豊橋技術科学大学情報セキュリティポリシー

トップページに戻る
最上位 > 第4章 総務
豊橋技術科学大学情報セキュリティポリシー
(平成15年11月18日制定)
(平成17年1月12日改訂)
(平成17年3月31日改訂)
(平成18年7月10日改訂)
(平成23年4月1日改訂)
(平成26年4月1日改訂)
(平成28年4月1日改訂) 
豊橋技術科学大学(以下「本学」)は,高度情報化社会の一員として情報セキュリティの確保に努めることを宣言し,ここに本学の情報セキュリティポリシーを定める。
 
Ⅰ 基本方針
(利用者の責任と自覚の要請)
1.情報セキュリティポリシーは,本学の構成員一人一人の努力によって遵守されなければならない。
  本学は,個々の構成員の自覚と責任を重んじ,情報システムを利用する者(以下「利用者」)に対して,責任と自覚を持つことを確認したものにのみ情報システムの利用を許可する。利用者は,許可を受けた情報アクセスの範囲内でこれを利用することができる。
(個人情報の保護)
2.本学は,人格尊重の理念の下に個人情報の適正な取扱いに務める。利用者は,公序良俗に反して個人情報を取得・利用してはならない。
(利便性との調和の原則)
3.情報セキュリティポリシーの運用に当たっては,教育研究活動上の利便性との調和を図らなければならない。この精神に基づいて,本学は,情報の安全性確保と教育研究活動上の利便性確保を両立させるために,情報システムの扱いに関する規定を明文化する。本学の構成員はこの規定を遵守する義務を負う。
(ネットワーク接続における原則)
4.利用者は,利用者を特定できない状況・方法で学内ネットワークに接続してはならない。また対外接続に当たっては,対外接続管理責任者がこれを一元管理する。
(情報提供者特定可能の原則)
5.利用者は,情報システムの利用に当たって,情報提供者が特定できない状況・方法でサービスを行ってはならない。
(規定の対象)
6.本学は,情報セキュリティポリシーの実施に当たって,組織・体制,情報の分類と管理,情報の人的・物理的・技術的セキュリティを策定し,情報の安全性を確保する。
(公開の原則)
7.本学は,情報の発信・利用の現状について公開に努める一方,問題が発生した場合には必要な措置を速やかに講じ,その結果を情報セキュリティ対策上明らかにできないもの以外は,原則として公表する。
(支援教育と遵守状況の確認)
8.本学は,本学の構成員が規定を遵守するための支援として,情報セキュリティに関する教育と規定の遵守状況に関する確認を定期的に行う。
(対策基準の見直し)
9.本学は,急速に変貌する情報化社会における危険性等を踏まえ,情報セキュリティポリシーを定期的に評価し見直す。
 
