| 国立大学法人兵庫教育大学情報セキュリティポリシー U 対策基準 |
| 1.組織・体制 1.1 管理・運用組織の構成 |
 |
| 図1 国立大学法人兵庫教育大学全学情報ネットワーク管理体制 |
| 1.1.1 最高情報セキュリティ責任者 全学の情報セキュリティに関する総括的な意思決定と、学内外に対する 責任を負う。 また、 全学の情報資産管理の実施に関し、緊急時の連絡な ど、総括的な対応に当る(副学長)。 1.1.2 大学情報委員会 全学の情報セキュリティに関し、基本的なセキュリティポリシーの策定 および重要事項の決定を行う。具体的な活動内容としては以下の項目とす る。 ・セキュリティポリシーの策定と改訂を行うこと。 ・セキュリティポリシーの遵守を励行し、 違反に対する措置を講ずるこ と。 ・実施手順の策定と改訂を行うこと。 ・学内の他の意思決定機構との調整を行うこと。 ・情報セキュリティに関する啓発および教育を全学的に実施すること。 ・本学の情報資産に関する監査を実施すること。 1.1.3 全学システム管理会議 全学の情報資産のセキュリティ管理を実施するための活動を行う。最高 情報セキュリティ責任者が議長となり、部局等システム管理責任者、専攻 長、情報処理センター長、その他最高情報セキュリティ責任者が指名した 者で構成する。具体的な活動内容としては以下の項目とする。 ・24 時間365日、ネットワークの動作状況と不正アクセスの監視を行う体 制を確立すること。 ・緊急事態に対応する即応体制を確立すること。 ・情報セキュリティに関する情報を周知すること。 1.1.4 部局等システム管理責任者 各部局等における情報資産管理の実施に関し、最高情報セキュリティ責 任者との連絡などの対応に当り、部局等において情報コンセント管理担当 者・ネットワーク非接続情報機器管理担当者・部局等システム管理連絡担 当者を統括する(部局等長)。 1.1.5 情報処理センター長 学内基幹ネットワーク(対外ネットワーク接続を含む)および情報処理 センター情報教育実習システムと情報処理センターが管理する全学共同利 用システムの管理について責任を負う。 1.1.6 キャンパスネットワーク連絡会議 情報処理センター長が議長となり、部局等システム管理連絡担当者・学 内基幹ネットワーク管理担当者・情報教育実習システム管理担当者・全学 共同利用システム管理担当者で構成され、 各担当者間の連絡・調整を行 う。 1.1.7 部局等システム管理連絡担当者 部局等システム管理責任者の下におき、各部局等において、情報コンセ ント管理担当者と学内基幹ネットワーク管理担当者との間の連絡を担当す る。また、必要に応じて、情報コンセント管理担当者への助言・技術的支 援等を行う。 1.1.8 学内基幹ネットワーク管理担当者 情報処理センター長の下におき、本学の基幹ネットワーク(対外ネット ワーク接続を含む)において問題が発生した場合、技術的な対処を行い、 また、各部局等において学内外に影響を及ぼす問題が発生した場合、必要 に応じて部局等システム管理連絡担当者の協力を得ながら、情報コンセン ト管理担当者に対する技術的指導を行う。 1.1.9 情報教育実習システム管理担当者 情報処理センター長の下におき、情報教育実習システムの管理を担当す る。 1.1.10 全学共同利用システム管理担当者 情報処理センター長の下におき、情報処理センターが管理する全学共同 利用システムの管理を担当する。 1.1.11 情報コンセント管理担当者 管理する情報コンセントに接続された全ての情報システム等について管 理を行い、特殊機器等管理担当者・サーバ等管理担当者・利用者を監督・ 指導する。管理下の情報システム等に関連して発生した問題とその対処状 況について、部局等システム管理責任者に、また必要に応じて部局等シス テム管理連絡担当者、学内基幹ネットワーク管理担当者に報告する。情報 コンセントの設置・利用・変更等にあたっては情報処理センターの定める 所定の申請手続きを行わなければならない。 1.1.12 特殊機器等管理担当者 情報コンセント管理担当者の下におき、その監督・指導のもと、特殊機 器等の管理、特殊機器等利用者の監督・指導を行う。