度化する情報セキュリティ侵害の実態と対策、情報システムの不正利用に対する対応、スマートデバイスの企業利用とセキュリティなど、重層的で複合的な課題となっている企業情報セキュリティ/エンタープライズ・リスクマネジメントについて、最新データ/最新事例をもとに体系だって編纂。
情報セキュリティ、サイバーセキュリティに関する多数の書籍発刊、企業研修その他で実績を持つストラテジック・リサーチが編纂。情報セキュリティ学会、リスクマネジメント学会その他学会所属のアナリストが編集に参加。
内容編成(目次)
序
第1章 エンタープライズ・リスクマネージメントとISMS概説
1-1 エンタープライズ・リスクマネジメントと情報セキュリティ
1-2 リスク指標群開発とスキル開発
[1] 情報システム障害の伝播速度の高速化と到達範囲の広域化
[2] 情報システム依存性増加に伴うセキュリティ脆弱性の拡大
1-3 経営情報システムベースのセキュリティマネジメント体制の確立
第2章 情報セキュリティ関連ツール市場・ISMS関連市場
2-1 「コスト」より「セキュリティ」重視へと転換をはかるクラウド・サービス
[1] 仮想化ソフトウェアとセキュリティ・ソフトウェアへの支出増大傾向
[2] クラウドでミッション・クリティカルなワークロードの実行をめぐるジレンマ
[3] クラウドに関するセキュリティ意識調査
[4] 国内クラウドサービスの市場規模・予測と需要動向
[5] セキュリティに懸念を抱くパブリッククラウド・ユーザ層
2-2 機密情報保護/データ流出・紛失防御 関連市場
第3章 企業における情報セキュリティ侵害行為の実態と対策動向
3-1 企業の情報セキュリティを侵害する行為
3-2 サイバー空間のグローバルと企業情報セキュリティ体制の危機
[1] クラウドの普及に伴う新たなセキュリティ脅威
[2] Webサイトの改ざん及びDDoS攻撃
第4章 クラウドのセキュリティ対策・セキュリティソリューション[1]
4-1 クラウド・サービス・セキュリティ技術概説
[1] 高難度のセキュリティ技術が要求されるクラウド・サービス
[2] ユーザーがクラウドを導入・利用するにあたっての課題
[3] ベストエフォートからセキュア・ミッションクリティカルへ至る上での課題
[4] クラウドとセキュリティ・サービス継続・障害復旧対策状況
[5] 米国連邦政府:セキュリティ・プラクティス実施に関する認定取得促進
[6] 国際規格となる日本発のクラウドの安全基準最終案
4-2 パブリック・クラウド・サービスのセキュリティ要件・懸念事項
[1] パブリック・クラウド・サービスのセキュリティ要件概説
[2] SaaSのセキュリティ要件・懸念事項
[3] PaaSのセキュリティ要件・懸念事項
[4] IaaSのセキュリティ要件・懸念事項
4-3 プライベート・クラウドのセキュリティ要件・懸念事項
[1] 仮想化技術を基盤としたプライベート・クラウドの構築
[2] プライベート・クラウドの導入に当たって立ちはだかる仮想化技術の課題
4-4 ストレージ・クラウドのセキュリティ要件・懸念事項
第5章 クラウドのセキュリティ対策・セキュリティソリューション[2]
5-1 クラウドとエンタープライズ・リスクマネジメント
[1] 非常時に威力を発揮するクラウド
[2] 大震災でも証明されたクラウドの威力
[3] リスクマネジメント指向のプライベート・クラウド構築
5-2 クラウド環境におけるデータ保全管理の重要チェック項目
5-3 クラウドのセキュリティ管理とSLA
第6章 プラットフォーム仮想化と情報セキュリティ
6-1 仮想化管理・運用管理概説
6-2 リスクマネジメントの観点で見た仮想化技術
6-3 仮想マシン技術の発展とセキュリティ管理・認証管理基盤
[1] 進展著しい準仮想化技術
[2] VMWare、Xenにおける脆弱性対策
[3] SLA、ログ管理、デジタルフォレンジックによるクラウド監視
[4] クラウド・アイデンティティ管理基盤の確立と監査履歴の確保
[5] TPM(機器認証規格)
[6] 仮想化による隔離技術
第7章 急増するインターネットバンキング不正送金の被害
7-1 ネットバンキングの不正送金被害の深刻な実態
7-2 対策を急ぐメガバンク
7-3 民間との協力強化に取り組む警察当局
第8章 スマートデバイスの企業利用とセキュリティ、電子認証システム[1]
8-1 業務用スマートデバイスの大規模運用動向
8-2 セキュリティ脆弱性問題
8-3 スマートデバイス向けアプリケーションに潜むウィルス
8-4 スマートデバイスのビジネス利用と管理上の留意点
[1] 端末管理
[2] データ管理
[3] テザリング機能
