Webセキュリティ, プライバシー & コマース 第2版 (下)

―システム管理者・コンテンツ提供者編

[cover photo]
TOPICS
Web , Security , System/Network
発行年月日
PRINT LENGTH
456
ISBN
4-87311-110-2
原書
Web Security, Privacy & Commerce, 2nd Edition
FORMAT
Print
5,060円
この商品は品切れ再入荷未定です

本書は『Webセキュリティ&コマース』(1998年)の改訂版です(二分冊の下巻)。下巻では主にサーバ管理者やコンテンツ提供者向けに、サーバが侵入を受ける確率を減少させる方法、自社のデータとサイトへのアクセス者を保護するための暗号化手法、サーバに不正侵入を受けた際の復旧手順などを解説します。セキュアなCGI、PHPプログラムについても詳しく説明します。さまざまな決済システムの特徴や、デジタル証明書の発行方法など、Webを使った商活動に欠かせない内容も紹介し、自社の提供するサービスとユーザの安全について責任を持つすべてのWeb運営者にとって必読の一冊と言えるでしょう。

目次

III部 Webサーバセキュリティ

14章 サーバの物理的なセキュリティ
    14.1 忘れ去られた脅威への対策 
        14.1.1 物理的なセキュリティのプラン 
        14.1.2 災害復帰対策 
        14.1.3 その他の不慮の事故 
    14.2 コンピュータハードウェアの保護 
        14.2.1 環境 
        14.2.2 事故の防止 
        14.2.3 物理的なアクセス 
        14.2.4 破壊行為 
        14.2.5 戦争やテロ行為に対する防御 
        14.2.6 盗難の防止 
    14.3 データの保護 
        14.3.1 盗聴 
        14.3.2 バックアップの保護 
        14.3.3 処分前のメディアのサニタイズ 
        14.3.4 印刷物のサニタイズ 
        14.3.5 ローカルストレージの保護 
        14.3.6 無人のターミナル 
        14.3.7 キースイッチ 
    14.4 人事 
    14.5 現場の視察 
        14.5.1 私たちの評価 
        14.5.2 失うものは何もないのか 
15章 サーバのためのホストセキュリティ
    15.1 現在のホストセキュリティの問題点 
        15.1.1 攻撃の種類 
        15.1.2 攻撃の頻度 
        15.1.3 敵を知る 
        15.1.4 攻撃者のねらい 
        15.1.5 攻撃者が使用するツール 
    15.2 ホストコンピュータの保護 
        15.2.1 ポリシーによるセキュリティ 
        15.2.2 バグや欠陥に詳しくなる 
        15.2.3 ベンダーの選択 
        15.2.4 導入1 システムの目録の作成 
        15.2.5 導入2 ソフトウェアとパッチのインストール 
    15.3 サービスの絞り込みによるリスクの緩和 
    15.4 安全な運用 
        15.4.1 新しい脆弱性を追う 
        15.4.2 ログ 
        15.4.3 バックアップ 
        15.4.4 セキュリティツール 
    15.5 セキュリティで保護されたリモートアクセスとコンテンツの更新 
        15.5.1 パスワードの傍受 
        15.5.2 暗号化による盗聴対策 
        15.5.3 コンテンツの安全な更新 
        15.5.4 ダイヤルアップモデム 
    15.6 ファイアウォールとWeb 
        15.6.1 ファイアウォールの種類 
        15.6.2 ファイアウォールによるLANの保護 
        15.6.3 ファイアウォールによるWebサーバの保護 
    15.7 まとめ 
16章 Webアプリケーションの保護
    16.1 拡張性と危険性 
        16.1.1 CGIにすべきではないプログラム 
        16.1.2 予想外の副作用 
    16.2 コーディング上の注意点 
        16.2.1 安全なスクリプトを書くための原則 
    16.3 フィールド、隠しフィールド、クッキーの安全な使用 
        16.3.1 フィールドの安全な使用 
        16.3.2 隠しフィールドと複合URL 
        16.3.3 クッキーの使用 
        16.3.4 暗号化による隠しフィールド、複合URL、クッキーの強化 
    16.4 プログラミング言語ごとの注意事項 
        16.4.1 Perlプログラミングでの注意事項 
        16.4.2 Cプログラミングでの注意事項 
        16.4.3 Unixシェルの注意事項 
    16.5 PHPの安全な使用 
        16.5.1 PHPの概要 
        16.5.2 PHPの制御 
        16.5.3 PHPのセキュリティ問題 
        16.5.4 PHPのインストールの問題 
        16.5.5 PHP変数 
        16.5.6 データベースの認証情報 
        16.5.7 URL fopen() 
        16.5.8 スクリプトの隠ぺい 
        16.5.9 PHPセーフモード 
    16.6 別の特権で実行するスクリプト 
    16.7 データベースへの接続 
        16.7.1 アカウント情報の保護 
        16.7.2 SQLのフィルタリングとクォーティング 
        16.7.3 データベース自体の保護 
    16.8 まとめ 
17章 SSLサーバ証明書の導入
    17.1 SSLサーバの計画 
        17.1.1 サーバの選択 
        17.1.2 秘密鍵の保存場所 
        17.1.3 サーバ証明書 
    17.2 FreeBSDを使用したSSLサーバの作成 
        17.2.1 歴史 
        17.2.2 プログラムの入手 
        17.2.3 Apacheとmod_sslのインストール 
        17.2.4 初期インストールの検証 
        17.2.5 独自の認証局による鍵の署名 
        17.2.6 ほかのサービスの保護 
    17.3 IISへのSSL証明書のインストール 