特殊機器等の設置・ 利用・変更等にあたっては情報処理センターの定める所定の申請手続きを 行わなければならない。 1.1.13 サーバ等管理担当者 情報コンセント管理担当者の下におき、その監督・指導のもと、サーバ 等の管理、サーバ等利用者の監督・指導を行う。サーバ等の設置・利用・ 変更等にあたっては情報処理センターの定める所定の申請手続きを行わな ければならない。 1.1.14 ネットワーク非接続機器管理担当者 部局等システム管理責任者の下におき、本学のネットワークに接続され ていない情報機器等(一時的にネットワークから接続を切り離された情報 機器等を含む)に対する管理を行う(教職員)。また、管理する情報機器 等に関連して発生した問題とその対処状況について、部局等システム管理 責任者に報告する。 |
| 【目次へ戻る】 |
| 1.2 空間管理責任および教育責任 部屋等の空間内に存在する情報資産(一時的に持ち込まれた情報資産を含 む)の管理について、その空間を管理する教職員は管理責任を負う。本学の 教職員が本学の情報資産を、基本方針で述べられている対象者に使用させる 場合、その教職員は教育責任を負う。また、全学的な情報セキュリティに関 する啓発および教育が実施されなければならない。 |
| 【目次へ戻る】 |
| 1.3 不正アクセス等への対応 情報処理センター長は、外部または内部からの不正アクセスを検出した場 合、あらかじめ定められた緊急措置手順に従い、関連する通信の遮断または 該当する情報機器の切り離しを実施する。ただし,あらかじめ手順に定めら れていない状況については、情報処理センター長が判断する。 |
| 【目次へ戻る】 |
| 2.情報の分類と管理 情報機器や記録媒体等に保存される情報の管理および公開については、国立大 学法人兵庫教育大学法人文書管理規程・国立大学法人兵庫教育大学情報公開取扱 要項・兵庫教育大学情報公開に関する開示・不開示の審査基準および国立大学法 人兵庫教育大学文書処理・決裁規程をもとに、情報の種類に応じた適切な管理を 行わなければならない。特に不開示情報については細心の注意をもって管理する 必要がある。 2.1 アクセス制限 法人文書の管理体制については、国立大学法人兵庫教育大学法人文書管理 規程において定められているが、電磁的・光学的に記録された情報について も同様の管理が行われる必要がある。各管理者は、管理下の情報資産につい てアクセス可能な利用者を定めなければならない。またアクセスの制限方法 としてはIDとパスワード、ICカード、入退室管理、VLANによる接続制限など が考えられるが、管理している情報資産に応じた制限方法を定めなければな らない。同時に、このような制限方法が正当なアクセス権を持たない者に利 用されることがないように、慎重な管理が行われることが必要である。 利用者は、アクセス権のない情報システムや情報に入り込もうとしてはな らない。 |
| 【目次へ戻る】 |
| 2.2 情報の分類 2.2.1 不開示情報 情報の開示・不開示基準については、国立大学法人兵庫教育大学法人文 書管理規程および兵庫教育大学情報公開に関する開示・不開示の審査基準 をはじめ、本学が定めた規程に準じるものとする。 許可された者以外がコンピュータに不開示情報を保管してはならない。 また、一時的であっても、日常的に使用するコンピュータにおいて不開示 情報を不特定の者が可読な状態にしてはならない。 また、不開示情報を扱うネットワークを設ける場合は、学術研究・教育 用の一般ネットワークと論理的に異なるべきであり、物理的に異なる回線 を利用することがより望ましい。ネットワークを利用した不開示情報の送 信にあたっては、十分な盗聴防止策を講じなければならない。一般ネット ワークと不開示情報を扱うネットワークの間でアクセスする必要がある場 合は、不開示情報ネットワークからのみアクセス可能としなければならな い。さらに、両ネットワークの接続点を必要最小限とし、必要なときのみ 通信を可能としなければならない。 物理的な盗難等を防止するため、利用を許可された場所から外部に不開 示情報を持ち出すことは原則として禁止する。同様に、盗聴防止のため、 インターネット等の公衆回線を介して不特定の者が傍受可能な方式で不開 示情報にアクセスすることも禁止する。 外注などのため、不開示情報を 限定された第三者に開示する必要がある場合は、開示の都度、守秘義務契 約を結ばなければならない。 2.2.2 開示情報 開示情報は任意の場所からアクセス可能な性質を持つため、情報の改ざ んや偽情報の流布に対し、2.5に掲げる防止策を講じなければならない。 |
