NRIセキュアテクノロジーズ株式会社（本社：東京都港区、代表取締役社長：増谷 洋、以下「NRIセキュア」）は、企業向け「サイバーアタックシミュレーション」サービスの提供を、本日から開始します。

【組織として適切な行動をとり被害を最小化させる対策】

多くの企業では、近年ますます悪質化するサイバー攻撃や情報漏えいなど、情報セキュリティインシデント^※1の発生を未然に防ぐ対策に重点が置かれています。しかし、実際にインシデントが発生した場合の対応力の確認や、想定外の事態が起きた場合の応用力を高めるための対策にはあまり手が付けられていないのが実情です。本サービスでは、演習シナリオを通じて、情報セキュリティインシデントが発生した際に組織として適切な行動をとり、被害を最小限に抑えるための訓練の実施を支援します。

本サービスでは、まず演習の目的を設定し、その目的を確認するための演習シナリオを策定します。次にシナリオに沿って演習を行い、実際の行動を確認します。演習実施後、それぞれの対応の効果測定を行い、その結果報告と今後の改善点を指摘します。
演習実施プログラムの大まかな流れは、下図をご覧ください。

本サービスの主な特長は以下のとおりです。

【「事前対策」から「事前対策＋事後対策」へ】

情報セキュリティインシデントは、未然に防ぐことが好ましいことは確かですが、ITの進化やサイバー攻撃手法の高度化、情報セキュリティ対策に費やすコストなどを考慮すると、発生確率をゼロにすることは困難です。事前対策で取組んでいたにもかかわらず、インシデントが発生した場合を想定し、事後対応により被害を最小限に抑えるよう備えておくことが重要です。

＜特長１＞適切な行動の体験と現状の把握

災害時などの危機対応の教訓として、異常事態が発生している状況では、落ち着いて普段通りの行動をとることは難しいと言われています。危機が発生している状況においても落ち着いて行動できるよう、訓練を通じて情報セキュリティインシデントとそれに対する適切な行動を体験しておくことが重要です。この体験型プログラムを通じて、インシデントに対するお客様の現時点での対応状況の確認や、課題の抽出を行い、情報セキュリティ対策の改善に繋げることができます。

＜特長2＞想定外の事態への対応

どんなに入念に計画を立てていたとしても、想定外の事態が発生する可能性は残ります。そうした事態においては、「それが対応すべき事態であるのか？」（一次判断）と「何をすべきなのか？」（二次判断）の判断が重要であり、これらをどれだけ体験しているかが適切な対応の成否を大きく左右します。本サービスでは、通常の業務では体験する機会の少ない想定外の場面も、演習シナリオに盛り込むことで疑似体験できます。

【豊富な経験に裏打ちされたシナリオ策定】

演習を実施するうえで重要な点は、演習シナリオが現実的で効果を実感できることです。NRIセキュアでは、かねてよりPCI DSS^※2におけるペネトレーションテスト^※3やセキュリティ診断など、情報システムに対する疑似攻撃をサービスとして提供してきました。それらを通じて培った、豊富な経験や技術的なノウハウをもとに、情報セキュリティインシデント発生時の組織における適切な行動を踏まえ、お客様の多様な要望に即した演習シナリオを作成します。

NRIセキュアでは、本サービスを提供することで、企業のセキュリティレベルを高め、情報セキュリティインシデントに強い社会の実現に貢献していきます。

• ※1 情報セキュリティインシデント：外的要因、内的要因に関わらず、情報の機密性・完全性・可用性を脅かす可能性のある事故や攻撃の総称
• ※2 PCI DSS(Payment Card Industry Data Security Standard):クレジットカード業界の国際的なセキュリティ基準
• ※3 ぺネトレーションテスト：システムを実際に攻撃して侵入を試みることにより、システムの安全性を検査するテスト

株式会社野村総合研究所 コーポレートコミュニケーション部　海藤、鈴木
TEL：03-6660-8370　E-mail： kouhou@nri.co.jp

NRIセキュアテクノロジーズ株式会社 テクニカルコンサルティング部　矢野、西田、営業企画部　根本
TEL：03-6274-1011　E-mail： info@nri-secure.co.jp