出版社内容情報
ネットワークセキュリティの分野では、ファイアウォールに続いて侵入検知システムの導入が盛んになっていますが、それを最大限に生かし切るには、システムに残された痕跡から「なにが行われたのか」を知ることができなくてはなりません。この本では、UNIXおよびWindows NT/2000をターゲットとして、不正アクセスのインシデント(証拠・兆候)に対する調査および対策を中心に詳細な説明が行われています。多くの場合、システムに残された小さな痕跡によって侵入が発覚します。事実、『カッコウはコンピュータに卵を産む』の著者クリフォード・ストール氏は、課金システムの5セントの誤差から侵入者を発見しました。この本は、オペレーティングシステムに標準で実装された仕組みだけを利用して、こうした侵入を発見する、あるいはその対策を実施するための、教養本のひとつとして挙げられるでしょう。
【目次】
はじめに
本書の執筆理由
本書の対象読者
独自のデザイン要素による簡単なナビゲーション
本書の構成
オンラインソース
第1部 インシデント対応-基礎知識編
第1章 部内者と部外者:ケースステディ
1.1 犯罪の抑止力
1.2 真犯人
1.3 まとめ
第2章 インシデント対応の概要
2.1 インシデント対応の目標
2.2 インシデント対応の方法論
2.3 インシデント発生前の準備
2.4 インシデントの検出
2.5 初期対応
2.6 対応戦略の策定
2.7 犯罪捜査用の複製の作成
2.8 調査
2.9 セキュリティ対策の実装
2.10 ネットワークの監視
2.11 復旧
2.12 報告書の作成
2.13 まとめ
第3章 インシデント対応の準備
3.1 重要な資産の確認
3.2 各ホストの準備
3.3 ネットワークの準備
3.4 適切なポリシーと手続きの制定
3.5 対応ツールキットの作成
3.6 インシデント対応チームの確立
まとめ
第2部 インシデント対応-準備編
第4章 調査のガイドライン
4.1 初期評価の実施
4.2 インシデント通報チェックリスト
4.3 インシデントの調査
4.4 対応戦略の策定
4.5 まとめ
第5章 コンピュータ犯罪操作のプロセス
5.1 証拠の取扱いを知る
5.2 初期対応の実行
5.3 犯罪捜査用の複製
5.4 SAFEBACKの使用
5.5 EnCaseの使用
5.7 司法分析
5.8 まとめ
第6章 ネットワークプロトコルの基礎知識とトラップ/トレースの実行
6.1 TCP/IPの概要
6.2 カプセル化
6.3 スニファの使用
6.4 トラップ/トレースの実行
6.5 まとめ
第7章 ネットワークの捜査
7.1 ネットワーク捜査が必要な理由
7.2 ネットワークベースの証拠
7.3 ネットワーク犯罪捜査
7.4 システムの準備
7.5 捜査の実施
7.6 ネットワークへの攻撃に対する判断
7.7 まとめ
第8章 高度なネットワーク捜査
8.1 攻撃者の目標
8.2 ICMPの秘密チャネル
8.3 ステートレスTCPの秘密チャネル
8.4 HTTPの秘密チャネル
8.5 不正なサーバーの検出
8.6 まとめ
第3部 インシデント対応-実践編
第9章 Windows NT/2000における初期対応
9.1 対応ツールキットの作成
9.2 初期対応で入手した情報の保存
9.3 犯罪捜査用の複製を作成する前の揮発性データの取得
9.4 より詳細かつホストを稼動させたままの対応
9.5 犯罪捜査用の複製の必要性
9.6 まとめ
第10章 Windows NT/2000の調査
10.1 Windows NT/2000システムにおける証拠の在処
10.2 調査用ワークステーションのセットアップ
10.3 Windows NT/2000における調査の実施
10.4 ファイルの監査と情報の奪取
10.5 退職する社員の扱い
10.6 まとめ
第11章 UNIXシステムにおける初期対応
11.1 対応ツールキットの作成
11.2 初期対応で入手した情報の保存
11.3 犯罪捜査用の複製を作成する前の揮発性データの取得
11.4 より詳細かつホストを稼動させたままの対応
11.5 まとめ
第12章 UNIXの調査
12.1 復元された複製を調査する準備
12.2 UNIXにおける調査の実施
12.3 まとめ
第4部 プラットフォームに依存しない技術に関する調査
第13章 ルータの調査
13.1 電源切断前の揮発性データの取得
13.2 証拠の探索
13.3 対応ツールとしてのルータ
13.4 まとめ
第14章 Webサーバーに対する攻撃の調査
14.1 電源を切る前に
14.2 証拠の発見
14.3 まとめ
第15章 アプリケーションサーバーの調査
15.1 DNSサーバーのインシデントの調査
15.2 FTPサーバーのインシデントの調査
