内容紹介
情報システムのセキュリティリスクを排除するセキュリティ設計のノウハウをプロ中のプロが伝授!
日々高度化・巧妙化するサイバー攻撃の脅威に対して、情報システムへの継続的なセキュリティ対策が不可欠な時代となりました。しかしその方法を見誤ると、対策の不備・不足が起こり、効率的・効果的な対応を実施できなくなります。適切なセキュリティ対策を実践するには、システム開発の上流工程で実施する「セキュリティ設計」が欠かせません。
本書は、上流工程できちんとセキュリティ設計を実施するための実践的なノウハウを、セキュリティの専門家である著者が、詳しく分かりやすく解説します。
第1章「上流工程で作り込むセキュリティ設計の進め方」では、システム開発の上流工程で実施するセキュリティ設計の進め方を、6つのステップに分けて解説します。なぜ上流工程でのセキュリティ設計が必要なのかを明らかにした上で、セキュリティリスクを評価・分析して、セキュリティ要件を漏れなく定義する方法を説明します。セキュリティ設計で特に重要となる「アクセス制御と認証」と「脆弱性管理・ログ管理」についても、具体的な内容と検討すべき要件を解説します。セキュリティ設計がきちんと実施できているかどうかを検証するための、効果的なレビュー方法も取り上げています。
第2章「脅威別に見たセキュリティ設計」では、第1章で解説したセキュリティ設計方法論の適用の仕方を解説します。具体的なセキュリティ設計の進め方や具体的な設計例を紹介するため、「標的型攻撃とランサムウエア」「内部不正」「Webサイトへの攻撃」といった、多くの企業で実際に起きているセキュリティ上の脅威を取り上げます。IoTシステムについても、代表的な攻撃手法と具体的な対策を紹介します。
本書は、セキュリティ担当者のみならず、情報システムの開発に関わるすべてのITエンジニア必携の一冊です。システム開発の上流工程でセキュリティの脅威を潰し、安心して運用できるシステムを構築するために、ぜひ本書をご活用ください。
≪目次≫
第1章 上流工程で作り込むセキュリティ設計の進め方
1-1 セキュリティ事故は防げた
1-2 まずは俯瞰する視点を持つ
1-3 要件を漏れなく言語化する
1-4 アクセス制御と認証の設計
1-5 セキュリティの運用設計
1-6 効果的なレビューの観点
第2章 脅威別に見たセキュリティ設計の実践
2-1 やってはいけない場当たり対策
2-2 標的型攻撃とランサムウエア
2-3 内部不正
2-4 Webサイトへの攻撃
2-5 IoTシステムへの攻撃
2-6 情報セキュリティ負債の返し方
付録 上流工程で定義する主なセキュリティ要求事項