| 国立大学法人兵庫教育大学情報セキュリティポリシー 実施手順[利用者用] V 実施手順 情報セキュリティを確保するために |
| 1.はじめに 1.1 多用途であるほど危険な道具 コンピュータは便利な道具です。ソフトウェアを追加すれば、ワープロ、 インターネットのホームページ(Webページ)、メール、ゲーム・・・はたま たテレビやファックス、留守電まであらゆる役割を果たすことが出来ます。 しかし、こういった多用途性は危険性と表裏一体です。何にでも使えると いうことは、あらゆることを可能にするための仕組みをあらかじめ必要とす るため、その分ツケ込まれる隙も増えてしまいます。現在のコンピュータは 多用途に進化したことで、個別の機器を揃えるよりも安く、便利に使えるよ うになりましたが、一般に「脆弱性」と呼ばれる潜在的なスキを、実際に数 多く抱えることになりました。専用につくられたゲーム機やワープロ専用機 にコンピュータウィルスが蔓延するといった話はほとんど聞いたことがない と思います。 ここでは、コンピュータや学校内・家庭内・社内等のネットワーク、そし てインターネットを使う上で起こる危険について明らかにし、日々の情報セ キュリティを確保するために利用者はどのようなことをしなければならない のかについて述べます。 |
| 【目次へ戻る】 |
| 1.2 そもそも情報セキュリティとは ネットワーク・インターネットに接続された現在のコンピュータは、あら ゆる人々とつながることを可能とし、我々の情報通信環境は情報の量やコス トの面で一昔前からは信じられない程便利になりました。しかし、あらゆる 人から情報をもらえるということは、あらゆる人が自分のコンピュータに接 続し、大事な情報を盗まれたり、コンピュータの中に入っている情報を壊さ れて使えなくするという事態にもつながっています。コンピュータウィルス の蔓延や個人情報・機密情報の漏洩はその象徴ともいえ、多くの利用者の手 間と時間を無駄遣いさせ、学校や企業、行政機関などの信頼性を揺るがして います。 情報セキュリティとは何か、と聞かれた場合、一般的には次のような言い 方、すなわち「情報資産の機密性、完全性及び可用性を維持すること」(「 大学における情報セキュリティポリシーの考え方」より)とされることが多 いです。馴染みのない用語なので詳しく述べると、 【情報資産】 記録される情報そのものや、情報通信機器のことです。 個人情報や内 部情報の漏洩を防ぐ必要がある!とよく言われるかと思います。 また、 コンピュータそのものや記録媒体を紛失や盗難から守らなければなりませ ん。場合によっては、それらの運用や保守のための資料を含むこともあり ます。 では情報資産をどのように守るか、となりますが、 【機密性】 正しい利用者のみが情報を読み書きできることです。インターネットに 公開されたホームページは誰でも読めますが、誰でも勝手に書ける状態で は、ある日突然別の情報に差し替えられていたりして大変困ったことにな ります。 また、自分のコンピュータにユーザ名やパスワードを設定して いないと、誰でも直接、あるいはネットワークを経由して勝手に読み書き されてしまうでしょう。フロッピーやCD・DVD といった記録媒体の取り扱 いにも注意しなければなりません。特に重要な情報通信機器の設置された 部屋ではカギかけや入退室管理といった物理的なセキュリティも含まれま す。 【完全性】 情報が正確で安全に保持されていることです。記録された情報や自分が 提供している情報が不正確では意味がありません。また、事故や事件等で 情報が失われた場合でも困ってしまうことのないよう、バックアップをと るといったことも含まれます。 【可用性】 必要なときに必要な情報を確実に読み書きできることです。コンピュー タウィルスが蔓延してコンピュータの中身が消えた!となってしまったら 必要な情報が得られないばかりか、その日は復旧作業で全然仕事になりま せん。また、他の人や外部組織のコンピュータへ二次感染したら、下手す ると復旧で失われた時間分の損害賠償請求といった可能性もあり、目も当 てられません。また、肝心な時にコンピュータの棚のカギがない!誰が持 っていった! といった比較的身近な運用に関することも含まれるでしょ う。 |
