目 次 はじめに 1 第 1 章リスク管理と情報セキュリティ 1 サイバー時代の脅威 ( 1 ) セキュリティ定点観測 ( 2 ) クラッカーの集中砲火を浴びるサービスプロバイダ ( 3 ) インターネットプームに潜む脅威と危機 ( 4 ) クラッカーの手口と快楽犯罪 ( 5 ) コンピュータウイルスの流行とワクチン・ビジネス ( 6 ) 不正アクセスの実態は表に出ない ( 7 ) 犯されている電子メールのプライバシー ( 8 ) インターネットプラウザはハッカーののぞき穴 Office 製品にもあるセキュリティバグ ( 9 ) ( 10 ) バスワードは簡単に盗まれる 2 セキュリティには表と裏がある 暗号は防御にも脅威にもなる ( 1 ) ( 2 ) 規範と品位を揺るがすインターネット 有害情報、盗聴、検閲の境があいまいに ( 3 ) ポルノ規制を巡る議論 ( 4 ) ( 5 ) 通信の傍受と盗聴を巡る議論 「人相」「指紋」を識別する「セキュリティ技術」 ( 6 ) 12 つ」 ( 0 ( 0 7 8 LD マ / 0 -1 1 一つこっこ ( 0 c€) 33 っ 4 ・ (D 8 0 っこ っ ) CO っ ) ( 0 4 4 4

目 次 3 情報セキュリティはマネージメントである ( 1 ) デジタルリテラシーの遅れが招くシステム免疫不全 ( 2 ) インフラの脆弱さ ( 3 ) 揺らぐリスク意識 ( 4 ) 不正アクセスに気づかないでいる現状 ( 5 ) 甘えの構造がリスクを誘発する 4 セキュリティ管理は企業活動の根幹 企業のセキュリティ意識とリスク管理 ( 1 ) リスク管理はトラブル対策ではない ( 2 ) 情報セキュリティの歴史は情報戦争の歴史 ( 3 ) リスクコントロールの体系的理解へ ( 4 ) リスク管理はコストを覚悟しなければならない ( 5 ) 企業アセット ( 資産 ) とリスクとのバランスが重要に ( 6 ) リスクの定量化とリスクコンポーネント ( 7 ) インターネット時代のレーガルリスクコントロール ( 8 ) すすむ情報セキュリティの基準づくり ( 9 ) サイバーモールと急がれる法的な課題 ( 1 0 ) 5 情報セキュリティと「マネー」をめぐる動向 サイバー時代の信用制度「認証」 ( 1 ) 脚光浴びる認証サービスのビジネス ( 2 ) インターネット・ファイナンスとリスクビジネス ( 3 ) クレジットカード情報が狙われている ( 4 ) " なりすまし " を防ぐ電子認証サービスの仕組み セキュリティを巡る市場と標準動向 ( 6 ) ネットワーク決済と電子マネー ( 7 ) 44 一 4 ( 0 8 C) 0 ・ 4 ・ 4 4 4- ロ 0 53 ( 0 LO 「 / 0 0 1 ~ っこ 4 マ / ・ 1 LO LD に 0 LD (D ( 0 ( 0 ( 0 (D 「 / 74 5

第 2 章サイバービジネスと情報セキュリティ入門 1 電子取引の必須ツール「暗号」 ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 ) ( 7 ) ( 8 ) ( 9 ) ( 11 ) ( 12 ) ( 13 ( 10 ) 防御と攻撃の両刃の剣としての暗号 多表式暗号から現在の公開鍵暗号へ 暗号のアルゴリズムとは インターネットの暗号と認証技術 公開鍵と電子 ( デジタル ) 署名 SSL について 公開鍵暗号方式 RSA DES 暗号 tripIe-DES と Skipjack について RC2 、日 C4 、 IDEA の各暗号 国産暗号技術も台頭 代表的な暗号ソフトウェア PGP 2 暗号政策を巡る駆け引き ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 ) ( 7 ) 6 暗号技術の功罪 暗合の覇権を巡る駆け引き キー寄託制度を「ハッカー」が覆す 暗号製品の輸出規制緩和の動き 暗号製品の通商政策の動向 日本、欧州にも波及するキーリカバリー構想 キーリカバリー対応に取り組むアメリカの企業 95 96 ・ 129 ・ 128 ・ 127 ・ 124 ・ 122 ・ 120 ・ 1 1 8 ・ 1 1 8 ・ 1 16 ・ 1 1 3 ・ 108 ・ 106 ・ 104 ・ 102 ・ 1 OO 98 96

目 3 本格化してきた電子公証と認証局 ( 1 ) 認証とは ( 2 ) 認証機関 ( 3 ) 認証局のサービス事業者 (CA) ( 4 ) いよいよ動き出した電子認証決済「 SET 」 4 電子署名の仕組みと応用 ( 1 ) 電子署名とは ( 2 ) べリサイン社のデジタル ID 製品 ( 3 ) 電子署名用の規格案 (DSS) と Fortezza カード 5 関心を呼ぶスマートカードと電子マネー ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) 電子マネー普及の鍵を握るセキュリティ 電子マネー実現方式のプロトコル 出そろってきた電子マネー スマートカードの次世代サービス スマートカード ( ℃カード ) とセキュリティ 第 3 章企業のセキュリティ対策 7 カ条 1 企業システムのセキュリティの基本 ( 1 ) ( 2 ) ( 3 ) ( 4 ) イントラネットやモバイルを導入する前に バスワードで安心する「危険」 バスワードだけでは安全でない理由 暗号バスワードに注目集まる 次 ・ 132 ・ 132 ・ 135 ・ 138 ・ 142 ・ 145 ・ 14 5 ・ 148 ・ 150 ・ 152 ・ 152 ・ 154 ・ 158 ・ 166 ・ 172 ・ 172 ・ 174 ・ 176 ・ 177 7

