|
インターネット・セキュリティとは何か
暗号、認証、ウイルス、セキュア通信からセキュリティ・ポリシーまで
ISBN4-8222-8124-8 日経BP社
板倉正俊 著
A5判 460ページ 本体価格\2.600 2002年5月発売
[内容]
インターネットのおけるセキュリティとは何なのでしょうか。
それは、単にハッカーからのアタックを技術的に対応することでも、情報漏洩を防ぐために企業のセキュリティポリシーを決めることでもありません。
インターネットは一つの社会でありながら、そこはまだ法の解釈が定まっていず、法を執行する機関も術もない中で、自力ですべてを解決しなければならない世界です。
本書は、セキュリティの考え方に始まり、「暗号化」「電子認証」「ハードウエア・トークン」「ウイルス・チェック」「セキュアなネットワーク・プロトコル/通信の仕組み」「認証局」といった技術面と、「情報セキュリティ・ポリシー」「法律」「インターネット取引における契約」といったルール面の両方からインターネット・セキュリティを多角的に解説しています。
とかく難しくなりがちな技術や法律の話も、平易な語り口とユーモラスなたとえで、技術者だけでなくインターネットやセキュリティに関心をもつパソコン・ユーザーの方も面白く読んでいただける内容です。
[目次]
第1章 インターネット・セキュリティの考え方
1.1 インターネット上にいるということ2
とある出来事2
インターネットは「公道」と同じ3
1.2 インターネット上の脅威6
ハッカー6
クラッカー7
ネット詐欺師7
産業スパイ9
マフィア11
内部犯罪者12
サイバー・ストーカー13
コンピュータ・ウイルス15
脅威の程度15
1.3 被害のかたち16
盗聴16
改ざん17
なりすまし17
事後否認18
データ破壊18
ホームページの乗っ取り18
不正アクセス19
スパムメール19
サイバーテロ20
ではどうすればよいのか21
1.4 インターネット・セキュリティの実現22
セキュリティのない世界へ技術を適用する22
監視22
ログ取得25
暗号化27
認証28
アクセス・コントロール31
ウイルス・チェック32
サイバー・パトロール33
1.5 ルールによるセキュリティの補強34
技術に加え「ルール」を適用してみる34
法律34
契約38
内部規定39
1.6 セキュリティの本質41
完璧なものはありえない41
守るべきものに応じた対策である42
総合的に対応する必要がある44
コストがかかるので落しどころが必要45
<COLUMN>暗号の歴史46
第2章 暗号化――すべてのセキュリティの基本
2.1 暗号とは52
暗号の必要性52
暗号の定義54
暗号の仕組み56
「鍵」の正体58
暗号の用途59
2.2 暗号の種類と規格63
共通鍵暗号方式63
公開鍵暗号方式65
2.3 公開鍵暗号方式の仕組み68
基本的な仕組み68
通信秘匿の実現――解読防止69
認証の実現70
否認防止の実現――電子署名72
2.4 鍵管理78
鍵管理とは78
共通鍵の管理780
公開鍵暗号方式での鍵管理81
鍵預託84
2.5 暗号解読86
暗号解読の世界86
暗号の強度と解読特性87
暗号解読の最後に90
2.6 暗号製品をとりまく諸問題92
暗号における特許の問題92
暗号製品の輸出規制94
暗号製品の品質97
<COLUMN>公開鍵暗号方式の歴史99
第3章 電子認証とハードウエア・トークン
3.1 電子認証とは102
インターネットの向こうにいるのは誰?102
電子認証の種類104
何を認証するのか105
3.2 認証のレベルと実現方法109
インターネット環境での認証109
認証を実現する「ハッシュ」と公開鍵109
PKIと本人確認111
実在確認115
電子証明書の正体117
権限確認122
時間確認127
完全性確認130
作成者確認132
3.3 電子署名法でいう認証135
各国での電子署名法の成立135
電子署名法の内容と問題点136
3.4 ハードウエア・トークン138
トークンとは138
トークンに格納される認証データの種類140
ハードウエア・トークンの種類142
ハードウエア・トークンの認証の仕組み148
ハードウエア・トークンのセキュリティ標準150
<COLUMN>暗号解読の歴史152
第4章 ウイルス・チェック
4.1 コンピュータ・ウイルスとは156
ウイルスの定義156
ウイルス命名の問題158
ウイルスの分類159
・増殖しないプログラム159
・増殖するプログラム(自立種)163
・増殖するプログラム(寄生種)
――狭義のコンピュータ・ウイルス164
狭義のウイルス――行動様式による分類167
狭義のウイルス――動作環境による分類171
ウイルスの亜種172
PC環境の変化とウイルスの動向173
ウイルス作成者174
4.2 ウイルス被害の形176
