用語の説明

ITユーザー行為

記名被保険者の業務における次の行為をいいます。

  1. ア.ネットワーク(他人に使用させる目的のものを除きます。)の所有、使用または管理
  2. イ.ア.のネットワーク上におけるプログラムまたはデータ(他人のために製造・販売したものを除きます。)の提供
    (記名被保険者が所有、使用または管理するネットワークで直接処理を行った記録媒体によって提供された場合を含みます。)

ネットワーク

情報の処理または通信を主たる目的とするコンピュータ等の情報処理機器・設備が回線を通じて接続されたものをいい、接続に使用される情報処理機器(端末装置等の周辺機器を含みます。以下同様とします。)または設備および通信用回線を含みます。

不正アクセス等

記名被保険者が使用または管理するネットワークに対して、正当な使用権限を有さない者によって行われる次の行為をいいます。

  1. ア.他者のID・パスワード等を使用して他者になりすまし、または権限者が設定したファイアウォールを通過することにより、不正にアクセスする行為
  2. イ.大量のデータを送りつけるDoS攻撃
  3. ウ.不正なプログラムの送付またはインストール
  4. エ.ネットワーク上で管理されるデータベースにSQL文を注入し、データベースを改ざんまたは不正に情報を入手するSQLインジェクション
  5. オ.その他アからエまでに類似の行為

DoS攻撃

ネットワークに不正なデータを大量に送りつける等の手段によりなされる攻撃をいいます。

事故対応期間

被保険者がセキュリティ事故を発見した時から、その翌日以降180日が経過するまでの期間をいいます。

セキュリティ事故

次のものをいいます。ただし、④は、不正アクセス等対応費用についてのみセキュリティ事故に含まれるものとします。

  1. ①ITユーザー行為またはIT業務の遂行に起因して発生したいずれかの事由(②を除きます)
    ア.他人の事業の休止または阻害
    イ.磁気的または光学的に記録された他人のデータまたはコンピュータプログラムの滅失または破損
     (有体物の損壊を伴わずに発生したものに限ります。)
    ウ.人格権侵害
    エ.ネットワーク上で提供される電子データ、データベース、ソフトウェアまたはコンピュータプログラムによる著作権の侵害
    オ.アからエまで以外の不測の事由による他人の損失の発生
  2. ②情報の漏えいまたはそのおそれ
  3. ③①または②を引き起こすおそれのある不正アクセス等
  4. ④③のおそれ

情報の漏えい

個人情報または法人情報の漏えいをいいます。

漏えい

次のものをいいます。ただし、④は、不正アクセス等対応費用についてのみセキュリティ事故に含まれるものとします。

  1. ①ITユーザー行為またはIT業務の遂行に起因して発生したいずれかの事由(②を除きます)
    ア.他人の事業の休止または阻害
    イ.磁気的または光学的に記録された他人のデータまたはコンピュータプログラムの滅失または破損
    (有体物の損壊を伴わずに発生したものに限ります。)
    ウ.人格権侵害
    エ.ネットワーク上で提供される電子データ、データベース、ソフトウェアまたはコンピュータプログラムによる著作権の侵害
    オ.アからエまで以外の不測の事由による他人の損失の発生
  2. ②情報の漏えいまたはそのおそれ
  3. ③①または②を引き起こすおそれのある不正アクセス等
  4. ④③のおそれ

人格権侵害

被保険者によって行われた文書または図画等による表示に起因して発生した他人の自由、名誉、プライバシーまたは肖像権の侵害をいいます。

IT機器等

被保険者が所有、使用または管理する次に掲げるものをいい、データセンターおよびクラウドサービスプロバイダが提供するクラウドサービスを含むものとします。

  1. ア.交換機、中継装置、電送装置等の通信機器
  2. イ.電子計算機、パーソナルコンピュータ(ハードウェアのほか端末装置その他の周辺機器を含みます。)
  3. ウ.ソフトウェアまたはコンピュータプログラム(プログラム、アプリケーションソフトウェア、オペレーティングシステム等名称を問いません。)
  4. エ.演算、判断処理または記憶等を行う集積回路および記憶装置(超小型演算処理装置(MPU)、中央演算処理装置(CPU)、
    各種集積回路(IC)、大規模集積回路(LSI)、超大規模集積回路(VLSI)、マイクロチップ、半導体メモリー等を含みます。)
  5. オ.ア.からエ.までのいずれかのものが組み込まれ、または構成部品等として使用された機械、装置、機器、器具、用品、用具またはシステム
  6. カ.ア.からエ.までのいずれかのものによって制御または監視された機械、装置、機器、器具、用品、用具またはシステム
  7. キ.通信または放送のための回線設備

SOC(ソック)

Security Operation Centerの略。
セキュリティインシデントの監視、分析、報告を行う組織やサービスのことをいいます。

CSIRT(シーサート)

Computer Security Incident Response Teamの略。
企業や行政機関などに設置される組織の一種で、コンピュータシステムやネットワークに保安上の問題に繋がる事象が発生した際に対応する組織のことをいいます。

ペネトレーションテスト

コンピュータやネットワークのセキュリティ対策の弱点を発見するため、実際にシステムを攻撃して侵入を試みるテスト手法のことをいいます。

ファイアウォール

あるコンピュータやネットワークと外部ネットワークの境界に設置され、内外の通信を中継・監視し、外部の攻撃から内部を保護するためのソフトウェアや機器、システムなどのことをいいます。

IDS(アイディーエス)

Intrusion Detection Systemの略。
ネットワークを監視し、サイバー攻撃の侵入や兆候を検知する機能を有するシステムのことをいいます。

IPS(アイピーエス)

Intrusion Prevention Systemの略。
IDSの検知機能に加えて、サイバー攻撃を防御する機能を有するシステムのことをいいます。

WAF(ワフ)

Web Application Firewallの略。
サイバー攻撃の中でも特にWebアプリケーションへの攻撃を検知、防御する機能を有するシステムのことをいいます。

特権アカウント

アクセスしたコンピュータに対してどんな操作も行うことが可能となる強力な権限をもつアカウントのことをいいます。

アンチウイルスソフト

コンピュータウイルスに感染したコンピュータからコンピュータウイルスを駆除し、感染前の状態に修復するソフトウエアのことをいいます。

マルウェア

コンピュータウイルス、ワーム、スパイウェアなどの「悪意のこもった」ソフトウェアのことをいいます。

パターンファイル

コンピュータウイルスを検知するための、コンピュータウイルスの特徴を定義したファイルのことをいいます。

更新プログラム

ソフトウエアのバグ(システム仕様上の欠陥)や脆弱性(コンピュータセキュリティ上の欠陥)を修正するプログラムのことをいいます。

ミドルウェア

OSとアプリケーションの間で中間的な処理を行うソフトウェアの一種をいいます。