Ⅱ 情報セキュリティの対策基準
1.組織・体制
  本学の情報セキュリティポリシーに基づき,具体的事項について,企画・立案・実施・管理を行うための情報セキュリティ組織を設ける。
  本学の情報セキュリティを全体として統合するため,全体的な情報セキュリティ組織を設ける一方,セキュリティポリシーを実施するため,関係部局その他を単位とする情報セキュリティ組織を設ける。
  1.1 管理・運用組織の構成
   図1.組織の構成図 参照
1.1.1 最高情報セキュリティ責任者
・本学の情報セキュリティに関する総括的な意志決定と,学内,他の組織及び学外に対する責任を負う。役割等の詳細は,3.1.1に述べる。
・副学長(総務担当)が担当する。
・部局毎に情報セキュリティ対策の運用に係る部局システム管理責任者を置き、それを統括する者として全学システム管理責任者を一人置く。
1.1.2 全学システム管理責任者
・本学の情報管理の実施に関し,緊急時の連絡など,総括的な対応に当たり,最高情報セキュリティ責任者を補佐する。役割等の詳細は,3.1.2に述べる。
・情報メディア基盤センターネットワーク部長が担当する。
1.1.3 対外接続システム管理責任者
・対外接続システムの管理・運用に当たる。役割等の詳細は,3.1.3に述べる。
・情報メディア基盤センター長が選定する。
1.1.4 部局システム管理責任者
・部局内の情報システム管理の実施に関し全学システム管理責任者との連絡などの対応に当たり,システム管理者を統括する。役割等の詳細は,3.1.4に述べる。
・各系・センター及び事務局から選出した者が担当する。
1.1.5 ネットワーク管理者
・学外に情報の提供ができる機能をもつ情報機器とネットワーク機器の設置を行う利用者である。役割等の詳細は,3.1.5に述べる。
images
図1.組織の構成図
1.1.6 システム管理者
・学外に情報を提供しない情報機器の設置を行う利用者である。役割等の詳細は,3.1.6に述べる。
1.1.7 一般利用者
・設置されている情報機器を利用する利用者である。詳細は,3.1.7に述べる。
1.1.8 限定利用者
・本学の関係者は,制限された情報システムの利用ができる。この利用者を限定利用者という。詳細は,3.1.8 に述べる。
1.1.9 情報基盤委員会
・最高情報セキュリティ責任者は、情報セキュリティ委員会として情報基盤委員会を設置し、委員長および委員を置く。
・本学のネットワークのセキュリティに関する事項は,情報基盤委員会(以下,「委員会」という。)において審議し,セキュリティポリシーの決定と改訂及び重要事項の決定を行い、最高情報セキュリティ責任者(委員長)に承認を得るとともに,対外的な対応を行う。
1.1.10 システム管理部会
・委員会の下に,本学の情報セキュリティ管理を実施するための連絡調整及び学内及び学内各部局への技術的助言等の支援を行うため,システム管理部会を置く。
・部会構成員は,全学システム管理責任者,部局システム管理責任者,対外接続システム管理責任者とする。
1.1.11 情報セキュリティ監査責任者
・最高情報セキュリティ責任者は、その指示に基づき、監査に関する事務を統括する情報セキュリティ監査責任者を一人置く。
  1.2 不正アクセス等への対応
・システム管理部会は,外部または内部からの不正アクセスを検出した場合,全学システム管理責任者の責任の下で緊急措置を行うことができる。
  1.3 兼務を禁止する役割の規定
・情報セキュリティ対策の運用において、以下の役割を同じ者が兼務しない。
   -承認または許可事案の申請者とその承認者又は許可者
   -監査を受ける者とその監査を実施する者
 
2.情報の分類と管理
  2.1 情報の管理責任
  本学及び本学の構成員は,その情報の発信・利用の現状について広報に努める一方,問題が発生した場合には必要な措置を速やかに講じ,その結果を情報セキュリティ対策上明らかにできないもの以外は,原則として公表する。
2.1.1 管理責任
  情報は,当該情報を作成等した部局等が情報管理責任者として,管理責任を有する。ただし,各部局等において,特別の定めがある場合にはこの限りではない。
2.1.2 利用者の責任
  情報を利用する者は,情報の分類に従い利用する責任を有する。
2.1.3 重要性の効力
  情報が複製または伝送された場合には,当該複製等も分類に基づき管理しなければならない。
  2.2 情報の分類
  このポリシーの対象となるネットワークを利用した学内すべての情報は,各々情報の機密性,完全性及び可用性を踏まえ分類する。
  情報の格付けについては、実状に即して問題が生じないように注意を払う。
2.2.1 非公開情報の管理方法
2.2.1.1 非公開情報の分類の表示
   第三者が重要性の識別を容易に認識できないよう留意しつつ,情報システムで扱う非公開情報について,ファイル名,記録媒体等に非公開情報の分類が分かるように表示する適切な管理を行わなければならない。
2.2.1.2 非公開情報の管理及び取扱い
  ・非公開情報について,それぞれの分類に従い,アクセス権限を定めなければならない。
  ・大学の構成員は最高情報セキュリティ責任者の許可がある場合を除き,非公開情報の外部への送付及び持ち出しをしてはならない。
  ・非公開情報は必要に応じ暗号化を施して管理するものとし,暗号化に用いた暗号鍵及び暗号化された当該情報は,別々に適切な管理を行わなければならない。
 