8-5 スマートデバイスの業務利用とリスク管理
[1] 情報漏えいリスク対策
[2] スマートデバイスの業務利用における安全担保策
[3] 端末遠隔操作対応型モバイル端末管理(MDM)
8-6 企業のスマートデバイス利用とアクセス制限
8-7 企業のスマートデバイス利用と認証システム
8-8 スマートデバイスの業務利用と電子認証・電子証明書
第9章 スマートデバイスの企業利用とセキュリティ、電子認証システム[2]
9-1 スマートデバイスの情報漏洩対策
9-2 スマートデバイスのセキュリティソリューション/セキュリティサービス
9-3 スマートデバイス向けアプリ利用とセキュリティ対策
[1] URLパラメータの隠ぺい
[2] 認証
[3] 暗号化
[4] 利用許可情報の設定(Androidの場合)
9-4 スマートデバイスの業務利用とマルウェア対策
[1] マルウェアのタイプ別特性
9-5 後手に回るセキュリティポリシー対策
[1] スマートデバイス向けセキュリティポリシー対策概況・近況
[2] パターン別BYODユーザー・ポリシー策定
第10章 企業のBYOD導入とセキュリティ課題
10-1 BYOD導入に向けたチェックポイント
[1] BYOD導入に伴う運用規則(ポリシー)策定
[2] サポートレベル設定
[3] アクセス権限レベル設定
10-2 企業のIT資源全体のポリシー再編成とBYODの位置づけ
[1] サーバーサイド/クライアントサイドの検討
[2] 私物デバイスの調査・モニタリング
[3] 法務、IT、人事の各部門間連携・協力
[4] 企業のセキュリティポリシーとBYODに与える影響
[5] ポリシーを逸脱した場合の是正措置
10-3 BYODの管理とVDI(仮想デスクトップ・インフラ)の導入
[1] BYOD導入に有効なVDI(仮想デスクトップ・インフラ)
[2] VDIによるスマートデバイス管理における課題点
10-4 iOS端末管理と専用MDM
[1] アップルが提供するiOS 標準MDM
[2] iPadのビジネス活用とiOS端末管理ツール
[3] iPadのセキュリティポリシー設定
[4] iPadのプロビジョニング設定とセキュリティ構成プロファイル
[5] iOSの各種モバイルアプリケーション管理(MAM)ツール
10-5 スマートデバイスの利便性と安全性を両立させるBYOD手法
[1] 徹底が難しい企業のセキュリティポリシーとBYODに与える影響
[2] スマートデバイスを個人モード/業務モードの2領域に完全に分離
10-6 スマートデバイスのウイルス感染対策(→移動検討)
10-7 BYODセキュリティの課題と対処方法
第11章 スマートデバイスの企業利用とプライバシー保護対策
11-1 プライバシー保護問題
[1] 蔓延するユーザのプライバシー侵害の問題
[2] スマートフォン・プラットフォームの欠陥が露呈
11-2 スマートフォンを経由した利用者情報保護を巡る動き
第12章 情報システム・セキュリティ・ド・マネージメントとSLA
12-1 SLAによる情報システムの品質管理
[1] SLAの内容・構成
[2] SLAの品質保証と料金の関係
[3] 高い問題切り分け能力が要求されるSLA
12-2 ITリソース管理手法との整合性を図るSLAへ
12-3 仮想化で必要となるSLAの見直し
[1] 仮想化に伴うIT所有権・SLAに係る重要課題
[2] SLAのサービス料金動向
12-4 SLA契約時のチェック・ポイント
第13章 ITガバナンスと情報システム・リスクマネジメント
13-1 コンプライアンスの諸規制に係る問題
13-2 ミッション・クリティカル性に関する問題
[1] フォールトトレラント性を高めるための設計
[2] 冗長性を高めるための設計
13-3 ITガバナンスを巡る問題
13-4 サイバー犯罪に関する法制度
[1] 日本における取り組み
[2] 諸外国の法制度
13-5 情報システムの不正利用に対する対応手段・手法
[1] 脚光を浴びるデジタル・フォレンジック
[2] セキュリティ監査等のリスクマネジメントとデジタル・フォレンジック活用
[3] デジタル・フォレンジックの運用
[4] 企業における運用事例
[5] デジタル・フォレンジック・ツール
[6] 欧米の状況から考察するデジタル・フォレンジックの活用
第14章 ITサービスフレームワークとリスク管理、サポート管理手法
14-1 監査・内部統制に対応したクラウドサービス基盤確立を目指す動き
14-2 漸次的・段階的アプローチを採るITILとの統合
14-3 ITILのリリース管理
14-4 リスク管理とコンプライアンス対応型情報体制・組織体制
[1] リスク発生時の対応およびエスカレーション制度