| 【目次へ戻る】 |
| 1.3 情報セキュリティポリシーの意義 学校や自治体、企業など、組織の中でどのように情報資産を守り、セキュ リティを確保するかといったルールを明らかにして、構成員にそれを守るこ とを求めることが一般的になってきました。こういったルールは「情報セキ ュリティポリシー」と呼ばれます。どのような情報資産を、どのように管理 して、万一トラブルが起きた場合にはどうすればよいかという内容を統一し て、人や部門によって対応が異なるといった事態を防ぎます。また、役割分 担や責任の切り分けを明確にして、組織の中で情報が円滑にまわるよう、セ キュリティポリシーで定められます。さらにセキュリティポリシーが存在し ないと、情報漏洩など外部に迷惑をかけて訴訟を起こされた場合、格段と不 利となります。 みなさんがお読みのこのテキストは、「兵庫教育大学情報セキュリティポ リシー」の一般利用者向け手引書でもあります。 ポリシーの全体は情報処 理センターのホームページに掲載されています。 また、平成17年4月からは「個人情報の保護に関する法律」が施行されま す。学校を含む行政機関、企業、そして国立大学法人においても、法律に沿 った適切な個人情報の取り扱いが義務となっています。住所や電話番号・メ ールアドレスといった名簿関係、成績や個人指導の履歴、研究にあたって収 集される個人情報など、正当な利用者でない者が個人が識別できる情報を読 み書き・複製が出来る状態であってはならず、またそのような情報が物理媒 体やネットを通じて外部に洩れないよう、適切に管理を行わなければなりま せん。 情報に詳しい一部の人がちゃんとコンピュータを管理していれば良いとい う時代は終わりました。クルマを運転するすべての人は、安全に気を使う義 務があります。同様に、コンピュータやインターネットを使う以上は、すべ ての利用者が自らの責任を自覚し、他人に迷惑をかけないことが求められて います。また、それが自分自身や所属する組織に対する社会的信用を高めて くれることにもなるのです。 |
| 【目次へ戻る】 |
| 2.ウィルスからコンピュータを守るために 2.1 コンピュータウィルスとは コンピュータウィルスとは、コンピュータの中に保存された情報を破壊し たり、正常な運用を妨害したりするといった悪意あるソフトウェアの総称で す。インターネットの普及とともに、様々な種類・形態のものが毎週のよう に出現しています。感染したコンピュータが自動的に複製ウィルス付きの電 子メールを大量に送ったり、企業などのホームページを提供するコンピュー タに対して運用妨害といった攻撃を行ったり、第三者が自由にそのコンピュ ータを制御したり情報を読み書き消去できるような「バックドア(裏口)」 を自動的に設定したりします。ウィルスの感染や拡散も様々で、電子メール にくっついてきたり、Webのページに埋め込まれていたり、フロッピーやCD- ROM 等にまぎれこんでいたりします。さらに「ワーム(長虫)」と呼ばれる ウィルスは、感染したコンピュータが接続されている学校や家庭、企業など のネットワークをぐるっと見渡して、対策不十分な侵入可能のコンピュータ を勝手に見つけ出し、そこにもぐりこんで次々と自分を増やしていきます。 このように、ウィルスやワームは、利用者が気の付かないうちに悪いこと を散々行って、またネットワークでつながったコンピュータに次々と仲間を 増やします。自分が気づかないうちに「加害者」となっていることが多 いのです。情報セキュリティの確保は、まず自分のコンピュータにウィル スが感染しないよう、 日々の対策を怠らないことです。 難しいことではあ りません。 外から帰ったら手を洗いうがいをして、 実世界のウィルスを防 ぐように、これから述べる内容を日常作業の一環として位置づけ、普段から 心がければ、簡単に感染を防ぐことができます。 |
| 【目次へ戻る】 |
