あらすじ
情報流出事件が多発している近年、セキュリティエンジニアという職業が注目されています。本書では、セキュリティエンジニアとして押さえておきたい知識や技術などを、体系的に、わかりやすく解説しています。セキュリティ業務に関わる2~3年目のエンジニアはもちろん、一般社員のセキュリティリテラシー向上にも役立つ1冊です。
...続きを読む感情タグBEST3
Posted by ブクログ
セキュリティの知識を体系的に学ぶために手に取りました。
深く学ぶというより、これをきっかけに学習する分野を決めるための手立てになると思います。
あまりセキュリティについて腰を据えて学習する機会を持たなかったので、全16章に渡って基礎概要を学ぶのに有用でした。
これでセキュリティについては、十分ではなく、具体的な防衛手段や従事している業務にどう活かすべきかは別途知識を深める必要があると思います。
Posted by ブクログ
セキュアデザインセンター著ということで、やや教科書的な内容である。
セキュリティエンジニアの業務は多岐にわたる。1. セキュリティ管理体制や意思決定支援、2.セキュリティを考慮したシステム設計、3.運用時のセキュリティ対応、4.サイバー攻撃に対する調査・診断。企画構想、設計開発、運用管理の全ステージに渡ってセキュリティエンジニアが必要になる。
「情報資産の価値×脅威値×脆弱性値=リスク値」という式で示すように、それぞれのシステムに対してリスクレベルを設定し、それにに応じてリスクを回避、低減、受容、移転のいずれかの対応を検討する。
ー以下、メモー
具体的なケースからリスクをひと通り洗い出すのがセキュリティを学ぶのにいい。破りにいく側から勉強するのも有効だろう。詳細な技術を理解するのは負荷が大きく、一般的な理解に止めるのが吉。
Posted by ブクログ
先に読んだ「ネットワークエンジニアの教科書」が割とよかったので、同じシリーズということで読んでみた。シングルサインオンの説明がより詳細だとさらによかった。以下、参考箇所。
ほとんどのシステムは、IDとパスワードで利用者本人を特定し、そのIDがどんな権限で動作するのかの制御を行っています。
前者の利用者本人を特定する行為を「認証(Authentication)」と呼びます。認証はIDとパスワードによって行われることが一般的ですが、最近はワンタイムパスワードや生体認証などほかの認証方法で本人を特定する仕組みも普及しています。
一方、後者の認証された利用者に対してアクセス権限での制御を行うことを「認可(Authorization)」と呼びます。アクセス権限は部署や役職、プロジェクト単位などで適切にコントロールすることで情報漏えいなどのリスクを下げる効果があります。
シングルサインオンを実現する技術
・リバースプロキシ方式
・代理認証方式
・サーバーエージェント方式
・クライアントエージェント方式
・フェデレーション方式
そもそも、Webアプリケーションの脆弱性は、BOFにおける開発者側の単純なミスというよりも、Webアプリケーションの持つプログラミングの構造的な問題に起因しています。
Posted by ブクログ
マネジメント寄りの視点で書かれている。セキュリティに関するトピックスを広く浅く網羅しており、セキュリティ関連のこういった本では忘れられがちな物理的セキュリティもちゃんと取り扱っている。ただ、マネジメント寄りとはいっても技術的な内容の方が多く、また、広く浅くなのでもう一歩踏み込んだ内容が欲しいところ。