    17.4 民間の認証局からの証明書の入手 
    17.5 問題が発生したら 
        17.5.1 無効な証明書 
        17.5.2 証明書の更新 
        17.5.3 不正なサーバアドレス 
18章 Webサービスのセキュリティ
    18.1 冗長性による保護 
        18.1.1 価格と性能に対する冗長性 
        18.1.2 冗長性の提供 
    18.2 DNSの保護 
    18.3 ドメイン登録の保護 
19章 コンピュータ犯罪
    19.1 不正侵入への法的措置 
        19.1.1 刑事告訴 
        19.1.2 コンピュータ犯罪に関する連邦法 
        19.1.3 刑事告訴の危険性 
        19.1.4 犯罪を報告する義務 
    19.2 刑事事件の危険性 
    19.3 犯罪の対象 
        19.3.1 アクセス装置と著作権付きのソフトウェア 
        19.3.2 ポルノ、卑わい物、わいせつ物 
        19.3.3 著作物へのアクセス規制を逃れるデバイス 
        19.3.4  暗号プログラムと輸出規制 IV部 コンテンツプロバイダのセキュリティ
20章 Webコンテンツへのアクセスの制御
    20.1 アクセスコントロールの考え方 
        20.1.1 秘密のURL 
        20.1.2 ホストベースのアクセスコントロール 
        20.1.3 ユーザベースのアクセスコントロール 
    20.2 Apacheを使用したアクセスコントロール 
        20.2.1 .htaccessファイルによるアクセスコントロール 
        20.2.2 Webサーバの構成ファイルによるアクセスコントロール 
        20.2.3 <Limit>...</Limit>の前に指定するコマンド 
        20.2.4 <Limit>...</Limit>ブロックで指定するコマンド 
        20.2.5 <Limit>のコード例 
        20.2.6 ユーザ名とパスワードを手動で設定する方法 
        20.2.7 高度なユーザ管理 
    20.3 IISを使用したアクセスコントロール 
        20.3.1 IISのインストール 
        20.3.2 IISのパッチのダウンロードとインストール 
        20.3.3 IIS Webページのアクセスコントロール 
        20.3.4 IISディレクトリのアクセスコントロール 
21章 クライアント側のデジタル証明書
    21.1 クライアント証明書 
        21.1.1 クライアント証明書はなぜ必要か 
        21.1.2 クライアント証明書をサポートするブラウザ 
    21.2 VeriSign社のデジタルIDセンター 
        21.2.1 VeriSign社のデジタルID 
        21.2.2 デジタルIDの検索 
        21.2.3 デジタルIDの取り消し 
22章 コード署名とAuthenticode
    22.1 コード署名はなぜ必要か 
        22.1.1 コード署名の役割 
        22.1.2 コード署名の現状 
        22.1.3 コード署名と暗号技術の法的規制 
    22.2 Authenticode 
        22.2.1 誓約 
        22.2.2 Authenticodeによる署名 
    22.3 ソフトウェアパブリッシャ証明書の取得 
    22.4 その他のコード署名方式 
23章 ポルノ、フィルタリングソフトウェア、検閲技術
    23.1 ポルノのフィルタリング 
        23.1.1 フィルタリングのアーキテクチャ 
        23.1.2 センサーウェアの問題点 
    23.2 PICS 
        23.2.1 PICSとは 
        23.2.2 PICSの用途 
        23.2.3 PICSと検閲 
    23.3 RSACi 
    23.4 まとめ 
24章 プライバシーの保護、法律の制定、P3P
    24.1 プライバシーの保護とプライバシーポリシー 
        24.1.1 公正な情報の原則 
        24.1.2 OECDガイドライン 
        24.1.3 その他の国内規制と国際規制 
        24.1.4 プライバシーの「自主規制」 
    24.2 児童オンラインプライバシー保護法 
        24.2.1 規制の予兆 
        24.2.2 CORPAの要件 
    24.3 P3P 
        24.3.1 P3PとPICS 
        24.3.2 Internet Explorer 6.0におけるP3Pのサポート 
    24.4 まとめ 
25章 デジタル決済
    25.1 チャルガプレート、ダイナースクラブ、クレジットカード 
        25.1.1 クレジットの簡単な歴史 
        25.1.2 アメリカの決済カード 
        25.1.3 銀行間のカード決済 
        25.1.4 リファンドとチャージバック 
        25.1.5 その他の認証方法 
        25.1.6 インターネットでのクレジットカードの使用 
    25.2 インターネットの決済システム 
        25.2.1 Virtual PIN 
        25.2.2 DigiCash 
        25.2.3 CyberCashとCyberCoin 
        25.2.4 SET 
        25.2.5 PayPal 
        25.2.6 Gatorウォレット 
        25.2.7 Microsoft Passport 
        25.2.8 その他の決済システム 
    25.3 クレジットカード決済システムの品定め 
26章 知的財産権と違法行為
    26.1 著作権 
        26.1.1 著作権の侵害 
        26.1.2 海賊版ソフトウェアとSPA 
        26.1.3 Warez 
    26.2 特許 
    26.3 商標 
        26.3.1 商標の取得 
        26.3.2 商標違反 
        26.3.3 ドメイン名と商標 
    26.4 違法行為 
        26.4.1 自由主義と名誉毀損 
        26.4.2 損害賠償責任 
        26.4.3 法人化による保護 