| 2.2 コンピュータの弱点(脆弱性)を解消する お店から買ってきたばかりのコンピュータ。 他の家電とは違い、買って きたばかりの状態が一番危険!そのままで使ってはいけない!というこ とは既にご存知でしょうか。1-1 でも述べましたが、コンピュータは多用途 を実現する一方で、多くの弱点(脆弱性)を抱えています。次々と明らかに なる脆弱性を解消するために、Windows を開発・販売するマイクロソフト社 、MacOS のアップルコンピュータ社など、各ソフトウェア会社からは毎月、 頻繁な場合は毎週といった間隔で、 脆弱性を解消するための「パッチ( 絆創膏)」と呼ばれる更新用追加プログラムが(主に各社のホームページ 等を通じて)提供されています。 多くのコンピュータウィルスは、これらの脆弱性の中で、パッチ導入によ る修正がまだ終わっていないものを感染の糸口として利用します。ですから 買ってきたばかりのコンピュータは、本格的に使い始める前に、まずはパッ チを導入してセキュリティを確保する必要があります。また、普段使ってい るコンピュータについても、新しいパッチが提供されている場合は導入しな ければなりません。図2-2-1はWindowsのパッチ入手画面です。 |
 |
| 図2-2-1 Windows Update |
| 画面左下「スタート」→「Windows Update」もしくは http://windowsupdate.microsoft.com/より、 「更新をスキャン」してパッチを導入(インストール)します。 購入したばかりのコンピュータなどでは、「重要な更新」が表示されなく なるまでWindows Updateを繰り返す必要があります。 |
 |
| 図2-2-2 更新の通知 |
| 画面右下に、このような表示が現れた場合は「重要な更新」の新しいパッ チが提供されています。面倒がらずに表示をクリックして、Windows Update を実行してください。 |
 |
| 図2-2-3 MacOS Xのソフトウェア・アップデート |
| 画面左上のリンゴマーク(アップルメニュー)またはシステム環境設定か ら実行します。新しいパッチが提供された場合は、画面に自動表示されるこ ともあります。 マイクロソフトのOfficeシリーズ(WordやExcel、PowerPoint等)をお使 いなら、それらについてもアップデートが随時公開されています。Windows UpdateのページからOfficeのアップデート用ページにリンクを辿って移動す ることが出来る他、直接 Office Update のページに接続することも可能で す。 |
 |
| 図2-2-4 Officeアップデート |
| Windows や Mac ではなく、Linux やFreeBSD 等を使っているコンピュー タでも、同様のパッチが提供されています。ソフトウェアを提供している会 社・団体等のホームページのサポート情報やErrata(エラータ)などを参照 してください。 |
| 【目次へ戻る】 |
| 2.3 ウィルス対策ソフトウェアの導入と更新 脆弱性を解消し、コンピュータウィルス対策ソフトを導入、さらに新 種ウィルスに対応できるよう適切に更新することで、 コンピュータウィ ルスと無縁の生活を送ることが出来ます。脆弱性の解消が(特にワームによ る侵入防止のため)最優先ですが、電子メールやWeb ページ、記録媒体に添 付されてくるウィルスを防ぐためにはウィルス対策ソフトが欠かせません。 |
 |
| 図2-3-1 ウィルス対策ソフトの画面例(ノートン・アンチウィルス) |