[2] リスク対応部門とコンプライアンス部門の連携およびリレーションシップ
[3] コンプライアンス綱領(コード)の策定
第15章 ディザスター・リカバリー・マネジメント
15-1 米国の取り組み
15-2 事業継続計画(BCP)とディザスター・リカバリー動向
15-3 エンタープライズ・リスクマネジメントとBCP
15-4 リスクマネジメント指向のクラウド構築
[1] クラウドによるディザスターリカバリー支援
[2] 非常時に威力を発揮するクラウド・コンピューティング
[3] 大震災でも証明されたクラウドの威力
[4] リスクマネジメント指向のクラウド構築
15-5 ディザスタ・リカバリとBCP/地域防災計画
[1] ディザスターリカバリーに関する多様な解釈
[2] クラウドとの適合性が高いディサスター・リカバリー
[3] 仮想化技術の活用によるディザスター・リカバリーの進化
15-6 最新のディザスターリカバリー手法研究
[1] クラウド・サービスとの統合によるメリット
[2] 仮想化技術の活用とディザスターリカバリーの進化
[3] 仮想マシンをバックアップするRaaS(Recovery-as-a-Service)」の台頭
15-7 バックアップ、リストア、レプリケーションの技法
[1] バックアップ、リストア、レプリケーション概説
[2] バックアップ
[3] リストア
[4] レプリケーション
[5] ストレージレプリケーション
[6] HA(高可用性)サーバ/HAクラスター
15-8 遠隔レプリケーションによる災害・停電対策
第16章 事業継続計画(BCP)と情報セキュリティ・マネジメント・システム
16-1 BCP・BCM概説
[1] BCP・BCMの概念・定義
[2] BCM態勢を構築するためのポイント
16-2 広域連携型BCPの策定・運用への進化
[1] 広域連携型BCPの定義
[2] 広域連携型BCPの類型
16-3 BCP・BCMとリスクマネジメント
[1] BCMと企業価値の関係
16-4 BCMと事業継続マネジメントシステム(BCMS)
16-5 データセンターのサービス継続性とリスクマネジメント
[1] データセンター運用に潜む想定外のリスク
[2] データセンターの選択範囲拡張とリスク耐性強化
[3] 省電力/グリーン志向のデータセンターを目指す動き
16-6 災害クラウドの産官連携動向
第17章 カテゴリー別セキュリティ対策・技術動向
17-1 ゲートウェイに関係したセキュリティ対策
[1] DDoS検知
[2] アプリケーションベースのファイアウォール
17-2 サーバに関係したセキュリティ対策
[1] 送信ドメイン認証
[2] Sandboxモデルによるファイルの確認
[3] Contents Delivery Network
17-3 Windowsの脆弱性に関係するセキュリティ対策
[1] 標的型攻撃への悪用が懸念されるWindows/Officeの脆弱性
[2] Office Wordの脆弱性発覚・脆弱性を突く標的型攻撃
[3] Windows のサポート切れと新たな脆弱性リスク増大の問題
[4] Windows XP移行ツールの活用
17-4 Mac OS Xの脆弱性に関係するセキュリティ対策
17-5 OS制御レベルに関係したセキュリティ対策
[1] 特権ユーザーアクセス制御
[2] 強制アクセス制御
[3] アクセス権限のポリシー管理
[4] OSのセキュア化プロジェクト 「セキュアVMプロジェクト」
[5] 主要な特権ユーザーアクセス制御製品
[6] 主要なLinux・UNIX向けセキュアOS製品
17-6 OS監視に関係したセキュリティ対策
[1] ゲストOSの監視とパケットフィルタリング
[2] OSレベルでのセキュリティ対策
[3] ネットワーク上でのセキュリティ対策
17-7 無線LANに関係したセキュリティ対策
17-8 端末/ブラウザ/ビューアに関係したセキュリティ対策
[1] Windows 7以降のOS
[2] EMET
[3] 各種ソフトウェア機能の無効化
[4] ソフトウェア制限ポリシー
[5] Internet Explorer(IE)の脆弱性
[6] アドビのFlash Playerのセキュリティ問題
17-9 パスワード漏洩/認証アカウントに関係するセキュリティ対策
[1] クラウド化に伴うデータ漏えいリスクの拡大
[2] 多発するアカウントの乗っ取り
[3] 2段階認証
17-10 ソーシャル・エンジニアリングに関係したセキュリティ対策
[1] 横行するソーシャル・エンジニアリングを用いた詐欺行為
17-11 ビッグデータ・ソリューションに関係したセキュリティ対策
[1] ビッグデータの有効活用に比して困難さを増すデータ保護
