※本サービスは、販売を終了させていただきました。

2008年11月11日

日本ユニシス
「情報セキュリティ事件・事故対応シミュレーションサービス」の提供開始

〜 多種多様な情報セキュリティ事件・事故に対して、被害拡大を防ぐための事前訓練を実施 〜

本文

　日本ユニシス株式会社(本社：東京都江東区、社長：籾井 勝人、以下 日本ユニシス)は、企業における情報セキュリティ対策強化の一環として、擬似的に情報セキュリティ事件・事故を発生させ、その対応の適切性評価および緊急対応の訓練を行うことを目的とした「情報セキュリティ事件・事故対応シミュレーションサービス」を本日から提供開始します。

　情報セキュリティ事件・事故は、発生した際の対応が適切でなかった場合、さらに大きな損失を招く恐れがあります。適切な対応とは、事件・事故の発見から正確かつ迅速に暫定対応を行うこと、その原因を追究し、有効な再発防止策を実施することです。そのためには、平時から準備を行い定期的な訓練を実施することが重要です。

　本サービスは、情報セキュリティ対策における3つの要素(人的・技術的・物理的)から擬似的に情報セキュリティ事件・事故を発生させ、従業員の対応プロセスを評価します。また、本サービスは、緊急時の対応を平時から訓練することにより、有事の際に迅速な対応が実施できることを目的としており、従業員が規程どおりに適切な対応が可能であったか、また、実施できなかった場合は、それらの原因を調査し、適切な助言とともに報告書を提出します。

　「情報セキュリティ事件・事故シミュレーションサービス」の特徴とその効果は、以下のとおりです。

1. さまざまな脅威を想定した情報セキュリティ事件・事故のシミュレーションを実施
   情報セキュリティ事件・事故は、いつ、どのように発生するか予測困難です。本サービスは、人的・技術的・物理的な事件・事故が発生した場合のさまざまなケースに包括的に対応できます。下記の主なメニューを用意しており、お客様の要望・企業風土・業界特徴に応じてメニューを選択することが可能です。
   
   (1)情報漏えい時の緊急対応シミュレーション
   
   個人情報や機密情報など情報漏えいが発生したケースを想定し、予め用意された緊急対応手順に従い対応ができるかなどを調査し、情報漏えい時の組織的な対応を訓練します。
   
   (2)擬似標的型攻撃^(注1)シミュレーション
   
   特定の対象者にメールを送信し、擬似的に予め用意した悪意あるWebサイト(URL)へ誘引された人数や対象者の行動を調査します。
   
   (3)擬似ウイルス感染シミュレーション
   
   特定の対象者に擬似ウイルスメールを送信し、ウイルス対策ソフトで検知させてアラートを発生させ、適切なルートで報告できた人数、その時間などを調査します。
   
   (4)ソーシャルエンジニアリング・シミュレーション^(注2)
   
   電話による機密情報の聞き出し、物理的な構内侵入によるデータなどの持ち出し、書類廃棄物の調査による機密情報の収集などを試み、対象者の対応を調査します。
   
   (5)無線LAN不正アクセス・シミュレーション
   
   無線LANの暗号化や認証制御によるセキュリティ強度調査、電波強度の調査、無許可のアクセスポイント調査、擬似侵入調査などを実施します。
   
   
2. 情報セキュリティ事件・事故対応シミュレーション実施による効果
   (1)現在の企業の状態において、情報セキュリティ事件・事故発生時に適切な対応が行なわれるか評価することができます。<
   
   (2)擬似的に発生された情報セキュリティ事件・事故の対応が適切に行わなかった場合の原因および発生しうる被害、また本来実施すべきであった具体的な対応手順について知ることができます。　
   
   (3)具体的な対応手順を元に、今後発生する可能性のある事件・事故に対しての事前準備ができ、事件・事故が発生してしまった際の被害拡大を極力防ぐことができます。
   
   (4)擬似的体験により、従業員の情報セキュリティ意識の向上が期待できます。
   
   (5)予測困難な情報セキュリティ対策の抜け・漏れの発見することができます。

　日本ユニシスは、今後もお客様の要望に応じて新たなシミュレーションメニューを追加、またメニューを組み合わせてサービスを提供します。
　日本ユニシスは、「情報セキュリティ事件・事故シミュレーションサービス」の提供で、今後3年間で1億円の売上を目指します。

以上

注1：標的型攻撃
	標的型攻撃とは、「限定的なターゲット型攻撃」と定義され、予め標的とする少数のユーザーを狙う、もしくは、特定の組織を標的として意図をもって仕掛けられる攻撃です。この特定の企業あるいは組織イントラネット内のパソコンを標的とした「標的型攻撃」により、個人情報等の機密情報が漏洩するなどの被害が深刻化しています。
注2：ソーシャルエンジニアリング
	ソーシャルエンジニアリングとは、ネットワークの管理者や利用者などから、話術や盗み聞き、盗み見などの「社会的」な手段によって、パスワードなどのセキュリティ上重要な情報を入手することと定義されています。例えば、パスワードを入力するところを後ろから盗み見たり、オフィスから出る書類のごみをあさってパスワードや手がかりとなる個人情報の記されたメモを探し出したり、さらに、ネットワークの利用者や顧客になりすまして、電話で管理者にパスワードの変更を依頼して新しいパスワードを聞き出すなどの手法があります。

【セミナーのご案内】

「第4回セキュリティセミナー：企業競争力を左右する情報セキュリティ事件・事故発生時の最適解とは？」
〜対応シミュレーション実施による事件・事故発生時のスムーズな対応に向けて

■ 開催日時： 2008年11月28日(金) 14:00〜17:30
■ 開催場所：日本ユニシス株式会社 本社ビル 6Ｆ セミナーA
■ 主　　　催：日本ユニシス株式会社
■ お申込み： （終了しました）

注釈/リンク

[ Back ]