作物の無断利用に注意 ～著作権法、クリエイティブ・コモンズ～ 7-10　プロバイダと電子メールのルール ～プロバイダ責任制限法、迷惑メール防止法～ 7-11　デジタルでの文書管理に関する法律 ～電子署名法、e-文書法、電子帳簿保存法～ 7-12　国が規定するセキュリティ戦略や理念 ～IT基本法、サイバーセキュリティ基本法、官民データ活用推進基本法～ 7-13　セキュリティ関連の資格 ～情報セキュリティマネジメント試験、情報処理安全確保支援士、CISSP～ やってみよう　個人情報保護法に関連するガイドラインなどを調べよう

最新のセキュリティの基本をこの1冊で！ 大好評の「イラスト図解式」シリーズ 第４弾！ 今回のテーマは「情報セキュリティ」です。 ネットワークが高度に発達した現在では、サービスの提供者はもとより、利用者側も「セキュリティの基礎知識」は必修です。 基本的なことを知っておくだけでも、情報漏えいや不正アクセスといったリスクを大幅に軽減できます。 本書ではセキュリティの基礎知識を「防御」「観測」「攻撃」の3つに大別し、各カテゴリごとに説明しています。 なぜセキュリティが必要なのか。どのようにしてセキュリティは確保されているのか。その仕組みを図解で解説します。 また、セキュリティ関連の法律についても触れています。セキュリティ技術の多くは関連法律と密接に関係しているため、 基本的な全体像を把握しておくことはとても大切です。 ぜひ本書で情報セキュリティの全容をぜひ理解してください。 1章 セキュリティの基本 2章 セキュリティを確保するためのしくみ 3章 攻撃を観測・検知・解析するためのしくみ／技術 4章 セキュリティを脅かすしくみや動き 5章 セキュリティを脅かす手口や技術 6章 セキュリティを確保するために使われる技術 7章 ネットワーク・セキュリティ 8章 セキュリティに関連した法律 9章 セキュリティを取り巻く各種規約／団体／取組等

情報セキュリティマネジメント試験に合格するためのキーワード解説と問題集が一体となったテキスト＆問題集です。 情報セキュリティマネジメント試験に合格するためのキーワード解説と問題集が一体となったテキスト＆問題集です。2019年から過去問が公開されなくなったこと、暗記だけでなく理解が求められるようになったことから、しっかりした試験対策が必要となっています。 本書では普遍的で確実に理解しておく必要があるキーワードを中心に据えて知識の体幹を整え、そのうえで新しい概念や理解をできるように構成しています。 また暗記だけでは答えられない科目B試験に取り組むための情報も紹介しました。 SECTION1　基礎力チェック ［基本キーワード］ SECTION2　セキュリティ技術 SECTION3　セキュリティ管理 SECTION4　セキュリティ技術評価 SECTION5　情報セキュリティ対策 SECTION6　セキュリティ実装技術 SECTION7　法規 SECTION8　ガイドライン・標準化 SECTION9　コンピュータシステム SECTION10　データベース SECTION11　ネットワーク SECTION12　プロジェクトマネジメント SECTION13　サービスマネジメント SECTION14　システム監査 SECTION15　情報システム戦略 SECTION16　企業活動 SECTION17　注目キーワード SECTION18　科目B試験対策 情報セキュリティマネジメント試験に合格するためのキーワード解説と問題集が一体となったテキスト＆問題集です。資格試験を受ける人にとって必須の基礎知識と応用が学べます。 SECTION1　基礎力チェック ［基本キーワード］ SECTION2　セキュリティ技術 SECTION3　セキュリティ管理 SECTION4　セキュリティ技術評価 SECTION5　情報セキュリティ対策 SECTION6　セキュリティ実装技術 SECTION7　法規 SECTION8　ガイドライン・標準化 SECTION9　コンピュータシステム SECTION10　データベース SECTION11　ネットワーク SECTION12　プロジェクトマネジメント SECTION13　サービスマネジメント SECTION14　システム監査 SECTION15　情報システム戦略 SECTION16　企業活動 SECTION17　注目キーワード SECTION18　科目B試験対策