Security

ネットワークビギナーのための情報セキュリティハンドブック Ver.2.00 の目次

投稿日:2016年12月16日 更新日:

はじめに

昨日 2016年12月15日、NISC(内閣サイバーセキュリティセンター) から「情報セキュリティハンドブックVer.2.00」が公開されました。

この資料は具体的な操作方法などが書いてあるわけではありませんが、一般的なパソコンユーザー(タブレット・スマートフォンも含め)がセキュリティを学ぶには十分な資料であると思います。盛りだくさんの内容です。
しかしながら、PDF文書でしか提供されていないため(Webサイト版はない)、パソコン上でちゃんと読み進めることを面倒に感じてしまう人もいるのではないかと思いました。 そこで、それを少しでも和らげるため、この文書の目次を以下に掲載することにしました。 これを見るだけでも、だいたい何が書いてあるのか分かりますし、ここから読みたいところを探すことができます。 資料を読む際の取っ掛かりとしてご利用下さい。

ネットワークビギナーのための情報セキュリティハンドブック Ver.2.00

PDF文書は、こちらでダウンロードすることができます。

目次

  • はじめに~おうちのCSIRTになってね~
  • Black Hat the Cracke

プロローグ サイバー攻撃ってなに?

1. サイバー攻撃のイメージ

  • 1. サイバー攻撃って誰がやっているの?どうするの?
  • コラム:攻撃者とハッカーとクラッカー
  • コラム:攻撃者が使う武器「マルウェア」
  • 2. サイバー攻撃の例
  • 3. サイバー関連の犯罪やトラブル
  • 4. 人の心の隙を突く「ソーシャルエンジニアリング」攻撃

第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう!~

1. 4つのポイントでセキュリティを守る

  • 1. システムを最新に保つ。セキュリティソフトを入れて防ぐ
  • 2. 複雑なパスワードと多要素認証で侵入されにくくする
  • 3. 攻撃されにくくするには侵入に手間(コスト)がかかるようにする
  • 4. 心の隙を作らないようにする(対ソーシャルエンジニアリング)

2. 環境を最新に保つ、セキュリティソフトを導入する

  • 1. セキュリティソフトを導入して守りを固めよう
  • 2. パソコン本体とセキュリティの状態を最新に保とう
  • 3. スマホやネットワーク機器も最新に保とう
  • 4. ソフトやアプリは信頼できる場 ところ 所から。権限にも気をつける
  • コラム:必要ならばスマホにはセキュリティパックを検討しよう
  • コラム:パソコンやスマホを最新の状態に保っても防げない攻撃がある。それがゼロディ攻撃!

3. 複雑なパスワードと多要素認証で侵入されにくくする

  • 1. パスワードの安全性を高める
  • 2. パスワードの使い回しをしない
  • 3. パスワードを適切に保管する
  • 4. 秘密の質問にはまじめに答えない。多要素や生体認証を使う
  • コラム:パスワードはどうやって漏れるの?どう使われるの?

4. 攻撃されにくくするには、手間(コスト)がかかるようにする

5. 心の隙を作らないようにする(対ソーシャルエンジニアリング)

  • コラム:軍事スパイ、産業スパイに狙われてしまったら
  • コラム:映画「ザ・ハッカー」にみるソーシャルエンジニアリング
  • コラム:スパムメールとその由来

第2章 セキュリティを理解して、ネットを安全に使う

1. パスワードを守る、 パスワードで守る

  • 1. パスワードってなに?
  • 2. 3種類の「パスワード」を理解する
  • 3.「PINコード」と「ログインパスワード」に求められる複雑さの違い
  • 4.「暗号キー」に求められる複雑さ
  • 5. どちらの「パスワード」か、わかりにくい例
  • 6. 総当たり攻撃以外のパスワードを破る攻撃や生体認証を使った防御
  • 7. パスワードの定期変更は必要なし。流出時は速やかに変更する
  • 8. パスワード流出時の便乗攻撃に注意
  • 9. 厳重なパスワードの保管
  • 10. パスワード情報をクラウドで利用する善し悪し
  • 11. ノートやスマホを失くした場合のリカバリ考察
  • 12. 次善の策のソーシャルログイン。二段階認証などで防御
  • 13. ソーシャルログインで連携される情報に注意
  • 14. ソーシャルログインとは性格が違うサービス連携
  • コラム:暗号化の超簡単説明

2. 通信を守る、無線LANを安全に利用する

  • 1. それぞれの状況に合わせた暗号化の必要性
  • 2. 無線LAN通信(Wi-Fi)の構成要素
  • 3. 暗号化なしや、方式が安全ではないものは危険
  • 4. 暗号化方式が安全でも「暗号キー」が漏れれば危険
  • 5. 家庭内での安全な無線LANの設定(暗号化方式)
  • 6. 家庭内での安全な無線LANの設定(その他)
  • 7. 公衆無線LAN の安全な利用
  • 8. 個別の「暗号キー」を用いる方式の無線LAN
  • 9. 公衆無線LAN に関して新規に購入したスマホなどで行うこと
  • 10. 公衆無線LAN が安全ではない場合の利用方法
  • 11. 自前の暗号化による盗聴対策
  • 12. まとめて暗号化するVPN、現状は過信できないが今後に期待

3. ウェブを安全に利用する、暗号化で守る

  • 1. 無線LAN の暗号化とVPNの守備範囲
  • 2. 全ての通信と、その一部であるウェブの通信
  • 3. httpsで始まる暗号化通信にはどんなものがあるか
  • 4. より厳格な審査の「EVSSL証明書」
  • 5.「EV-SSL証明書」を持つサイトを見分ける方法
  • 6. 有効期限が切れた証明書は拒否する
  • 7. 他にも証明書に関する警告が出るサイトは接続しない
  • 8. ウェブサービスのログインは二段階認証などを使う
  • 9. 二段階認証を破る「中間者攻撃」
  • 10. ウェブを使ったサイバー攻撃に対応する