V部 付録

付録A Vineyard.NETの教訓
    A.1 Vineyard.NETの始まり 
    A.2 計画と準備 
    A.3 IP接続 
    A.4 事業開始 
        A.4.1 電話会社との交渉 
        A.4.2 Vineyard.NETの法人化 
        A.4.3 初期の展開 
        A.4.4 会計ソフトウェア 
        A.4.5 パブリシティとプライバシー 
    A.5 現状 
        A.5.1 セキュリティ対策 
        A.5.2 電話の構成と請求書の問題 
        A.5.3 クレジットカードとACH 
        A.5.4 監視ソフトウェア 
    A.6 冗長性と無線通信 
        A.6.1 バックアップとの接続 
        A.6.2 バックアップサイトの設置 
        A.6.3 フェールオーバーからの回復 
    A.7 大きなキャッシュアウト 
    A.8 まとめ 
付録B SSL/TLSプロトコル
    B.1 歴史 
    B.2 TLSレコード層 
    B.3 SSL/TLSプロトコル 
        B.3.1 Handshakeプロトコル 
        B.3.2 Alertプロトコル 
        B.3.3 ChangeCipherSpecプロトコル 
    B.4 SSL 3.0/TLSハンドシェイク 
        B.4.1 ハンドシェイクの手順 
付録C P3P
    C.1 P3Pの仕組み 
    C.2 P3Pの導入 
        C.2.1 プライバシーポリシーの作成 
        C.2.2 P3Pポリシーとポリシー参照ファイルの作成 
        C.2.3 ポリシー参照ファイルの検索 
        C.2.4 コンパクトポリシー 
    C.3 P3P対応のWebサイトの簡単な例 
付録D PICS仕様
    D.1 格付けサービス 
    D.2 PICSラベル 
        D.2.1 ドキュメントのラベル付け 
        D.2.2 HTTP経由でのPICSラベルのリクエスト 
        D.2.3 格付けサービスへのPICSラベルのリクエスト 
付録E 参考文献
    E.1 オンラインリファレンス 
        E.1.1 メーリングリスト 
        E.1.2 Usenetニュースグループ 
        E.1.3 WebページとFTPレポジトリ 
        E.1.4 ソフトウェアリソース 
    E.2 印刷形式のリファレンス 
        E.2.1 コンピュータ犯罪と法律 
        E.2.2 コンピュータ関連のリスク 
        E.2.3 コンピュータウイルスとプログラム化された脅威 
        E.2.4 暗号 
        E.2.5 コンピュータセキュリティ全般 
        E.2.6 システム管理、ネットワークテクノロジ、セキュリティ 
        E.2.7 セキュリティ製品とサービスに関する情報 
        E.2.8 その他の参考資料 

索引