情報セキュリティ入門 : インターネット、電子取引…サイバー時代のリスク管理

キーフレーズ

http:// セキュリティ www インターネット システム 暗号 情報セキュリティ 電子マネー ウイルス ネットワーク ファイアウォール リスク管理 情報 データ 企業 公開鍵 セキュリティ対策 パスワード 暗号化 認証 日本 co.jp 不正アクセス サイバー 電子メール 米国 電子商取引 ファイル 場合 .com 技術 カード リスク イントラネット アクセス サービス インターネット上 http 利用 利用者 コンヒ 機能 プログラム 管理 できる 金融機関 秘密鍵 必要 ユーザー 感染 ビジネス セキュリテ サーバ 電子 html DES マイクロソフト 可能性 電子署名 ゲートウェイ スマートカード 公開鍵暗号 Security 認証局 ソフトウェア プロキシ 機関 可能 VPN 通信 クライアント JPCERT/CC リカバリー 管理者 発行 バックアップ デジタル署名 セキュリティポリシー クレジットカード サイト 製品 現在 対策 問題 SSL 使用 アルゴリズム 対応 ソフト 方法 ユーザ SET フィルタリング 発生 コンピュータウイルス メッセージ

目次

目 次 はじめに 1 第 1 章リスク管理と情報セキュリティ 1 サイバー時代の脅威 ( 1 ) セキュリティ定点観測 ( 2 ) クラッカーの集中砲火を浴びるサービスプロバイダ ( 3 ) インターネットプームに潜む脅威と危機 ( 4 ) クラッカーの手口と快楽犯罪 ( 5 ) コンピュータウイルスの流行とワクチン・ビジネス ( 6 ) 不正アクセスの実態は表に出ない ( 7 ) 犯されている電子メールのプライバシー ( 8 ) インターネットプラウザはハッカーののぞき穴 Office 製品にもあるセキュリティバグ ( 9 ) ( 10 ) バスワードは簡単に盗まれる 2 セキュリティには表と裏がある 暗号は防御にも脅威にもなる ( 1 ) ( 2 ) 規範と品位を揺るがすインターネット 有害情報、盗聴、検閲の境があいまいに ( 3 ) ポルノ規制を巡る議論 ( 4 ) ( 5 ) 通信の傍受と盗聴を巡る議論 「人相」「指紋」を識別する「セキュリティ技術」 ( 6 ) 12 つ」 ( 0 ( 0 7 8 LD マ / 0 -1 1 一つこっこ ( 0 c€) 33 っ 4 ・ (D 8 0 っこ っ ) CO っ ) ( 0 4 4 4

目 次 3 情報セキュリティはマネージメントである ( 1 ) デジタルリテラシーの遅れが招くシステム免疫不全 ( 2 ) インフラの脆弱さ ( 3 ) 揺らぐリスク意識 ( 4 ) 不正アクセスに気づかないでいる現状 ( 5 ) 甘えの構造がリスクを誘発する 4 セキュリティ管理は企業活動の根幹 企業のセキュリティ意識とリスク管理 ( 1 ) リスク管理はトラブル対策ではない ( 2 ) 情報セキュリティの歴史は情報戦争の歴史 ( 3 ) リスクコントロールの体系的理解へ ( 4 ) リスク管理はコストを覚悟しなければならない ( 5 ) 企業アセット ( 資産 ) とリスクとのバランスが重要に ( 6 ) リスクの定量化とリスクコンポーネント ( 7 ) インターネット時代のレーガルリスクコントロール ( 8 ) すすむ情報セキュリティの基準づくり ( 9 ) サイバーモールと急がれる法的な課題 ( 1 0 ) 5 情報セキュリティと「マネー」をめぐる動向 サイバー時代の信用制度「認証」 ( 1 ) 脚光浴びる認証サービスのビジネス ( 2 ) インターネット・ファイナンスとリスクビジネス ( 3 ) クレジットカード情報が狙われている ( 4 ) " なりすまし " を防ぐ電子認証サービスの仕組み セキュリティを巡る市場と標準動向 ( 6 ) ネットワーク決済と電子マネー ( 7 ) 44 一 4 ( 0 8 C) 0 ・ 4 ・ 4 4 4- ロ 0 53 ( 0 LO 「 / 0 0 1 ~ っこ 4 マ / ・ 1 LO LD に 0 LD (D ( 0 ( 0 ( 0 (D 「 / 74 5