4. メールを安全に利用する、暗号化で守る

  • 1. メールにおける暗号化
  • 2. スパムメールの嵐と、メールの暗号化
  • 3. 受信側も暗号化で保護
  • 4. メールにおける暗号化の守備範囲
  • 5. 暗号化から見たウェブメールの利用と、同一サービス内の暗号化
  • 6. 怪しいメールとはなにか
  • 7. マルウェア入りの添付ファイルに気をつける
  • 8. メールアドレスのウェブサービスなどからの流出
  • 9. 流出・スパム対策としての、変更可能メールアドレスの利用
  • 10. 通信の安全と永続性を考えたSNSやメールの利用

5. データファイルを守る、暗号化で守る

  • コラム:クラウドサービスからのデータ流出。原因は?

第3章 スマホ・パソコンのより進んだ使い方やトラブルの対処の仕方

1. スマホのセキュリティ設定

  • 1. スマホにはロックをかけよう。席において離れたり、人に貸したりするのは×
  • 2. 情報漏れを防ぐ①
  • 3. 情報漏れを防ぐ②
  • 4. スムーズな機種変更と、予期せぬデータ流出の防ぎ方
  • 5. 防水機能を過信してデータを失わないように
  • コラム:GPS、位置情報、ジオタグの管理

2. パソコンのセキュリティ設定

  • 1. パソコンを買ったら初期設定などを確実に
  • 2. 暗号化機能等でセキュリティレベルを高める
  • 3. マルウェア感染に備え、バックアップ体制を整える
  • 4. 売却や廃棄するときはデータを消去する
  • 5. 盗難や紛失、パソコンとスマホ、どっちが安全?
  • コラム:ダブルラインでトラブルに備える

3. 屋外・海外でのネットワーク利用

  • 1. 一見なにもないように見えて、危険がいっぱい
  • 2. インターネットカフェの利用
  • 3. 海外でスマホやタブレットを活用するために

4. それでも攻撃を受けてしまったときの対処

  • 1. 兆候に気をつけて被害が出たら対処
  • コラム:究極の防御手段「ネットにつながない」エアギャップ
  • コラム:無料ということの意味は何か

第4章 被害に遭わないために、知らない間に加害者にならないために

1. 攻撃者に乗っ取られるとこんなことが起こる

  • 1. 被害に遭わない、そして加害者にならないために
  • 2. 盗まれた情報は犯罪に使われる
  • 3. 乗っ取られた機器はサイバー攻撃に使われる
  • 4. IoTも乗っ取られる。知らずにマルウェアの拡散も

2. サイバー関連でやってはいけないこと

  • 1. アニメ・マンガ・音楽の違法なシェア。パクリなどの著作権の侵害
  • 2. ゲームの不正行為。恋人や家族でもプライバシーは守る
  • 3. クラッキングはクールじゃない!
  • コラム:モラルを逸脱すると炎上を生む

第5章 自分を守る、家族を守る、災害に備える

1. SNSやネットとのつきあい方、守り方

  • 1. SNSやネットの楽しみと気をつけること
  • 2. SNSやネットの怖さ、こんなことが実際に起こっている
  • 3. SNSやネットとのつきあい方の基本
  • 4. 存在するデータは流出することがある。流出したら消すことは難しい
  • コラム:SNSや学校裏サイトを使ったいじめに備える(いじめ経験者からのアドバイス)
  • コラム:デマに踊らされない! ソースを探せ! 確かめよう!

2. デジタルテクノロジーで家族を守る

  • 1. 子ども達を守る
  • 2. お年寄りを守る

3. 大災害やテロに備える

  • 1. まずは自分の身の安全を確保する
  • 2. 電池をもたす、情報収集をする
  • 3. ラジオ、ワンセグを使った情報収集
  • 4. 徒歩帰宅。海外での災害やテロに備えて
  • コラム:屋外でのゲームを安全に楽しむ
  • 5. ネットを使わない移動トレーニング(現代オリエンテーリング)
  • コラム:デジタル遺産相続

エピローグ 来たるべき新世界

  • 1. ネットの「今」と、どう守っていくか
  • 2. デジタルネイティブと未来
  • 3. バーチャル空間を超えて世界へ
  • 4. おわりに

用語集

情報セキュリティ関連サイト一覧

索引

📂-Security

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

PHP

Laravel 5 でのセキュリティ対策 (PHP)

目次1. ユーザーによる入力値の検証入力パラメータ値のエンコーディングが正しいことをチェックするMiddlewareの例制御文字を禁止するバリデーションルールを追加する例1. バリデーション用のクラス …

Web Security

XSS Auditor が有効になっているかチェックするためのページを作りました

目次1. XSS とは?2. XSS を防ぐためのブラウザの機能「XSS Auditor」3. Webブラウザの XSS Auditor 機能が有効かどうか調べる4. 参考 1. XSS とは? XS …

Web Security

CSP Level 3 で Strict CSP を利用する

CSP Level 3 で Strict CSP を利用する方法について説明します。

no image

ウェブサイトの完全 SSL/TLS 化が進んでいる

参考 Google、Chromeで半数以上がHTTPSを利用と発表 | マイナビニュース 2016/11/09 Chrome は Google にどこまでの情報を送っているのでしょうか? そこも気にな …

no image

IPA「SSL/TLS 暗号設定 ガイドライン」を基にしたウェブサーバーの設定例

SSL/TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~:IPA 独立行政法人 情報処理推進機構 を参考にして、実際にウェブサーバーのSSL設定をどう書けばよいのか?をメモし …