| 【目次へ戻る】 |
| 2.3 不開示情報の公開化 不開示情報を公開化する場合には、兵庫教育大学情報公開取扱要項が定め る手続きに従うものとする。 |
| 【目次へ戻る】 |
| 2.4 情報の登録および閲覧 特定の利用者に特定の情報を開示する場合、情報の登録および閲覧は、許 可された者が許可された操作だけを行えるように、認証およびアクセス制御 機能を設けなければならない。さらに、異常な登録や閲覧が行われていない か、定期的に状況を確認しなければならない。 |
| 【目次へ戻る】 |
| 2.5 情報改ざんおよび偽情報流布の防止 不開示情報および開示情報の原本は、書き換え不能な記憶媒体(CD-ROM/ CD-R/DVD-R等)に保存するなどにより原本性を保証しなければならない。 開示情報は改ざんへの対策を講じなければならないが、常に進化する不正 アクセス技術の脅威に対し、改ざんを受けた場合の速やかな回復機構も備え なければならない。さらに、開示情報(Webでの掲示情報や電子メールによる 情報発信を含む)の複製・加筆による偽情報の作成および流布を防止するた め、原本性の維持に努めなければならない。 |
| 【目次へ戻る】 |
| 2.6 情報機器および記憶媒体の処分 情報機器および記憶媒体を破棄する場合は、残存情報が第三者に読みとと られることの無いよう、その処分方法に注意しなければならない。特に、ハ ードディスクおよびフロッピーディスク等の記憶媒体は、通常の消去操作で は管理情報のみが消去されるだけでデータそのものは消去されないため、ま た、数回の上書き消去では残留磁気情報の読み出しによって、情報を復元で きる点に十分配慮しなければならないため、物理的破壊や残存データを完全 に消去可能なツールの利用などを行わなければならない。書き換え不能な記 憶媒体の廃棄を行う場合は物理的破壊など、データの読み出しが不可能な状 態にしなければならない。 さらに、情報機器の記憶媒体を保守契約により交換する場合、またはレン タル機器の撤去を行う場合は、撤去後の記憶媒体の処理法についても十分配 慮しなければならない。 |
| 【目次へ戻る】 |
| 3.キャンパスネットワークおよび情報システムにおけるセキュリティの確 保 3.1 基本方針 3.1.1 本学キャンパスネットワークにおけるセキュリティの確保 本学キャンパスネットワークの設計にあたっては、ファイアウォールお よびコンピュータウィルス検知・除去システムその他の必要と思われるセ キュリティ機器を導入・運用し、ネットワーク全体を外部からの脅威から 保護するとともに、内部から外部への攻撃に対処できるようにしなければ ならない。さらに、これらの機器は、ネットワークにおける新たな脅威の 出現に対応できる状態が保たれなければならない。 3.1.2 情報システムにおけるセキュリティの確保 本学において情報システムの管理を行う者は、機器の障害や権限のない アクセスによって機器の構成や機能が損なわれないように管理しなければ ならない。また 3.1.1であげたネットワーク全体のセキュリティ確保だけ ではなく、各情報システムにおいても、ファームウェアの更新、セキュリ ティホールへの対処、ウィルス対策ソフトウェアにおける定義情報の更新 など、セキュリティの確保に必要な機能を常に最新の状態に保たなければ ならない。 3.1.3 ネットワークの無許可利用およびネットワークバックドアの排除 本学キャンパスネットワークのセキュリティ機能の管理を回避する目的 でバックドア(PPPサーバ、コンピュータに接続する外部ネットワーク、 VPN装置およびソフトウェア等)を設置することは禁止する。 3.1.4 外部ネットワークの利用 各部局等において、本学キャンパスネットワーク以外の外部ネットワー クを利用する場合は、本学キャンパスネットワークにおけるセキュリティ の確保に影響を与える構成としてはならない。