15.3 RPCサービスのインシデントの調査
15.4 オンラインチャットプログラムのログを利用したインシデントの調査
15.5 Microsoft Officeが関係するインシデントの処理
15.6 アプリケーション攻撃の攻撃元の特定
15.7 不正侵入されたアプリケーションサーバーの復旧
15.8 まとめ
第16章 攻撃に利用されるツールの調査
16.1 ファイルのコンパイル方法
16.2 不正ファイルの静的な分析
16.3 不正ファイルの動的な分析
16.4 まとめ
第5部 付録
付録A サイバースペースにおける身元の特定
A.1 IPアドレスの調査
A.2 MACアドレスの調査
A.3 電子メールの追跡
A.4 電子メールアドレス、ニックネーム、ユーザー名、ホスト名の調査
A.5 法的手段による犯人の特定
付録B 情報セキュリティポリシーと利用許可ポリシー
B.1 情報セキュリティポリシーの範疇
B.2 利用許可ポリシー
付録C コンピュータ犯罪法令
C.1 コンピュータへの不正侵入に関する法律
C.2 知的財産権に関する法律
C.3 商法引法
対応組織
内容説明
ネットワークセキュリティの分野では、侵入検知システムの導入が盛んになっているが、それを最大限に生かし切るには、システムに残された痕跡から「なにが行われたのか」を知ることができなくてはならない。本書では、UNIXおよびWindowsNT/2000をターゲットとして、不正アクセスのインシデント(証拠・兆候)に対する調査および対策を中心に詳細な説明を行っている。
目次
第1部 インシデント対応―基礎知識編(部内者と部外者:ケーススタディ;インシデント対応の概要 ほか)
第2部 インシデント対応―準備編(調査のガイドライン;コンピュータ犯罪捜査のプロセス ほか)
第3部 インシデント対応―実践編(WindowsNT/2000における初期対応;WindowsNT/2000の調査 ほか)
第4部 プラットフォームに依存しない技術に関する調査(ルータの調査;Webサーバーに対する攻撃の調査 ほか)
第5部 付録
著者等紹介
マンディア,ケビン[マンディア,ケビン][Mandia,Kevin]
インターネットセキュリティ管理会社であるFoundstone社でコンピュータ法科学部長を務めている。法科学およびインシデント対応分野の専門家として高い評価を得ており、特別捜査官、コンサルタント、講師としても豊富な経験と専門知識を蓄積。インシデント対応の講師を長期にわたって務めており、FBIのために2週間のコンピュータ侵入対応コースと上級者向けの1週間のネットワーク捜査コースを開発したほか、Quantico海兵隊基地で1年以上講師を務め、コンピュータ侵入事件を担当する約340人ものFBI捜査官が氏の教えるコースを受講している。ラファイエット大学でコンピュータサイエンスの学士号を取得し、ジョージワシントン大学で法科学の修士号を取得しており、空軍特殊捜査局の予備役士官でもある
プロサイス,クリス[プロサイス,クリス][Prosise,Chris]
Foundstone社でプロフェッショナルサービス部門の副社長として、コンピュータセキュリティに関するコンサルティングやトレーニングのサービスの提供を指導している。攻撃・侵入のテストおよびインシデント対応の分野に精通しており、世界各地を舞台にした任務において政府や民間企業のセキュリティチームを指導。手がけた任務には、最高機密の政府機関ネットワークにおけるインシデント対応から、世界の最大規模の企業における包括的なセキュリティ評価に至るまで様々。Foundstone社の共同設立者である氏は、インシデント対応、ハッキング、およびネットワークセキュリティに関するコースを政府および民間企業向けに開発、指導。また、ツール開発において豊富な経験を持ち、空軍のために自動スキャンツール、およびリアルタイム侵入検知・遮断ソフトウェアを開発。デューク大学で電気工学の学士号を取得しており、情報システムセキュリティ認定プロフェッショナルの資格を保持している
坂井順行[サカイヨリユキ]
1970年北海道生まれ。大学時代に大型計算機センターの待ち時間を無為に費やすのが苦痛になり、以後UNIXに触れる。現在、株式会社ラックシステムインテグレーション事業本部に在職中。主にネットワークセキュリティ、インターネットに関する業務に従事
新井悠[アライユウ]
平成12年株式会社ラック入社。侵入監査、セキュアシステム構築などを経て、現在同社のコンピュータセキュリティ研究所にてソフトウェア脆弱性研究員として新たな脆弱性の研究および発見、報告、そして情報収集業務に従事する
※書籍に掲載されている著者及び編者、訳者、監修者、イラストレーターなどの紹介情報です。
