< 別 添 資 料 Ⅱ>ネットワークセキュリティ 基 礎 カリキュラム 情 報 セキュリティ 全 般 の 動 向 および 必 要 な 対 策 の 基 礎 知 識 について 習 得 し ます NISMコース 体 系 全 体 の 概 要 を 学 びます また 最 新 のセキュリティ 技 術 の 概 要 を 解 説 し 専 門 コースへの 足 がかりになる ようにします 1. ネットワークセキュリティとは 1-1 ネットワークセキュリティの 概 要 コンピュータネットワークの 脅 威 増 大 するリスク 演 習 1 机 上 問 題 にて モデル 企 業 の 脅 威 などをグループワークにて 検 討 1-2 セキュリティ 対 策 の 必 要 性 ネットワークセキュリティの 確 保 セキュリティコントロール 検 疫 ネットワーク 1-3 セキュリティポリシー セキュリティポリシーとは セキュリティポリシー 策 定 と 運 用 2. セキュリティ 対 策 2-1 ネットワークアタック 不 正 侵 入 の 手 口 代 表 的 なアタック デモ PCに 侵 入 し バックドアを 仕 込 むデモを 実 施 2-2 セキュリティ 対 策 の 概 要 人 的 セキュリティ 物 理 的 セキュリティ システム 的 セキュリティ 演 習 3 机 上 問 題 にて 人 的 物 理 的 セキュリティ を 検 討 2-3 ホストセキュリティ サーバのセキュリティ 対 策 モバイルセキュリティの 概 要 レベル: 基 礎 提 知 識 : インターネット 技 術 の 基 礎 知 識 を 有 する こと 日 数 :2 日 間 1-4 セキュリティ 監 査 情 報 セキュリティ 監 査 とは セキュリティ 監 査 の 実 施 運 用 と 監 査 セキュリティ 担 当 者 の 役 割 演 習 2 机 上 問 題 にて 企 業 のポリシー 策 定 やPDCAサイクルなどを 検 討 1-5 関 連 法 規 法 制 度 の 現 状 1-6 標 準 規 格 と 認 証 制 度 CSR 標 準 規 格 プライバシーマークとISMS 2-4 サイトのセキュリティ 対 策 ファイアウォールの 構 成 ファイアウォールの 種 類 認 証 の 種 類 認 証 サーバ 802.1x 無 線 LANのセキュリティ 侵 入 検 知 システム(IDS) ロギング VPNの 構 成 VPNの 種 類 PKIとは PKIの 構 成 演 習 4 机 上 問 題 にて ホストセキュリティや サイトセキュリティを 検 討 形 態 : 講 義 1
< 別 添 資 料 Ⅱ>ネットワークセキュリティ 実 践 カリキュラム セキュアなネットワークを 構 築 するため のファイアウォール VPN および 無 線 LANセキュリティについて 習 得 します ネットワークセキュリティの 概 要 と 最 新 動 向 を 解 説 し その 対 処 方 法 について 講 義 実 習 を 行 います 特 に 最 新 動 向 につい ては クラウドコンピューティングやクラウ ドデバイス(スマートフォン 等 )の 概 要 に 触 れ 新 しいサービスにおけるセキュリティ 動 向 を 学 びます 1. ネットワークセキュリティの 概 要 2.セキュリティに 関 する 脅 威 盗 聴 バックドア ポートスキャン パスワードクラック DoS ファイル 交 換 ソフト ウィルスなど Bot ウィルスなどマルウェア 全 般 の 解 説 アプライアンスサーバにおるファイア ウォール 構 築 (ルール 設 定 ) アプライアンスサーバによる ファイアウォール 構 築 ( 設 定 検 証 ) 3 日 目 5-3 無 線 LANのセキュリティの 問 題 点 WEP 解 析 MACアドレス 偽 装 Wiフィッシング セキュアな 無 線 LAN 環 境 の 構 築 6. 