また、外部ネットワークの 導入・構成変更にあたっては、必要に応じ情報処理センター長の意見を求 め、その指示に従うこと。 外部ネットワークを設置した場合は、大学情報委員会や全学システム管 理会議の求めに応じて、その運用状況を報告しなければならない。 3.1.5 利用記録の保存 各管理者は、システムログやアクセスの記録等、運用に関する記録を一 定期間保存しなければならない。また情報資産に対する監査の実施にあた って記録の提供を求められた場合は、これに応じなければならない。 3.1.6 情報機器利用ガイドラインの策定 ネットワークに接続を許される情報システムの満たすべき最低限のセキ ュリティ対策基準を示すガイドラインを、セキュリティポリシーに従い実 施手順の中で策定すること。ガイドラインの基準に満たない情報システム をネットワークに接続してはならない |
| 【目次へ戻る】 |
| 3.2 端末機器におけるセキュリティの確保 3.2.1 端末機器の定義 端末機器とは、情報システムのうち主として教育研究・事務などにおい てパーソナルに利用される情報機器を指す。 3.2.2 端末機器の使用 本学キャンパスネットワークに端末機器を接続する場合、情報コンセン ト管理担当者は正当な利用者のみが端末機器を利用出来るように物理的認 証または電子的認証、あるいは、両方を実施されるようにすること。 3.2.3 端末機器の盗難対策 情報コンセント管理担当者、 ネットワーク非接続情報機器管理担当者 は、 端末機器が犯罪者によって学外に持ち出されないよう対策を施され なければならない。 3.2.4 ネットワークへの接続 有線(ネットワークケーブル)を使用する場合には、過失によるケーブ ル切断・損傷を防ぐための措置(モール等による保護、または切断・損傷 されにくい配線位置の選択)を施すこと。また、有線、無線どちらの場合 においても、スイッチングハブの利用や通信の暗号化などといった、ネッ トワークの盗聴に対する対策を施すべきである。本学の情報コンセントを 利用するネットワークの全部または一部として無線LAN を利用する場合に は、正当な利用者以外が \無線LAN を通じてネットワークに接続できない よう、アクセスポイントについてパスワードの設定や無線LANカードの限 定等のセキュリティ設定を必ず実施すること。 3.2.5 貸出型端末機器の備品管理 利用者が端末機器を学外へ持ち出す場合においては、貸し出しの事実に ついて記録しなければならない。また貸し出しにあたっては、端末機器か らの秘密または不開示情報の漏洩が発生しないように対策を施さねばなら ない。 3.2.6 保守 端末機器の導入にあたっては、コンピュータウィルスへの対策や侵入防 御など、セキュリティ確保のための対策を実施しなければならない。情報 コンセント管理担当者およびネットワーク非接続情報機器管理担当者は、 コンピュータの基本ソフトやアプリケーションソフト、機器を制御するフ ァームウェアなど、セキュリティを確保するために重要なソフトウェアの 更新があった場合は、直ちに更新が適用されるよう適切な措置を施すこと 。また、端末機器の導入にあたっては、保守契約の設定、あるいは設定の 更新・変更などに速やかに対応出来る十分な技術力を備えた業者を選定す ることも必要である。 保守を業者など外部に依頼する場合は、パスワードやシステム設定情報 などの開示について守秘義務契約を結ばなければならない。 |
| 【目次へ戻る】 |
| 3.3 サーバ機器におけるセキュリティの確保 3.3.1 サーバ機器の定義 サーバ機器とは、 情報システムのうち端末機器からアクセスされ利用 される情報機器を指し、具体的には情報処理センターの基幹運用管理シス テム、全学共同利用システムのうちサーバ機器を有するもの、ならびに各 部局等に設置される特殊機器等・サーバ等(情報処理センターに申請が必 要)である。それらのサーバ機器の停止は多くの利用者に影響を与えるた め、セキュリティの確保が肝要である。 3.3.2 管理区域の設定 特殊機器等管理担当者、サーバ等管理担当者、学内基幹ネットワーク管 理担当者ならびに全学共同利用システム管理担当者は、サーバ機器を設定 された管理区域に設置し、正当なアクセス権のない第三者が触れないよう にしなければならない。