出版社内容情報
上流工程できちんとセキュリティ設計を実施するための実践的なノウハウをセキュリティの専門家である著者が詳しく解説。
情報システムのセキュリティリスクを排除する
セキュリティ設計のノウハウをプロ中のプロが伝授!
日々高度化・巧妙化するサイバー攻撃の脅威に対して、情報システムへの継続的なセキュリティ対策が不可欠な時代となりました。しかしその方法を見誤ると、対策の不備・不足が起こり、効率的・効果的な対応を実施できなくなります。適切なセキュリティ対策を実践するには、システム開発の上流工程で実施する「セキュリティ設計」が欠かせません。
本書は、上流工程できちんとセキュリティ設計を実施するための実践的なノウハウを、セキュリティの専門家である著者が、詳しく分かりやすく解説します。
第1章「上流工程で作り込むセキュリティ設計の進め方」では、システム開発の上流工程で実施するセキュリティ設計の進め方を、6つのステップに分けて解説します。なぜ上流工程でのセキュリティ設計が必要なのかを明らかにした上で、セキュリティリスクを評価・分析して、セキュリティ要件を漏れなく定義する方法を説明します。セキュリティ設計で特に重要となる「アクセス制御と認証」と「脆弱性管理・ログ管理」についても、具体的な内容と検討すべき要件を解説します。セキュリティ設計がきちんと実施できているかどうかを検証するための、効果的なレビュー方法も取り上げています。
第2章「脅威別に見たセキュリティ設計」では、第1章で解説したセキュリティ設計方法論の適用の仕方を解説します。具体的なセキュリティ設計の進め方や具体的な設計例を紹介するため、「標的型攻撃とランサムウエア」「内部不正」「Webサイトへの攻撃」といった、多くの企業で実際に起きているセキュリティ上の脅威を取り上げます。IoTシステムについても、代表的な攻撃手法と具体的な対策を紹介します。
本書は、セキュリティ担当者のみならず、情報システムの開発に関わるすべてのITエンジニア必携の一冊です。システム開発の上流工程でセキュリティの脅威を潰し、安心して運用できるシステムを構築するために、ぜひ本書をご活用ください。
第1章 上流工程で作り込むセキュリティ設計の進め方
1-1 セキュリティ事故は防げた
1-2 まずは俯瞰する視点を持つ
1-3 要件を漏れなく言語化する
1-4 アクセス制御と認証の設計
1-5 セキュリティの運用設計
1-6 効果的なレビューの観点
第2章 脅威別に見たセキュリティ設計の実践
2-1 やってはいけない場当たり対策
2-2 標的型攻撃とランサムウエア
2-3 内部不正
2-4 Webサイトへの攻撃
2-5 IoTシステムへの攻撃
2-6 情報セキュリティ負債の返し方
付録 上流工程で定義する主なセキュリティ要求事項
山口 雅史[ヤマグチ マサフミ]
著・文・その他
内容説明
あの情報漏洩事故は防げた!設計段階で作り込む本物のセキュリティ対策。
目次
第1章 上流工程で作り込むセキュリティ設計の進め方(セキュリティ事故は防げた;まずは俯瞰する視点を持つ;要件を漏れなく言語化する;アクセス制御と認証の設計;セキュリティの運用設計 ほか)
第2章 脅威別に見たセキュリティ設計の実践(やってはいけない場当たり対策;標的型攻撃とランサムウエア;内部不正;Webサイトへの攻撃;IoTシステムへの攻撃 ほか)
付録 上流工程で定義する主なセキュリティ要求事項
著者等紹介
山口雅史[ヤマグチマサフミ]
NRIセキュアテクノロジーズストラテジーコンサルティング部長。8年半ソフトウエア企業でシステムSI・運用やコンサルティングに従繕事。2008年に野村総合研究所入社。NRIセキュアテクノロジーズに出向後、セキュリティソリューション開発・SIを経て、セキュリティコンサルティング業に従事。セキュリティ戦略企画や統合PMOを得意とし、数多くのセキュリティ関連プロジェクトを推進(本データはこの書籍が刊行された当時に掲載されていたものです)
※書籍に掲載されている著者及び編者、訳者、監修者、イラストレーターなどの紹介情報です。