認 証 認 証 の 種 類 認 証 プロトコル 802.1x 電 子 署 名 PKI 802.11i レベル: 応 用 提 知 識 : ネットワークセキュリティ 基 礎 コースを 受 講 していること または 同 等 の 知 識 を 有 すること 日 数 :3 日 間 形 態 : 講 義 実 習 セキュリティに 関 する 脅 威 ( 盗 聴 バックドア ポートスキャン パスワードクラック ) 3.ファイアウォール 3-1ファイアウォールの 構 成 と 特 徴 ファイアウォールの 構 成 パケットフィルタリングとは サーキットレベルゲートウェイ アプリケーションレベルゲートウェイ ステートフルインスペクション ログ 監 視 フィルタリングの 設 計 次 世 代 ファイアウォール(WAF) 4. VPN 4-1 VPNの 構 成 と 特 徴 VPNの 構 成 VPNとトンネリングプロトコル (L2TP IPSec MPLS 等 ) 代 表 的 な 暗 号 方 式 と 暗 号 アルゴリズム VPNによるセキュアなネットワーク 通 信 環 境 の 構 築 5. 無 線 LANのセキュリティ 5-1 無 線 LANの 概 要 と 技 術 動 向 無 線 LAN 概 要 規 格 (802.11a/b/g/n 等 ) 5-2 無 線 LANのセキュリティ 対 策 ESS-ID ステルス 設 定 MACアドレス 制 限 暗 号 化 802.1x 環 境 構 築 7. 技 術 動 向 7-1 ワイヤレスブロードバンド 無 線 通 信 技 術 端 末 セキュリティ 動 向 7-2 クラウドコンピューティング 概 要 クラウドデバイス クラウドコンピューティングとセキュリティ 7-3 その 他 のセキュリティ 動 向 使 用 OS:WindowsServer2008 2
< 別 添 資 料 Ⅱ>サーバセキュリティ 実 践 カリキュラム セキュアなWindowsサーバ Linuxサー バを 構 築 するための 各 種 設 定 について 習 得 します サーバに 対 する 脅 威 を 解 説 し それに 対 するWindowsサーバ Linuxサーバ のセキュリティ 機 能 をわかり 易 く 講 義 します 実 習 ではDNSサーバ メール サーバ,WWWサーバのセキュリティ 対 策 を 確 認 します 1. セキュアなサーバの 基 本 設 定 セキュアbyデフォルト サーバに 対 する 脅 威 3 日 目 1-1セキュアなサーバの 基 本 設 定 概 要 サーバセキュリティ 対 策 の 基 本 1-2Windows 系 OS サービスの 制 御 セキュリティパッチ セキュリティ 情 報 1-3Linux 系 OS サービスの 制 御 セキュリティパッチ セキュリティ 情 報 2-3ネットワークの 設 定 ネットワークサービスの 制 御 パケットフィルタリング 2-4ロギングと 監 査 証 跡 ログ 解 析 の 概 要 ログ 採 取 の 設 定 ネットワークサービスの 設 定 と フィルタリングの 設 定 (Linux) 4. メールサーバのセキュリティ 対 策 4-1メールの 仕 組 とセキュリティ 上 の 問 題 点 4-2セキュリティホール 4-3 不 正 中 継 対 策 4-5その 他 対 策 ( APOP POP before SMTP SMTP 認 証 POPs SMTPs 暗 号 化 メール OP25B ドメイ ン 認 証 S25R ウイルス 対 策 ) メールサーバのセキュリティ 対 策 (Linux) POPs SMTP 認 証 提 知 識 : ネットワークセキュリティ 基 礎 コースを 受 講 していること WindowsServerおよびUnixシステムの 基 礎 知 識 が 習 得 されていること 日 数 :3 日 間 2.OSの 各 種 設 定 2-1ファイルシステムの 設 定 アクセス 権 の 決 定 アクセス 制 御 設 定 2-2 ユーザの 管 理 ユーザの 管 理 実 習 演 習 ファイルシステムとユーザの 設 定 (Windows/Linux) 3. DNSサーバのセキュリティ 対 