コンソールも同様である。 情報処理センターの基幹運用管理システムをはじめ、 停止したときに 大学内の業務遂行に重大な支障をきたすサーバについては、正当なアクセ ス権を持たない第三者が触れることのないよう、入出者の認証・記録や警 備システムの設置など物理的なセキュリティ確保が行われなければならな い。各研究室等に設置されるサーバ機器でも、少なくとも鍵などによる管 理は必要である。 管理区域内はサーバ機器の運転中、動作保証範囲内の温度、湿度が保た れること。 3.3.3 電源 特殊機器等管理担当者、 サーバ等管理担当者、 学内基幹ネットワーク 管理担当者ならびに全学共同利用システム管理担当者は、サーバ機器に電 源を供給する際に、無停電電源装置の設置など、 電圧の変動や突発的な 停電、過電流に対応する装置を経由するよう適切な措置を施さねばならな い。 3.3.4 ネットワークへの接続 有線(ネットワークケーブル)を使用する場合には、過失によるケーブ ル切断・損傷を防ぐための措置(モール等による保護、または切断・損傷 されにくい配線位置の選択)を施すこと。また、有線、無線どちらの場合 においても、スイッチングハブの利用や通信の暗号化などといった、ネッ トワークの盗聴に対する対策を施すこと。ネットワークの全部または一部 として無線LAN を利用する場合には、正当な利用者以外が無線LAN を通じ てネットワークに接続できないよう、アクセスポイントについてパスワー ドの設定や無線LAN カードの限定等のセキュリティ設定を必ず実施するこ と。 3.3.5 データのバックアップ 特殊機器等管理担当者、サーバ等管理担当者、学内基幹ネットワーク管 理担当者ならびに全学共同利用システム管理担当者は、サーバ機器に記録 されるデータを定期的にバックアップすべきである。バックアップスケジ ュールは、保持する情報の性質に応じて決定されなければならない。 データをバックアップしたメディアは、温度と湿度が適切に管理された 場所に保存されること。重要なデータについては、原本性が保証されるメ ディアの選択や、複数のバックアップ作成によって、物理的に離れた場所 に個々に保存することを検討すること。また、バックアップしたメディア は、正当なアクセス権を持たない第三者が触れることのない、物理的なセ キュリティの確保された保存が行われなければならない。 3.3.6 多重化 停止時間を短くすることを求められるサーバ機器については、多重化を 実施すること。多重化した場合には、一定時間ごとにチェックするなど、 スタンバイ機が故障してないことを確かめなければならない。 3.3.7 サーバ機器盗難への対策 特殊機器等管理担当者、サーバ等管理担当者、学内基幹ネットワーク管 理担当者ならびに全学共同利用システム管理担当者は、サーバ機器が管理 区域から持ち出されないような対策を施さなければならない。 3.3.8 災害への対策 重要なサーバ機器は、耐震を考慮した据付を行うこと。また、管理区域 には火災の一次消火手段が提供されなければならない。 3.3.9 保守 サーバ機器の導入にあたっては、コンピュータウィルスへの対策や侵入 防御など、セキュリティ確保のための対策について十分配慮しなければな らない。特殊機器等管理担当者、サーバ等管理担当者、学内基幹ネットワ ーク管理担当者ならびに全学共同利用システム管理担当者は、コンピュー タの基本ソフトやアプリケーションソフト、機器を制御するファームウェ アなど、セキュリティを確保するために重要なソフトウェアの更新があっ た場合は、直ちに更新を適用すること。また、端末機器の導入にあたって は、保守契約の設定、あるいは設定の更新・変更などに速やかに対応出来 る十分な技術力を備えた業者を選定することも必要である。 保守を業者など外部に依頼する場合は、パスワードやシステム設定情報 などの開示について守秘義務契約を結ぶこと。 |
| 【目次へ戻る】 |