第 2 章サイバービジネスと情報セキュリティ入門 1 電子取引の必須ツール「暗号」 ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 ) ( 7 ) ( 8 ) ( 9 ) ( 11 ) ( 12 ) ( 13 ( 10 ) 防御と攻撃の両刃の剣としての暗号 多表式暗号から現在の公開鍵暗号へ 暗号のアルゴリズムとは インターネットの暗号と認証技術 公開鍵と電子 ( デジタル ) 署名 SSL について 公開鍵暗号方式 RSA DES 暗号 tripIe-DES と Skipjack について RC2 、日 C4 、 IDEA の各暗号 国産暗号技術も台頭 代表的な暗号ソフトウェア PGP 2 暗号政策を巡る駆け引き ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 ) ( 7 ) 6 暗号技術の功罪 暗合の覇権を巡る駆け引き キー寄託制度を「ハッカー」が覆す 暗号製品の輸出規制緩和の動き 暗号製品の通商政策の動向 日本、欧州にも波及するキーリカバリー構想 キーリカバリー対応に取り組むアメリカの企業 95 96 ・ 129 ・ 128 ・ 127 ・ 124 ・ 122 ・ 120 ・ 1 1 8 ・ 1 1 8 ・ 1 16 ・ 1 1 3 ・ 108 ・ 106 ・ 104 ・ 102 ・ 1 OO 98 96

目 3 本格化してきた電子公証と認証局 ( 1 ) 認証とは ( 2 ) 認証機関 ( 3 ) 認証局のサービス事業者 (CA) ( 4 ) いよいよ動き出した電子認証決済「 SET 」 4 電子署名の仕組みと応用 ( 1 ) 電子署名とは ( 2 ) べリサイン社のデジタル ID 製品 ( 3 ) 電子署名用の規格案 (DSS) と Fortezza カード 5 関心を呼ぶスマートカードと電子マネー ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) 電子マネー普及の鍵を握るセキュリティ 電子マネー実現方式のプロトコル 出そろってきた電子マネー スマートカードの次世代サービス スマートカード ( ℃カード ) とセキュリティ 第 3 章企業のセキュリティ対策 7 カ条 1 企業システムのセキュリティの基本 ( 1 ) ( 2 ) ( 3 ) ( 4 ) イントラネットやモバイルを導入する前に バスワードで安心する「危険」 バスワードだけでは安全でない理由 暗号バスワードに注目集まる 次 ・ 132 ・ 132 ・ 135 ・ 138 ・ 142 ・ 145 ・ 14 5 ・ 148 ・ 150 ・ 152 ・ 152 ・ 154 ・ 158 ・ 166 ・ 172 ・ 172 ・ 174 ・ 176 ・ 177 7

2 コンビュータウイルス対策 ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 ) ( 7 ) ウイルスはシステムの指紋 ウイルス感染後の徴候と検出 コンピュータウイルスの感染ルート コンピュータウイルスの分類 コンピュータウイルスの発症パターン コンピュータウイルスの検出と駆除ツール 転ばぬ先のウイルス対策 3 イントラネットとファイアウォール ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 ) インターネット接続に欠かせぬ守り プロキシとファイアウォール ファイアウォールの限界 WWW サーバとハッキング対策 イントラネットのセキュリティ対策 ファイアウォール製品選択のポイント 4 企業間取引とセキュリティ対策 ( 1 ) 工クストラネットとセキュリティ ( 2 ) 先進企業で関心を呼ぶ VPN ( 3 ) VPN の実装形態 5 企業システムのバックアップ対策 ( 1 ) ( 2 ) ( 3 ) 8 UPS ( 無停電電源装置 ) ・ データの破壊や消失に備えるデータ・バックアップ 脚光浴びるコンピュータ総合保険 ・ 178 ・ 227 ・ 225 ・ 221 ・ 221 ・ 220 ・ 216 ・ 214 ・ 214 ・ 21 1 ・ 207 ・ 204 ・ 203 ・ 200 ・ 197 ・ 197 ・ 195 ・ 187 ・ 183 ・ 181 ・ 180 ・ 178