策 3-1 DNSサーバのセキュリティ 対 策 3-2ゾーン 転 送 禁 止 3-3 問 合 せのアクセス 制 御 3-4DNSキャッシングポイズニング 対 策 (DNSSECなど) DNSサーバのセキュリティ 対 策 (Linux) ゾーン 転 送 のアクセス 制 御 問 合 せのアクセス 制 御 バージョン 情 報 の 隠 蔽 5. WWWサーバのセキュリティ 対 策 SQLインジェクション クロスサイトスクリプティング 5-1IISのセキュリティ 5-2Apacheのセキュリティ WWWサーバのセキュリティ 対 策 クロスサイトスクリプティング(Windows) SSL 構 築 (Windows) CAの 構 築 (Windows) 形 態 : 講 義 実 習 使 用 OS:WindowsServer2008 CentOS 3
< 別 添 資 料 Ⅱ> 不 正 アクセス 監 視 実 践 カリキュラム セキュアなネットワークを 運 用 するた めのネットワーク 監 視 IDS および セキュアなサーバを 運 用 するためのロ グ 解 析 について 習 得 します フォレンジックについての 講 義 を 取 り 入 れ フォレンジックツールによるデモ を 行 います 不 正 アクセスを 受 けたシ ステムのログを 解 析 し インシデントを 把 握 するグループ 実 習 を 行 い 最 にレポートとして 報 告 ( 発 表 )を 行 いま す 1. 不 正 アクセスの 監 視 1-1 不 正 アクセスの 監 視 項 目 ネットワークの 監 視 ホストの 監 視 ログ 管 理 1-2 不 正 アクセスの 監 視 方 法 不 正 アクセスの 検 出 アクセス 監 視 パケット 監 視 サービス 監 視 トラフィック 監 視 3 日 目 IDSによる 監 視 と 防 御 UTMによるIDS Tripwireによるファイル 改 ざんの 検 知 3.インシデントレスポンス 3-1セキュリティインシデント 3-2インシデントレスポンス 3-3フォレンジック 4-3ネットワーク 機 器 のログ ルータのログの 構 成 ルータのログの 設 定 ルータのアクセスログの 設 定 ルータのログ システムのログ 解 析 実 習 演 習 ツールによるネットワークの 監 視 デモ フォレンジックツール 中 の 続 き 提 知 識 : ネットワークセキュリティ 基 礎 コース を 受 講 していること または 同 等 の 知 識 を 有 すること 2. 侵 入 検 知 システム 2-1 侵 入 検 知 システム 2-2 侵 入 検 知 方 法 とアクション 2-3 侵 入 検 知 システムの 種 類 2-4 代 表 的 なIDS 製 品 (Snort,Tripwire) 4.システムログ 管 理 4-1Windowsのログ 監 査 の 設 定 イベントビューア ログサーバの 設 定 サーバアプリケーションのログ 発 表 システムログ 解 析 日 数 :3 日 間 4-2Linuxのログ 解 析 syslogの 構 成 syslogの 設 定 サーバアプリケーションのログ 形 態 : 講 義 実 習 使 用 OS:WindowsServer2008 CentOS 4
< 別 添 資 料 Ⅱ>セキュリティポリシー 実 践 カリキュラム 情 報 セキュリティ 標 準 化 の 動 向 とグローバ ルスタンダードをふまえ セキュリティポリ シーの 策 定 と 情 報 セキュリティ 管 理 (リスク アセスメント)について 習 得 します 演 習 を 行 いながら セキュリティポリシーの 策 定 方 法 及 び 構 造 を 理 解 します セキュリティポリシーとその 運 用 に 関 わる ISMSの 関 連 を 解 説 し セキュリティの 維 持 と 運 用 が 理 解 できるようになります 1. 