| 上の図は、ウィルス対策ソフトの画面例です。電子メール受信時の自動チ ェックが有効になっているのがわかります。 また、ウィルス定義ファイルという項目があり、日付が載っています。こ れは新種のウィルスを検知し削除・駆除するための情報がこの日付時点の情 報に更新されていることを示しています。大抵、一週間〜10日程度で更新さ れますが、感染が急速に拡がっている緊急度の高いウィルスが出現した場合 には、臨時で更新されることもあります。情報が自動的に更新されない対策 ソフトの場合は、新しい情報を手に入れるために手動で更新する必要があり ます。 購読期限という項目は、新種のウィルス情報を入手できる有効期間を示し ています。この製品の場合は期限が切れると、延長するための権利を別途購 入しなければなりません。よくあるケースとしては、この有効期限が切れた 後放置されて、最新のウィルスに対応出来ないためウィルスの感染やワーム の侵入を許しているものです。情報が更新されていないウィルス対策ソフト は、完全に何の役にも立ちません。 企業や学校等では、新種対策の情報を一括して入手し、各コンピュータに 自動で配信する専用の対策ソフトが導入されている場合もあります。その場 合は管理者の指示通りに導入・設定を行ってください。そうでない場合は、 各自でウィルス対策ソフトを入手し、自衛する必要があります。 家庭内利用限定ですが、無料のウィルス対策ソフト(Grisoft社のAVG An ti-Virus Free Edition など)を導入することも可能です。最近は各社の日 本語版ウィルス対策ソフトも安くなってきました。(「ウィルスセキュリテ ィ」 など2千円程度の製品も)他のソフトにお金をかけなくても、ウィル ス対策ソフトにはお金と手間を惜しんではならない、というのが筆者自身の 経験則で、みなさんにもアドバイス出来ることです。 |
| 【目次へ戻る】 |
| 2.4 ネット上で利用できるウィルスチェックと駆除ツール ウィルス対策ソフトの各社からは、自分のコンピュータがウィルスに感染 していないかどうかを調べるオンラインチェック用のWeb ページが提供され ていたり、万が一ウィルスに感染していた場合に駆除するためのツールが無 料で提供されています。ウィルス対策ソフトと異なり、自分のコンピュータ を常時監視してくれるものではありませんが、ある程度役に立ちます。 ま た、ある会社の対策ソフトを導入している場合でも、別の会社のオンライン チェックを利用してみることで、安心をより確実なものとすることが出来ま す。 以下の会社のオンラインチェックが広く知られています。 シマンテック社 http://www.symantec.co.jp/ トレンドマイクロ社 http://www.trendmicro.com/jp/ |
 |
| 図2-4-1 ウィルスバスターオンラインスキャン(トレンドマイクロ社) |
| なお、各社から提供されている駆除ツールを利用する場合は、特定のウィ ルス毎にツールが提供されることが多いため、どのウィルスに感染している かをあらかじめ知っておく必要があります。しかし、オンラインチェックを 利用するためにネットワークにつないだままにしていると、周囲のコンピュ ータに二次感染してしまう場合も多いのです。ウィルスに感染した場合は、 まずネットワークのケーブルを外し、物理的に切り離す必要があると言 われているのはそのためです。その後で、別のコンピュータを使ってフロッ ピー等に納めた駆除ツールを用意し、感染したコンピュータに持っていって 実行・駆除します。しかし、感染されたということは本質的には手遅れの状 態です。そこからの調査・駆除・復旧にかかる手間と時間はかなりのものな ので、普段の業務や研究等に差し支えないために、日頃の予防こそが何より も肝心だといえます。 |
| 【目次へ戻る】 |
| 3.情報の漏洩を防ぐ 3.1 どんな情報を守らなければならないか 企業の顧客情報が流出したり、学校の生徒に関する個人情報が入ったコン ピュータが盗まれたりなど、情報の漏洩に関するニュースが昨今絶える事が ありません。 まず、どのような情報を守る必要があるかについて、組織の構成員があら かじめ知っておく必要があります。内部情報・個人情報などいろいろとある でしょうが、セキュリティポリシーが制定されている組織においては、これ らが決められています。 兵庫教育大学においては、法人文書管理規程、情報公開取扱要項、情報公 開に関する開示・不開示の審査基準、そして文書処理・決裁規程といった各 種の規程が既に整っています。これらの規程には、具体的に守るべき情報が 列挙されています。