| 3.4 ネットワーク機器におけるセキュリティの確保 3.4.1 ネットワーク機器の隔離 情報処理センター内や各建物内に設置されるルータやスイッチなど、本 学キャンパスネットワークの維持に重要な機能を提供するネットワーク機 器については、許可された管理者以外は使用できないように施錠などによ って物理的に隔離された区域に設置しなければならない。 3.4.2 設置場所の秘匿 特に重要と思われるネットワーク機器については、その設置場所を不特 定多数の人間に対して公開してはならない。 3.4.3 ネットワーク接続ポート 情報コンセントの新設・変更にあたって、各建物等に存在するネットワ ーク機器において作業が必要となる場合は、接続ポートや設定などについ て情報処理センターの指示に従うこと。 3.4.4 ネットワークケーブル バックボーンを構成するネットワークケーブルは、故意または過失によ るケーブル切断を防ぐためにシールド等の措置を施さなければならない。 他に重要と思われるネットワークケーブルについても同様にケーブル切断 のための措置を講ずること。また、有線、無線どちらの場合においても、 ネットワークの盗聴に対する対策が施されること。ネットワークの全部ま たは一部として無線LANを利用する場合には、正当な利用者以外が無線LAN を通じてネットワークに接続できないよう、アクセスポイントについてパ スワードの設定や無線LANカードの限定等のセキュリティ設定を必ず実施 すること。 3.4.5 多重化 ネットワーク機器の障害によるネットワーク断が重大な影響を及ぼすよ うなネットワーク機器については、機器の多重化や予備の確保によって、 ネットワークに対する信頼性の確保と障害からの速やかな回復が行われる ようにしなければならない。 3.4.6 保守 保守においては、保守契約の設定や、あるいは必要に応じて保守部品の 提供・設定の更新・変更などに速やかに対応出来る十分な技術力を備えた 導入業者を選定することにより、迅速な保守を行える体制を整えなければ ならない。 保守を業者など外部に依頼する場合は、パスワードやネットワークの構 成に関する情報などの開示について守秘義務契約を結ぶこと |
| 【目次へ戻る】 |
| 4.人的なセキュリティの確保 4.1 責任者の役割に関する補足 4.1.1 最高情報セキュリティ責任者の役割に関する補足 最高情報セキュリティ責任者は、本学情報セキュリティポリシーに基づ き、学内のすべての情報セキュリティに関する総括的な権限と責任を有す る。 最高情報セキュリティ責任者は、本学情報セキュリティポリシーの対象 者すべてにポリシーの遵守を励行させる。最高情報セキュリティ責任者は 、情報システムの円滑な運用に必要な措置を部局等システム管理責任者・ 情報処理センター長に指示し、学内で実施された緊急避難措置に対処する 。最高情報セキュリティ責任者は、大学情報委員会・部局等システム管理 責任者・情報処理センター長からの、セキュリティ管理の状況に関する報 告に対処する。 最高情報セキュリティ責任者は、情報セキュリティに関する学外からの 苦情への対応、ならびに、学外から受けた被害への対応にあたる。 4.1.2 部局等システム管理責任者の役割に関する補足 部局等システム管理責任者は、キャンパスネットワークへの接続・非接 続を問わず、当該部局等における情報システムが円滑に運用されるように 、情報セキュリティの保持と強化のための調査・検討・対策の実施にあた る。部局等システム管理責任者は、情報コンセント管理担当者やネットワ ーク非接続機器管理担当者からの、管理状況や障害状況に関する報告に対 処する。また、障害等の発生にあたって、部局等システム管理連絡担当者 が、情報コンセント管理担当者や学内基幹ネットワーク管理担当者と連携 して対処した結果を報告した場合は、必要に応じて対処する。 部局等システム管理責任者は、当該部局内において情報セキュリティを 守るために必要と判断したときは、緊急避難措置をとることができる。緊 急避難措置をとった場合には、最高情報セキュリティ責任者と情報処理セ ンター長にその事実を速やかに報告しなければならない。 部局等システム管理責任者は、情報セキュリティに関する対策の実施に あたっては、教育上の利便性を著しく損なうことのないように配慮しなけ ればならない。 4.1.3 情報処理センター長の役割に関する補足 情報処理センター長は、 全学の情報システムが円滑に運用されるよう に、情報セキュリティの保持と強化のための技術的な調査検討を行う。 