[2] クレジットカードのデータ・セキュリティ基準(PCI)
17-12 人の脆弱性を利用した侵害行為とそのセキュリティ対策
[1] ITセキュリティ予防接種
[2] 情報セキュリティ関連資格取得の義務化
第18章 情報セキュリティ/サイバーセキュリティに関する最新研究動向
18-1 オックスフォード大学
18-2 イリノイ大学
18-3 日本政府
18-4 防衛研究所
18-5 情報処理推進機構(IPA)
18-6 情報通信研究機構(NICT)
[1] 量子暗号の試験運用
[2] 量子暗号ネットワーク
18-7 (株)富士通研究所
18-8 NTT/三菱電機/福井大学
第19章 情報セキュリティ/サイバーセキュリティに関する業界諸団体動向
19-1 OASIS
19-2 Cloud Security Alliance
19-3 European CIO Association
19-4 情報処理推進機構(IPA)
19-5 防衛研究所
19-6 情報通信研究機構(NICT)
19-7 IPv6技術検証協議会
19-8 スマートコミュニティアライアンス(JSCA)
19-9 YRPユビキタス・ネットワーキング研究所
第20章 セキュリティ向上に本腰を入れて取り組み出したITベンダー
20-1 ITベンダー各社が打っている主なセキュリティ対策
20-2 マルチテナント方式の違いとセキュリティ・レベルの設定
20-3 クラウド/仮想化でベンダーが抱える課題
20-4 クラウドのセキュリティに関する検証、セキュリティガイドライン
20-5 BCPとセキュリティ対策
20-6 アイデンティティ管理とセキュリティ・ソリューション
[1] エンタープライズ向けシングルサインオン、アイデンティティ管理
[2] クラウド・サービスとシングルサインオン・プロトコル
[3] クラウド・サービスとアイデンティティ管理
[4] 大手ソフトウェア・ベンダーの動向
第21章 主要ITベンダー別動向
21-1 海外
[1] Mcafee
[2] Symantec
[3] Amazon/Amazon Web Service
[4] IBM
[5] Microsoft
[6] VeriSign
[7] VMware
[8] Blue Coat Systems
[9] EMC
[10] Software AG
[11] CA Technologies
[12] Compuware
[13] Intel
[14] Brocade Communications Systems
[15] ATEN International
[16] Adobe Systems
[17] Cisc Systems
[18] Dell
[19] Check Point Software Technologies
[20] Savvis
[21] Rackspace Hosting
[22] CDNetworks
21-2 国内
[1] (株)シマンテック
[2] トレンドマイクロ(株)
[3] (株)カスペルスキー
[4] シーディーネットワークス・ジャパン
[5] ヴイエムウェア(株)
[6] 日本ベリサイン
[7] シーメンス・ジャパン
[8] シトリックス・システムズ・ジャパン
[9] ATENジャパン
[10] (株)ラック
[11] (株)ソリトンシステムズ
[12] 日本電気(株)
[13] 富士通(株)
[14] (株)日立製作所
[15] 日本アイ・ビー・エム(株)
[16] 日本ユニシス(株)
[17] (株)NTTデータ
[18] 東芝(株)
[19] 新日鉄ソリューションズ(株)
[20] (株)インターネットイニシアティブ(IIJ)
[21] GMOホスティング & セキュリティ(株)
[22] (株)IDCフロンティア
[22] 日本ヒューレット・パッカード(株)
[23] マクニカネットワークス(株)
[24] ダイワボウ情報システム(株)
[25] (株)セゾン情報システムズ
[26] サイボウズ(株)
[27] (株)サンブリッジ
[28] ソニーブロードバンドソリューション(株)
[29] ソフトバンクテレコム(株)
[30] (株)東陽テクニカ
[31] (株)エーティーワークス
第22章 情報セキュリティに関する新進ベンチャー企業動向
22-1 海外
[1] パロアルトネットワークス
[2] ファイア・アイ
[3] Cloudmark
[4] Bionym
[5] NSFOCUS Information Tecnology(NSFOCUS)
22-2 国内
[1] フォーティネットジャパン
[2] NRIサイバーパテント(株)
[3] クリアスウィフト(株)
[4] (株)テリロジー