ただし、想定されているのは紙の情報なので、セキュリ ティポリシーにおいては、これらで列挙されている守るべき情報で、電磁的 ・光学的に記録されたもの(コンピュータ本体や各種の記録媒体)について 同様の管理を行うよう定めています。カギや入退室管理による制限や、ユー ザ名とパスワードによる制限、暗号化など、機密度が高い情報ほど、厳重か つ複数の手段による保護を提供する必要があります。とくに「不開示情報」 とされているものについては、その取り扱いは慎重であらねばならず、 正 当な利用者以外の者が、 端末から直接もしくはネットワークを経由し てこれらの情報を入手・複製・削除できる状態であってはなりません。 ここでは、一般の利用者に対する内容ですので、主に「兵庫教育大学情報 公開に関する開示・不開示の審査基準(平成13年3月14日)」より、守るべ き情報の例を挙げます。 もともとは国の情報公開法を参照して作成されて いますので、そちらも確認してください。また各規程は変更等もありますの で、最新の規程集で必ず詳細を確認してください。 (1) 個人情報 個人に関する情報で、氏名・生年月日等から特定個人を識別する事が 可能な情報、または公にすることで個人の権利利益(名誉、感情などを 含む)を害するおそれがある情報、とされています。例えば、 ・職員・学生の自宅住所・電話番号等 ・人事選考関連資料 ・健康診断・カウンセリングの情報 ・懲戒処分関係情報 ・学生個人に関する情報、成績、教育・生活相談等の記録、就職先等 ・入試の答案及び合否判定資料 ・学生指導関係文書 ・反省文 ・進路指導関係文書 ・卒業論文、修士論文、博士論文 などが挙げられています。ただし、研究者情報など慣行として公にされ る情報など例外があります。 (2) 法人等情報 公にすることで当該法人等の権利、競争上の地位、その他正当な利益 を害する恐れがあるもの (3) 国の安全等情報 (4) 公共の安全等情報 (5) 審議検討等情報 (6) 事務・事業支障情報 |
| 【目次へ戻る】 |
| 3.2 ユーザ名とパスワードの重要性 当たり前と言われていますが、なかなか守られていないことに、コンピュ ータを利用する時のユーザ名やパスワードが適切に設定・管理されることが あります。ユーザ名・パスワードが設定されておらず、誰でも簡単にそのコ ンピュータを利用できる状態になっているとか、あまりにも簡単なパスワー ドを設定していたがために、解読ソフトでものの数十秒で破られたといった 話がよくあります。 WindowsXP/2000の場合、そのコンピュータを利用できるユーザの一覧とパ スワードの設定をするためのツールが用意されています。画面左下「スター ト」→「プログラム」→「管理ツール」→「コンピュータの管理」です。 |
 |
| 図3-2-1 コンピュータの管理(WindowsXP) |
| この画面の中で、「システムツール」→「ローカルユーザーとグループ」 →「ユーザー」と辿っていくと、そのコンピュータを利用できる利用者(ユ ーザ)の一覧が示されます。特定のユーザをマウスの右ボタンで選択(クリ ック)すると、パスワードを設定したり、ユーザを削除したり、「プロパテ ィ」からユーザの無効化を行うことが出来ます。 意外と知られていないのですが、あらかじめWindowsに用意されている「 Administrator」という管理用ユーザには、パスワードが事前に設定されて いないことがあります。ですからログイン画面の時に、ユーザ名をAdminis trator、パスワードを空欄にすると、そのコンピュータが利用でき、好き勝 手設定し放題・データを変更・削除し放題が出来てしまいます。 なので、 Administratorにはパスワードを設定して、同様に「Guest」は特に必要がな い限り無効化しておくことを推奨します。 MacOS Xの場合は、「システム環 境設定」からユーザ(アカウント)の管理を行うことが出来ます。 また、コンピュータの電源を入れると自動的にログオンが行われ、すぐに 使える状態になっている場合も危険です。 そのコンピュータが他人に使わ れ、しかも上記のような他に知られると大変な情報が入っている場合、目も 当てられない事態を招いてしまいます。 ユーザ名とパスワードを設定している場合でも、それを誰が使っているの かを常に把握しておくことが必要です。共有のコンピュータでは多いのです が、実はザル同然だったという話をよく聞きます。このようなコンピュータ に大事な情報を入れてはなりません。 |