情 報 セキュリティ 1-1 情 報 セキュリティとは 1-2 評 価 基 準 C: 機 密 性 I: 完 全 性 A: 可 用 性 1-3 セキュリティ 対 策 人 的 対 策 物 理 的 対 策 技 術 的 対 策 2. セキュリティポリシー 2-1 構 成 2-2 方 針 ポリシー 2-3 規 則 スタンダード 2-4 手 順 書 プロシージャ 4. リスクアセスメント 4-1 分 析 手 法 4-2 情 報 資 産 の 洗 い 出 し 4-3 脅 威 の 識 別 4-4 脆 弱 性 の 識 別 4-5 リスクの 算 定 5. リスク 対 応 5-1 対 応 の 種 類 5-2 受 容 レベルの 選 定 5-3 具 体 策 の 選 定 5-4 対 応 計 画 5-5 残 留 リスク 6. 管 理 基 準 6-1 ISO/IEC 27002 6-2 ISO/IEC 27001 6-3 ISO/IEC 27005 提 知 識 : ネットワークセキュリティ 基 礎 コースを 受 講 していること または 同 等 の 知 識 を 有 すること 日 数 :2 日 間 セキュリティポリシーの 策 定 モデル 企 業 のセキュリティポリシーを 机 上 にて 策 定 する 3. 情 報 セキュリティ 管 理 3-1 情 報 セキュリティ 管 理 システム(ISMS) 3-2 管 理 プロセス PDCAサイクル ISMSの 導 入 及 び 運 用 ISMSの 監 視 及 び 見 直 し 3-3 ISMSの 確 立 適 用 範 囲 の 決 定 基 本 方 針 の 策 定 リスクアセスメント モデル 企 業 のリスクを 洗 い 出 し 評 価 します 7. 個 人 情 報 保 護 7-1 OECDプライバシーガイドライン 7-2 プライバシーマーク 制 度 7-3 TRUSTeマーク 制 度 8. 認 証 制 度 形 態 : 講 義 演 習 5
< 別 添 資 料 Ⅱ>セキュリティ 監 査 実 践 カリキュラム 情 報 セキュリティ 監 査 の 内 容 と 手 順 につ いて 監 査 項 目 の 策 定 演 習 と 脆 弱 性 検 査 の 実 習 を 通 じ その 効 果 的 な 活 用 方 法 を 把 握 します 情 報 セキュリティにおける 監 査 とは 何 かを 分 かり 易 く 解 説 します 机 上 演 習 を 通 じ 監 査 の 手 順 と 監 査 項 目 を 理 解 します また 実 機 を 使 った 脆 弱 性 検 査 を 実 施 し 技 術 面 での 監 査 手 法 を 理 解 すると 共 に 報 告 方 法 についても 学 びます 1. 情 報 セキュリティ 管 理 1-1 情 報 セキュリティ 1-2 情 報 セキュリティ 管 理 システム 2. 情 報 セキュリティ 監 査 2-1 情 報 セキュリティ 監 査 とは 2-2 監 査 の 対 象 と 視 点 2-3 監 査 の 目 的 と 種 類 2-4 監 査 の 基 準 2-5 監 査 人 の 資 質 4. 技 術 的 検 証 4-1 検 証 の 種 類 4-2 設 計 の 評 価 4-3 脆 弱 性 検 査 4-4 侵 入 テスト( 疑 似 攻 撃 テスト) 4-5 ログ 管 理 4-6 フォレンジック 提 知 識 : ネットワークセキュリティ 基 礎 コー スを 受 講 していること または 同 等 の 知 識 を 有 すること 日 数 :2 日 間 2-6 監 査 人 の 能 力 2-7 法 的 責 任 3. 監 査 の 手 順 3-1 監 査 フロー 3-2 監 査 報 告 書 監 査 項 目 の 策 定 監 査 報 告 書 作 成 モデル 企 業 の 業 務 情 報 システム 情 報 をもとに 机 上 で 監 査 項 目 策 定 及 び 監 査 報 告 書 作 成 脆 弱 性 検 査 サーバの 脆 弱 性 検 査 の 疑 似 体 験 5. 監 査 制 度 5-1 情 報 セキュリティ 監 査 制 度 5-2 システム 監 査 5-3 ISO 認 証 制 度 5-4 J-SOX 法 形 態 : 講 義 演 習 6