用語の説明

ITユーザー行為

記名被保険者の業務における次の行為をいいます。

  1. ア.ネットワーク(他人に使用させる目的のものを除きます。)の所有、使用または管理
  2. イ.ア.のネットワーク上におけるプログラムまたはデータ(他人のために製造・販売したものを除きます。)の提供
    (記名被保険者が所有、使用または管理するネットワークで直接処理を行った記録媒体によって提供された場合を含みます。)

ネットワーク

情報の処理または通信を主たる目的とするコンピュータ等の情報処理機器・設備が回線を通じて接続されたものをいい、接続に使用される情報処理機器(端末装置等の周辺機器を含みます。以下同様とします。)または設備および通信用回線を含みます。

不正アクセス等

記名被保険者が使用または管理するネットワークに対して、正当な使用権限を有さない者によって行われる次の行為をいいます。

  1. ア.他人のID・パスワード等を使用して他人になりすまし、または権限者が設定したファイアウォールを通過することにより、不正にアクセスする行為
  2. イ.大量のデータを送りつけるDoS攻撃
  3. ウ.不正なプログラムの送付またはインストール

DoS攻撃

ネットワークに不正なデータを大量に送りつける等の手段によりなされる攻撃をいいます。

事故対応期間

被保険者がセキュリティ事故を発見した時から、その翌日以降180日が経過するまでの期間をいいます。

セキュリティ事故

次の事由またはそれを引き起こすおそれのある不正アクセス等をいいます。ただし、こちらに記載の危機管理対応費用のクまたはケの費用のうち、不正アクセス等の有無を判断するために支出する費用についてのみ、不正アクセス等のおそれを含みます。
記名被保険者が行うIT業務の遂行または記名被保険者の業務におけるネットワークの所有・使用・管理等(ITユーザー行為)に起因して発生した次のいずれかの事由

  1. ア.他人の事業の休止または阻害
  2. イ.他人のデータまたはコンピュータプログラムの滅失または破損
  3. ウ.情報の漏えいまたはそのおそれ(紙または磁気ディスク等の紛失、盗取、詐取や記名被保険者の使用人による持ち出し等によるものを含み、これらについてはIT業務・ITユーザー行為に起因するかどうかは問いません。 )
  4. エ.人格権侵害
  5. オ.著作権の侵害
  6. カ.その他の不測の事由 

情報の漏えい

個人情報または法人情報の漏えいをいいます。

漏えい

次の事象をいいます。ただし、保険契約者または記名被保険者もしくはその役員が意図的に情報を第三者に知らせる行為を除きます。

  1. ア.個人情報が被害者以外の第三者に知られたこと(知られたと判断できる合理的な理由がある場合を含みます。以下同様とします。)。
  2. イ.法人情報が被害法人以外の第三者に知られたこと。

人格権侵害

被保険者によって行われた文書または図画等による表示に起因して発生した他人の自由、名誉、プライバシーまたは肖像権の侵害をいいます。

IT機器等

被保険者が所有、使用または管理する次に掲げるものをいい、データセンターおよびクラウドサービスプロバイダが提供するクラウドサービスを含むものとします。

  1. ア.交換機、中継装置、電送装置等の通信機器
  2. イ.電子計算機、パーソナルコンピュータ(ハードウェアのほか端末装置その他の周辺機器を含みます。)
  3. ウ.ソフトウェアまたはコンピュータプログラム(プログラム、アプリケーションソフトウェア、オペレーティングシステム等名称を問いません。)
  4. エ.演算、判断処理または記憶等を行う集積回路および記憶装置(超小型演算処理装置(MPU)、中央演算処理装置(CPU)、
    各種集積回路(IC)、大規模集積回路(LSI)、超大規模集積回路(VLSI)、マイクロチップ、半導体メモリー等を含みます。)
  5. オ.ア.からエ.までのいずれかのものが組み込まれ、または構成部品等として使用された機械、装置、機器、器具、用品、用具またはシステム
  6. カ.ア.からエ.までのいずれかのものによって制御または監視された機械、装置、機器、器具、用品、用具またはシステム
  7. キ.通信または放送のための回線設備

SOC(ソック)

Security Operation Centerの略。
セキュリティインシデントの監視、分析、報告を行う組織やサービスのことをいいます。

CSIRT(シーサート)

Computer Security Incident Response Teamの略。
企業や行政機関などに設置される組織の一種で、コンピュータシステムやネットワークに保安上の問題に繋がる事象が発生した際に対応する組織のことをいいます。

ペネトレーションテスト

コンピュータやネットワークのセキュリティ対策の弱点を発見するため、実際にシステムを攻撃して侵入を試みるテスト手法のことをいいます。

ファイアウォール

あるコンピュータやネットワークと外部ネットワークの境界に設置され、内外の通信を中継・監視し、外部の攻撃から内部を保護するためのソフトウェアや機器、システムなどのことをいいます。

IDS(アイディーエス)

Intrusion Detection Systemの略。
ネットワークを監視し、サイバー攻撃の侵入や兆候を検知する機能を有するシステムのことをいいます。

IPS(アイピーエス)

Intrusion Prevention Systemの略。
IDSの検知機能に加えて、サイバー攻撃を防御する機能を有するシステムのことをいいます。

WAF(ワフ)

Web Application Firewallの略。
サイバー攻撃の中でも特にWebアプリケーションへの攻撃を検知、防御する機能を有するシステムのことをいいます。

特権アカウント

アクセスしたコンピュータに対してどんな操作も行うことが可能となる強力な権限をもつアカウントのことをいいます。

アンチウイルスソフト

コンピュータウイルスに感染したコンピュータからコンピュータウイルスを駆除し、感染前の状態に修復するソフトウエアのことをいいます。

マルウェア

コンピュータウイルス、ワーム、スパイウェアなどの「悪意のこもった」ソフトウェアのことをいいます。

パターンファイル

コンピュータウイルスを検知するための、コンピュータウイルスの特徴を定義したファイルのことをいいます。

更新プログラム

ソフトウエアのバグ(システム仕様上の欠陥)や脆弱性(コンピュータセキュリティ上の欠陥)を修正するプログラムのことをいいます。

ミドルウェア

OSとアプリケーションの間で中間的な処理を行うソフトウェアの一種をいいます。