| 【目次へ戻る】 |
| 3.3 ネットワークによるデータ共有は安全か? 小規模のオフィスや学校の職員室、大学の研究室等で、Windows のコンピ ュータを複数使ったネットワーク経由でのドライブ共有やフォルダ共有を行 っているところがあると思います。最低限でもパスワードはかけていますか ? 特にインターネットに直結のコンピュータの場合、パスワードをかけてな いと外部から丸見えの状態になってしまいます。共有されたドライブやフォ ルダを右クリックして、適切なパスワードを設定してください。また、この ような共有領域はウィルスの巣窟になることも、よく聞く話です。共有され たコンピュータでの適切なウィルス対策は勿論のこと、出来れば専用のサー バを利用し、安全なファイル共有を行うことを勧めます。特にWindows98 や Meによるファイル共有は明らかになっている脆弱性も多く、ワームの感染経 路になるケースが多いのです。 |
| 【目次へ戻る】 |
| 3.4 コンピュータや記録媒体の廃棄・レンタル返却 廃棄処分になったコンピュータやCD-ROM等の記録媒体、レンタル期間が終 了して業者に返却されるコンピュータから、様々な情報が漏洩することにみ なさんは気をつけてますでしょうか? 兵教大でもノートパソコンのレンタ ルを、キャンパスネットワーク普及・利用促進のために一時期実施していた ことがありますが、期間が終了して戻ってきたコンピュータの半数が使って いたときの状態のままで、内部の情報の消去作業を行わざるを得ないといっ たことがありました。 CD-ROMや光磁気ディスク(MO)、磁気テープやフロッピーディスクといっ た記録媒体の消去は、物理的に破壊したり、強磁気で消去したりするのが良 いのですが、CD-ROMやDVD-ROM をバキッと折ったら、細かい破片が沢山飛び 散って結構危ないです。そこで、ディスクの表面に細かいキズをたくさんつ けて、読み取りを不可能にする機器(例:CDシュレッダー「記録喪失II」) が販売されています。フロッピーならば中身をばらして磁気シートをはさみ で細かくカットしても良いのですが、光磁気ディスク(MO)だとそうも行きま せん。消去用のソフトウェアを購入するか、ディスクの完全初期化(フォー マット)を何回も繰り返して実行し、残留磁気からデータ復旧ソフトを使っ ても取り出せないようにして廃棄します。通常のクイックフォーマットはデ ィスク内の管理情報のみを消去するだけなので、実際のデータは磁気情報と して残ったままになっています。 ハードディスク等の分解できない記録媒体については、強力な磁気によっ てディスクの電子基盤ごと破壊し、使用不能にするのが手軽です(製品例)。 しかし、コンピュータからハードディスクを取り出すのも手間なので、フロ ッピーやCD-ROMからコンピュータを起動し、ハードディスクにランダムなデ ータを重ね書きして、中の残留磁気を無意味にしてしまうソフトウェアが各 社から販売されています(製品例)。 ワシントン大学のJoshua Larios氏に よるAutoclaveというフリーウェアの提供もあります。このようなソフトを 使って、レンタル返却や廃棄の前にハードディスクを完全に消去するのが良 いでしょう。 |
| 【目次へ戻る】 |