情報処理センター長は、情報セキュリティを守るために必要と判断した ときは、緊急避難措置をとることができる。ただし、その措置によって影 響が及ぶと判断された情報資源の管理者に、その旨を速やかに通知しなけ ればならない。対応の実施が完了したときは、速やかに緊急避難措置を解 除する。最高情報セキュリティ責任者・部局等システム管理責任者・部局 等システム管理連絡担当者・学内基幹ネットワーク管理担当者・情報教育 実習システム管理担当者・全学共同利用システム管理担当者から緊急避難 措置の依頼があった場合も必要性を判断し同様に扱うものとする。 情報処理センター長は、全学の情報セキュリティの管理および監査の実 施に関し、最高情報セキュリティ責任者を補佐し、情報セキュリティの保 持と強化のために必要な技術的措置を提案する。 情報処理センター長は、学内に対して情報セキュリティの保持と強化の ために必要な技術的措置について情報を提供する。 |
| 【目次へ戻る】 |
| 4.2 教育・研修 最高情報セキュリティ責任者は、情報セキュリティに関する啓発や教育を 全学的に実施するために必要な措置を施さなければならない。特に入学者や 新規採用の教職員に対する教育・研修等が適切に実施されるよう配慮しなけ ればならない。 情報コンセント管理担当者は、管理下の情報コンセントを利用するすべて の利用者に、ポリシーおよび実施手順を理解させ、情報セキュリティ上の問 題が生じないようにしなければならない。 教職員および学生は、研修や説明または講義等を通じてポリシーおよび実 施手順を理解し、情報セキュリティ上の問題が生じないようにしなければな らない。また、本学の情報システムを学生等(附属学校園の児童・生徒・幼 児等を含む)に利用させ教育・研究を行う教職員は、指導する学生等にポリ シーおよび実施手順を理解させ、情報セキュリティ上の問題が生じないよう にしなければならない。 教職員および学生以外の者(来学者)に学内の情報システム(公共情報端 末や情報コンセントを含む)を一時的に使用させる場合においては、その利 用者が守るべきポリシーを定め、これを厳守させるよう適切な措置を施さな ければならない。 |
| 【目次へ戻る】 |
| 4.3 事故・障害の報告 教職員および学生は、情報セキュリティに関する事故・障害、および公開 情報の改ざん等を発見した場合には、情報コンセント管理担当者または当該 システムの管理者に直ちに報告しなければならない。 情報コンセント管理担当者および各管理担当者は、報告のあった事故・障 害等についてすべて部局等システム管理責任者または情報処理センター長に 報告するとともに、 必要な措置を直ちに講じなければならない。 必要なら ば、部局等システム管理責任者または部局等システム管理連絡担当者、情報 処理センター長または学内基幹ネットワーク管理担当者に支援を要請するこ と。 部局等システム管理責任者および情報処理センター長は、発生したすべて の情報セキュリティ上の事故等に関する記録を一定期間保存し、大学情報委 員会に報告するとともに、重大な事故に対しては、迅速な再発防止のための 対策を講じなければならない。 利用者に対する情報セキュリティ上の事故・障害の通知は、問題の程度に 応じた適切な表現に配慮し、速やかに行わなければなければならない。 学内からの不正アクセスによって学外に被害を及ぼし、その事実関係の説 明を被害者または第三者から求められた場合には、不正アクセスが行われた 場所に応じ部局等システム管理連絡担当者または情報処理センター長が対応 しなければならない。また、重大な被害の場合は必ず最高情報セキュリティ 責任者に報告を行い、その指示に従わなければならない。 情報処理振興事業協会(IPA)、IPAセキュリティセンター不正アクセス対 策室、大臣官房政策課情報化推進室に報告が必要とされている事故について は、定められた様式により報告が行われること。また必要に応じて、警察の ネットワーク犯罪担当部署に相談などを行うこと。 |
| 【目次へ戻る】 |