ウイルス被害の実際176
ウイルスにとりつかれてしまったときの症状176
4.3 ウイルスの現状181
コンピュータ・ウイルスの数181
ウイルス被害状況183
4.4 ウイルス対策186
ウイルスへの対策186
ウイルス・チェック187
二つのウイルス・チェック方式190
・照合による検知190
・推定による検知191
・ウイルス・チェック・ソフト製品について194
ウイルス被害は回復できるか194
4.5 CookieやCPU番号による個人情報の流出196
ウイルス以外の脅威196
Cookie196
CPUの通し番号203
クリアGIF204
どっきりプログラム205
<COLUMN>カードの歴史207
第5章 インターネットの特殊性と法律・契約
5.1 インターネットの世界での法律210
なぜ法律か210
インターネットは物理的な世界とまったく違うのか211
インターネットの特殊性の問題212
従来からの法律216
インターネット関連の法規219
ADR(裁判外紛争処理制度)221
5.2 インターネットの特殊性223
インターネットの特殊性とは223
匿名性――悪いヤツらはつきとめられるか223
無痕跡性237
場所の不必要性239
不特定多数性242
5.3 インターネットでの契約243
インターネットと契約243
EDI契約書247
NDA条項249
取引基本契約書の留意点251
B2C取引での約款252
電子的な契約の効果256
SLA258
<COLUMN>コンピュータ・ウイルスの歴史260
第6章セキュリティ・ポリシー
6.1 セキュリティ・ポリシーの必要性268
ITと法律のすきま268
危険の正体−ソーシャル・エンジニアリング269
セキュリティ・ポリシーの策定にあたって270
6.2 セキュリティ・ポリシーのすがた273
ポリシーの階層構造273
ポリシーの種類と必要項目277
・情報セキュリティ・ポリシー279
・情報セキュリティ・スタンダード279
・インターネット・セキュリティ・ポリシー280
・インターネット・セキュリティ・スタンダード281
・セキュア・データ・センター・ポリシー282
・証明書ポリシー(CP)283
・認証機関運用規程(CPS)286
セキュリティ・ポリシーの雛型287
6.3 セキュリティ・ポリシーの策定288
良いポリシーの策定のための留意点288
セキュリティ・ポリシー策定と事前作業
――情報資産の特定と価値評価291
・セキュリティ・ポリシーの策定1――システム関連295
・セキュリティ・ポリシーの策定2――運用関連296
・セキュリティ・ポリシーの策定3――リーガル関連297
・セキュア・データ・センター・ポリシーの策定297
・証明書ポリシー(CP)の策定300
・認証機関運用規程(CPS)の策定300
・セキュリティ・ポリシーの策定に関わる参考文献300
6.4 セキュリティ・ポリシーの運用301
ポリシーの策定と運用301
ポリシー運用で必要なこと302
セキュリティ・インシデント307
<COLUMN>ファイアウォールの歴史314
第7章 セキュア通信
7.1 セキュアなプロトコル318
プロトコルとは318
プロトコルを「セキュアにする」ということ324
暗号系プロトコル325
・トンネリングによるセキュア化326
・L2TP329
・IPsec329
鍵管理系プロトコル333
7.2 セキュアなインターネットの仕組み336
VPN336
セキュアHTTP337
セキュアFTP339
セキュアeメール342
バーチャルLAN345
ファイアウォール349
リバース・プロキシ357
非武装地帯358
不正アクセス監視ツール362
トラステッドOS363
7.3 インターネット・セキュリティ構築の実例367
実際のWebサイトのデザイン367
7.4 セキュリティ診断371
セキュリティ診断とは371
セキュリティ診断の種類372
セキュリティ診断サービス提供ベンダー373
<COLUMN>トラステッドOSの歴史374
第8章 認証機関
8.1 認証機関とは378
認証機関の定義と役割378
認証機関の構成と仕組み379
8.2 認証機関の認証構造383
認証機関の認証構造とは383
認証構造の類型383
証明書の検証と有効性確認389
キー・セレモニー391
8.3 認証機関の各コンポーネント393
CA局393
VA局395
RA局399
KMA局400
セキュア・データ・センター402
8.4 商用の認証機関403
商用の認証サービスの概観403
Identrusとは404
Identrus認証405
Identrus認証での証明書検証と有効性確認408
Identrus認証の法律上の有効性410
政府認証基盤を交えたPKI全体像412
あとがき414
参考文献415
索引426
英字用語一覧442
著者紹介446
|