目 6 セキュリティポリシーの確立に向けて ・サ・一 / ヾ ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 ) ( 7 ) セキュリティポリシーの基本的なアプローチ リスク分析の手続き コンピュータ緊急対応センター (CERT) について・ 企業システムの相互運用とエンタープライズ・セキュリテイへ・ セキュリティポリシーと業務プロセスの再構築 セキュリティ・アシュアランス・オペレーションの提案 エピローグ 第 4 章セキュリティ・リソースセンター 1 セキュリティ・リソースセンター ②ウイルス対策ソフト ①暗号製品 ( 1 ) カテゴリー別セキュリティ・ツールー ③認証サービス / 製品 ( 3 ) コマース・サーバ、マーチャント ( 2 ) クレジットカード付け払い方式 ④電子マネー ① ② ③ ⑤ 少額決済システム フィルタリング セキュリティアセスメント製品 ファイアウォール セキュリティ装置 ( ハードウェア ) ・ ( 4 ) その他、セキュリティ専門組織 次 ・ 230 ・ 230 ・ 232 ・ 234 ・ 235 ・ 241 ・ 243 ・ 245 ・ 247 ・ 248 ・ 248 ・ 248 ・ 251 252 ・ 253 ・ 256 ・ 256 ・ 260 ・ 261 ・ 261 ・ 261 ・ 262 9 ・ 263

2 セキュリティ / リスクマネジメント関連企業・団体リスト・ ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) 国内リスクマネジメント関連機関 外国系リスクマネジメント関連機関 インターネットセキュリティを巡るディスカッションサイト その他、リスク相談・専門機関 主要セキュリティベンダー 3 参考文献 あとがき ・ 267 ・ 283 ・ 272 ・ 271 ・ 271 ・ 270 ・ 268 ・ 267

奥付

【著者紹介】 森田進 ( もりたすすむ ) 立教大学経済学部卒。デジタルコンビュータ、ソフトバンク総合研究所、 ーに勤務し、 UNIX べースの分散システム、各種コンポーネントの設 計に携わる。その後、独立して、日本能率協会、電通などの調査プロジェ クトに招かれ、ハイテク分野のアナリストとして活動。平成元年より、企 業システムの診断、改善、資産管理、 TCO セキュリティポリシー等のコン サルティング活動に取り組む。 現在、ストラテジック・リサーチ代表取締役。情報セキュリティ分野の べンダーと幅広く交流する傍ら、さまざまのコンソーシアム活動に参加し、 セキュリティポリシーの啓蒙活動に取り組む。 主な著書に「ワークステーション標準ハンドブック』 ( 技術評論社 ) 、「グ ループウェアとイントラネット』 ( 産能大学出版部 ) 、「イントラネット構築 の技術』 ( 日本能率協会マネジメントセンター ) など多数がある。 連絡先 : ストラテジック・リサーチ TEL : 03-3423-3457 st-r@highway. ne. jp http: 〃 www. ST- R. co. jp/ 情報セキュリティ入門 1998 年 12 月 22 日第 1 版第 1 刷発行 発行所 ( 槲産労総合研究所出版部 C)Susurnu Morit. a 1998 Printed ⅲ Japan 乱丁・落丁本はお取り替えいたします。無断転載はご遠慮ください。 BN4 ー 87913 ー 689 ー 1 C 開 振替 00180 一 0 ー 11361 電話 03 ー 3237 ー 1601 清瀬会館 〒 102-0093 東京都千代田区平河町 2 ー 4 ー 7 平盛雄 森田進 著者 発行者 印刷・製本 株式会社ワコープラネット