| 3.5 スパイウェアへの対策 近年、スパイウェアという、コンピュータの中にもぐりこんで個人情報を 収集したりするソフトウェアの存在が問題となっています。ウィルスと似て いますが、データ破壊や活動妨害・繁殖といったことを目的とするのではな く、利用者が閲覧したWeb ページの履歴を(無断で)収集して広告等のマー ケティングに利用したり、ひどいものでは「キーロガー」という、キーボー ドの押されたキーをこっそり記録し、パスワード破りやプライバシーの侵害 に利用されるものもあります。このようなソフトウェアは、ホームページの 閲覧時にこっそりインストールされたり、フリーで配布されているソフトウ ェアに添付されてインストールされる場合もあります。(スパイウェア除去 ソフトにスパイウェアが混ぜられていた事例もあった) このようなスパイウェア除去ソフトの中で有名なフリーウェアとしては、 Ad-awareとSpybotがあります。 |
| 【目次へ戻る】 |
| 3.6 情報の暗号化・入退室管理・利用記録等 より強固なセキュリティを必要とする場合、重要な情報について暗号化す る方法があります。例えば、USB キーを暗号化のカギとして、キーを抜いて いる間はファイルが暗号化され、他の人からは読み取ったり変更したり出来 ず、キーを挿したら元のファイルに戻るような製品があります(製品例)。 勿論、コンピュータ本体やキーそのものの管理がより重要であることは言う までもないでしょう。 また、止まってしまうと業務に支障が出るような重要なコンピュータにつ いては、カギのかかる部屋に設置して入退室管理を行ったり、利用記録をつ けるという方法が有効でしょう。 |
| 【目次へ戻る】 |
| 3.7 無線LANによるネットワークの注意点 これまでのような、有線のケーブルによるネットワークだけではなく、特 定周波数の電波を利用した無線 LAN(ローカルエリアネットワーク)の構築 が盛んです。例として、職場や研究室等に無線 LANの親機(アクセスポイン ト)を設置し、ノートパソコン等で無線LAN 機能を有したものが複数台、電 波でつながり、有線同様にネットワークを使えるようになります。しかし、 これには落とし穴もあります。 アクセスポイントにWEPによる暗号化を設定していない場合、そのアクセ スポイントは「誰でも使える」公衆アクセスポイントになってしまいます。 つまり、内部ネットワークに入り放題となり、外部者がそのネットワークを 使って、外部組織等に損害を与えた場合、責任はそのアクセスポイントの管 理者が問われることになります。 本学のキャンパス内で無線LANを使う場合は、 (1) 特殊機器設置申請を情セ窓口に提出し、固定IPアドレスを取得する (情報コンセント管理担当者である教職員が提出すること) (2) アクセスポイントの電波に識別名(SSID)をつける (識別名の付け方は「建物略号+部屋番号)というルールが定められ ています、ルールの詳細は次のWebページを参照してください。 (3) 無線による通信をパスワードをつけて暗号化する (WEP キーの設定が一般的です。アクセスポイントの説明書を参照 して下さい) ・・・上記3点が定められています。 無線LAN 使用者は必ず実施してくださ い。 ※ 本学情報セキュリティポリシーの「学内ネットワーク利用入門〜情報コ ンセントの使い方」に無線LAN 設置・利用についての手順書が掲載されて いますので、その内容に従ってください。 |
| 【目次へ戻る】 |
| 3.8 ファイル交換ソフトウェアの使用禁止について キャンパスネットワークにおいて、Winny などのファイル交換ソフトウェ アの使用及びインストールは禁止されています。ファイル交換ソフトで入手 したファイルはウィルス等が紛れ込んでいる危険性があり、重大な問題を引 き起こす可能性があります。例えば、Winny を介して感染するウィルスAnti nnyによって、業務資料や個人情報が流出する事案が多発しています。 Antinny の中には、最新のウイルス対策ソフトでも対応していないものも 多くあります。また、多くのAntinny は、OSのセキュリティホールとは関係 なく感染するため OS を最新の状態にしていても被害を防ぐことはできませ ん。 このような危険を防ぐためには、ファイル交換ソフトウェアを使用しない ことが最も重要です。このような理由から、キャンパスネットワークでは、 ファイル交換ソフトウェアの使用及びインストールを禁止しています。 また、キャンパスネットワークの外でも、ファイル交換ソフトウェアがイ ンストールされたコンピュータで教育研究活動を行うことを禁止します。こ れは業務資料等が流出する原因となるためで、すでに同様の事例が報道され ています。教育研究活動で用いるコンピュータにファイル交換ソフトウェア がインストールされていないことを確認してください。 参考情報:http://www.bits.go.jp/press/inf_msrk.html |