2 コンビュータウイルス対策 ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 ) ( 7 ) ウイルスはシステムの指紋 ウイルス感染後の徴候と検出 コンピュータウイルスの感染ルート コンピュータウイルスの分類 コンピュータウイルスの発症パターン コンピュータウイルスの検出と駆除ツール 転ばぬ先のウイルス対策 3 イントラネットとファイアウォール ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 ) インターネット接続に欠かせぬ守り プロキシとファイアウォール ファイアウォールの限界 WWW サーバとハッキング対策 イントラネットのセキュリティ対策 ファイアウォール製品選択のポイント 4 企業間取引とセキュリティ対策 ( 1 ) 工クストラネットとセキュリティ ( 2 ) 先進企業で関心を呼ぶ VPN ( 3 ) VPN の実装形態 5 企業システムのバックアップ対策 ( 1 ) ( 2 ) ( 3 ) 8 UPS ( 無停電電源装置 ) ・ データの破壊や消失に備えるデータ・バックアップ 脚光浴びるコンピュータ総合保険 ・ 178 ・ 227 ・ 225 ・ 221 ・ 221 ・ 220 ・ 216 ・ 214 ・ 214 ・ 21 1 ・ 207 ・ 204 ・ 203 ・ 200 ・ 197 ・ 197 ・ 195 ・ 187 ・ 183 ・ 181 ・ 180 ・ 178

目 6 セキュリティポリシーの確立に向けて ・サ・一 / ヾ ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 ) ( 7 ) セキュリティポリシーの基本的なアプローチ リスク分析の手続き コンピュータ緊急対応センター (CERT) について・ 企業システムの相互運用とエンタープライズ・セキュリテイへ・ セキュリティポリシーと業務プロセスの再構築 セキュリティ・アシュアランス・オペレーションの提案 エピローグ 第 4 章セキュリティ・リソースセンター 1 セキュリティ・リソースセンター ②ウイルス対策ソフト ①暗号製品 ( 1 ) カテゴリー別セキュリティ・ツールー ③認証サービス / 製品 ( 3 ) コマース・サーバ、マーチャント ( 2 ) クレジットカード付け払い方式 ④電子マネー ① ② ③ ⑤ 少額決済システム フィルタリング セキュリティアセスメント製品 ファイアウォール セキュリティ装置 ( ハードウェア ) ・ ( 4 ) その他、セキュリティ専門組織 次 ・ 230 ・ 230 ・ 232 ・ 234 ・ 235 ・ 241 ・ 243 ・ 245 ・ 247 ・ 248 ・ 248 ・ 248 ・ 251 252 ・ 253 ・ 256 ・ 256 ・ 260 ・ 261 ・ 261 ・ 261 ・ 262 9 ・ 263

2 セキュリティ / リスクマネジメント関連企業・団体リスト・ ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) 国内リスクマネジメント関連機関 外国系リスクマネジメント関連機関 インターネットセキュリティを巡るディスカッションサイト その他、リスク相談・専門機関 主要セキュリティベンダー 3 参考文献 あとがき ・ 267 ・ 283 ・ 272 ・ 271 ・ 271 ・ 270 ・ 268 ・ 267

【著者紹介】 森田進 ( もりたすすむ ) 立教大学経済学部卒。デジタルコンビュータ、ソフトバンク総合研究所、 ーに勤務し、 UNIX べースの分散システム、各種コンポーネントの設 計に携わる。その後、独立して、日本能率協会、電通などの調査プロジェ クトに招かれ、ハイテク分野のアナリストとして活動。平成元年より、企 業システムの診断、改善、資産管理、 TCO セキュリティポリシー等のコン サルティング活動に取り組む。 現在、ストラテジック・リサーチ代表取締役。情報セキュリティ分野の べンダーと幅広く交流する傍ら、さまざまのコンソーシアム活動に参加し、 セキュリティポリシーの啓蒙活動に取り組む。 主な著書に「ワークステーション標準ハンドブック』 ( 技術評論社 ) 、「グ ループウェアとイントラネット』 ( 産能大学出版部 ) 、「イントラネット構築 の技術』 ( 日本能率協会マネジメントセンター ) など多数がある。 連絡先 : ストラテジック・リサーチ TEL : 03-3423-3457 st-r@highway. ne. jp http: 〃 www. ST- R. co. jp/ 情報セキュリティ入門 1998 年 12 月 22 日第 1 版第 1 刷発行 発行所 ( 槲産労総合研究所出版部 C)Susurnu Morit. a 1998 Printed ⅲ Japan 乱丁・落丁本はお取り替えいたします。無断転載はご遠慮ください。 BN4 ー 87913 ー 689 ー 1 C 開 振替 00180 一 0 ー 11361 電話 03 ー 3237 ー 1601 清瀬会館 〒 102-0093 東京都千代田区平河町 2 ー 4 ー 7 平盛雄 森田進 著者 発行者 印刷・製本 株式会社ワコープラネット