| 4.4 アカウントおよびパスワード管理・ログ管理 4.4.1 利用者におけるアカウントおよびパスワードの管理 自己のアカウントのパスワードは秘密としなければならない。また、十 分なセキュリティを維持できるよう、自己のパスワードの設定および変更 に配慮しなければならない。 いかなる場合でも、他の利用者のアカウントを使用してはならない。ま た、他の利用者のパスワードを聞き出してはならない。 システムの管理権限を有する者や他の利用者になりすました第三者から のパスワードの聞き取りには、如何なる場合も応じてはならない。 4.4.2 システム管理者に対する注意事項 利用資格を有する者以外に対してアカウントを発行してはならない。ま た、利用資格を失った利用者のアカウントは、直ちに停止されなければな らない。 利用者のアカウントを管理権限のない第三者に漏洩してはならない。ま た、いかなる場合にも利用者からパスワードを聞き取りしてはならない。 利用者がパスワードを忘れた際には、現在のパスワードを調査するのでは なく必ず再交付処理を行うこと。 ログ情報および通信内容の解析等にあたっては、利用者のプライバシー を保護するために、閲覧解析を認める場合の要件と手続きを定めなければ ならない。 また、解析の結果知りえた情報を第三者に漏洩してはならな い。 |
| 【目次へ戻る】 |
| 4.5 情報システムの開発・保守ならびに管理業務の外部委託 情報システムの開発および保守ならびにシステム管理業務を外部委託事業 者に発注する場合は、外部委託事業者から下請けとして受託する業者を含め て、ポリシーのうち外部委託事業者が守るべき内容の遵守を明確化した契約 を行わなければならない。 |
| 【目次へ戻る】 |
| 5.評価・見直し 5.1 ポリシーの運用実態 本学におけるセキュリティポリシーの運用実態等を把握するために、次の ような措置が実施されること。 5.1.1 ポリシー運用実態等の把握 最高情報セキュリティ責任者は、全学におけるポリシーの運用実態につ いて、定期的および必要に応じて調査・検討を実施し、その結果を大学情 報委員会に報告しなければならない。 5.1.2 利用者の意見 最高情報セキュリティ責任者は、本学の情報資産を利用する者からポリ シー遵守に関する意見を収集しなければならない。 情報セキュリティに関する対策の実施にあたって、教育研究上の利便性 を著しく損なう点、遵守することが現実的に困難な点については、部局等 システム管理責任者、専攻長および情報処理センター長が各管理担当者や 利用者からの意見を受け付け、最高情報セキュリティ責任者に報告するこ と。最高情報セキュリティ責任者は受けた報告について必要な措置をとり 、セキュリティポリシーの改善が必要と判断した場合には、大学情報委員 会に改善を要請すること。 5.1.3 情報資産に対する監査 大学情報委員会は、情報システムの機密性、完全性および可用性ならび に犯罪予防の観点から本学の情報資産および情報資産の管理状況に対する 監査を実施し、その結果を最高情報セキュリティ責任者・部局等システム 管理責任者・情報処理センター長・および必要に応じて情報資産を利用す る者に対して開示すること。 |
| 【目次へ戻る】 |
| 5.2 セキュリティレベルの向上 5.2.1 セキュリティポリシーの更新 大学情報委員会は、 5.1の結果に基づき、セキュリティポリシーの実効 性を少なくとも年1回評価し、必要な部分を見直して内容の変更および実 施時期の決定を行い、よりセキュリティレベルの高い、かつ、遵守可能な ポリシーに更新しなければならない。 5.2.2 情報セキュリティ計画および予算 大学情報委員会および最高情報セキュリティ責任者は、必要に応じて学 内の他の意志決定組織と連携しながら、情報セキュリティ計画の作成およ び予算の要求を行わなければならない。また、大学情報委員会および最高 情報セキュリティ責任者は、本学における情報セキュリティ対策に要した 経費を把握すること。 5.2.3 報告義務 大学情報委員会は、学内の意志決定組織に評価・見直しの結果を報告し なければならない。 さらに、ポリシーの遵守を啓発するためにも、 その 要約が全学の構成員に周知されるよう、適切な措置をとらなければならな い。 |
| 【目次へ戻る】 |
セキュリティポリシーのページへ戻る
トップページへ戻る