| 【目次へ戻る】 |
| 4.コンピュータやネットワークの円滑な運用のために 4.1 バックアップの重要性 ここで改めて強調するまでもなく、多くの方が日々心がけていると思いま すが、大事なデータは必ずバックアップをとることが必要です。大学では毎 年、卒業論文や修士論文の締め切りが近づいてくると、コンピュータの故障 や誤操作で書きかけの論文が消えたー!という悲鳴がどこからともなく聞こ えてきます。 そういうことにならないよう、 普段使っている大事なデータ は、外部ハードディスクやUSBメモリー、光磁気ディスクやCD-R 等に、こま めにバックアップをとることが必要です。 また、ホームページ等の情報を提供している場合にも、バックアップは重 要です。万が一、外部からの侵入や情報改ざん等があった場合、ただちに事 実関係を確認・記録・報告して、元の情報に戻さなければなりません。その ためにバックアップを確保していることが重要です。 |
| 【目次へ戻る】 |
| 4.2 トラブル時の記録および報告 重要なデータの消失や、情報の漏洩、ネットワークに関するトラブル(ウ ィルス感染、外部からの侵入、加害意図の有無を問わず外部への加害行為等 )については、 ・トラブルの発生日時 ・トラブルの概要や経過 ・トラブルの収束日時(収束した場合) ・記録者名・記録者所属・記録者連絡先 ・記録日時 これらの情報を、まず紙に記録しましょう。記録した情報は、所属してい る組織の長や上司に報告して指示を仰ぎます。 【兵庫教育大学キャンパスネットワーク トラブル記録・報告用シート PDF版 Word版】 本学においては、 まずは自分が使っている情報コンセントの管理担当 者に報告してください。 事態の深刻度に応じて、部局等の連絡担当者や部 局等の管理責任者に連絡する必要も生じます。 特に大学外とのトラブルは、情報処理センターのネットワーク管理担 当者(または情報処理センター事務室)に必ず連絡してください。 情セ 側が先に気がついた場合は、 問合せや報告要請が届くことがあります。 い ずれにせよ、速やかに指示に従ってください。 |
| 【目次へ戻る】 |
| 4.3 セキュリティポリシーの運用 セキュリティポリシーは、随時検討や見直しが行われます。また、ポリシ ーに基づいた教育や研修が行われることがあります。教職員については、指 導する学生や来学者等が情報セキュリティ上の問題を起こさないようにする 必要があります。また、情報発信にあたっては著作権や肖像権、人権に関す る配慮、関連法令の遵守などが必須であり、適切な情報発信が行われなけれ ばなりません。 これらの遵守には手間がかかりますが、それが組織全体の利益や信頼の向 上につながるものであるということを全構成員が自覚し、日々気をつける必 要があるのです。 |
| 【目次へ戻る】 |
| ※ 本稿に記載されている社名および製品名は、各社の商標もしくは登録商 標です。 |
| 【目次へ戻る】 |
| 5.参考情報 兵庫教育大学情報処理センター 個人情報の保護に関する法律 警察庁@Police 内閣官房情報セキュリティ対策推進室 JPCERT/CC(有限責任中間法人JPCERTコーディネーションセンター) CERT/CC(The CERT Coordination Center) NPO 日本ネットワークセキュリティ協会 ITmedia エンタープライズ:セキュリティ IPA SOHO・家庭向けセキュリティ対策マニュアル |
| 【目次へ戻る】 |
セキュリティポリシーのページへ戻る
トップページへ戻る