3.人的セキュリティ
  3.1 役割・責任及び免責事項
  すべての利用者について,その利用者がどの役割を果たすかを定めなければならない。
3.1.1 最高情報セキュリティ責任者
・委員会で策定されたポリシーに基づき,学内のすべての情報セキュリティに関する総括的な権限と責任を有する。
・委員会を構成する部局システム管理責任者を通じて,すべての部局にポリシーの遵守を励行させる。
・情報システムの円滑な運用に必要な措置を全学システム管理責任者に指示し,全学システム管理責任者が行った緊急避難措置に対処する。
・全学システム管理責任者による定常的にセキュリティ対策の措置,ならびに,セキュリティ管理の状況に関する報告に対処する。
・学内の最高意志決定組織への情報セキュリティに関する重要事項の報告または勧告を行う。
・情報セキュリティに関する学外からの苦情への対応(損害賠償請求など法的対応部署との連携を含む),ならびに,学外から受けた被害への対応(損害回復請求など)に当たる。
・部局システム管理者を置いた時及び変更した時は、全学システム管理責任者にその旨連絡する。
3.1.2 全学システム管理責任者
・本学の情報システムが円滑に運用されるように,情報セキュリティの保持と強化のための技術的な調査検討を行うとともに,緊急時の総括的な連絡窓口として機能する。これらの技術的対応の実施において,時間と曜日と無関係に即時対応できる体制とすべきである。
・情報セキュリティを守るために必要と判断したときは,緊急避難措置をとることができる。ただし,その措置によって影響を及ぼすと判断できる情報資源のシステム管理者に,その旨を速やかに通知しなければならない。システム管理者から対応策の実施が完了した旨の届が提出されたときは,速やかに対応策を検討し,十分であると判断した場合は,緊急避難措置を直ちに解除しなければならない。部局システム管理責任者及びシステム管理者から緊急避難措置の依頼があった場合も必要性を判断し同様に扱うものとする。
・本学の情報セキュリティの管理及び監査の実施に関し,最高情報セキュリティ責任者を補佐し,情報セキュリティの保持と強化のために必要な技術的措置を提案する。
・システム管理部会において情報セキュリティの保持と強化のために必要な技術的措置を部局システム管理責任者に指示し,情報を提供、情報網を整備するとともに,実施に関する協議を行う。
・全てのネットワーク管理者およびシステム管理者に対する連絡網を整備する。
3.1.3 対外接続システム管理責任者
・対外接続の状態により,必要と判断したときは,対外接続を制限することができる。ただし,その措置内容を全学システム管理責任者に速やかに通知しなければならない。必要がなくなったと判断した場合は,緊急避難措置を直ちに解除しなければならない。全学システム管理責任者から緊急避難措置の依頼があった場合も必要性を判断し同様に扱うものとする。
・対外接続に当たっては,対外接続システム管理責任者のみがこれを行う。
・対外接続におけるセキュリティの管理及び監査の実施に関し,全学システム管理責任者を補佐し,情報セキュリティの保持と強化のために必要な技術的措置を提案する。
3.1.4 部局システム管理責任者
・当該部局の情報システムが円滑に運用されるように,情報セキュリティの保持と強化のための技術的な調査検討と対策の実施にあたる。
・システム管理者に対し情報システムの円滑な運用のために必要な技術的措置を提案する。
・当該部局内において情報セキュリティを守るために必要と判断したときは,緊急避難措置をとることができる。緊急避難措置をとった場合には,全学システム管理責任者と当該部局の委員会委員にその事実を速やかに報告しなければならない。
・当該部局における情報システムごとにネットワーク管理者を置き、置いた時及び変更した時は、全学システム責任者にその旨報告する。
3.1.5 ネットワーク管理者
・学外に情報の提供ができる機能をもつ情報機器とネットワーク機器の設置を行う利用者である。設置した情報機器の運用に則したパラメータの設定やセキュリティパッチの実施などセキュリティを維持するための責任を持ち、情報セキュリティ対策の管理に関する事務を統括する。情報機器の利用者が学生でもネットワーク管理者は教職員である。
・部局システム管理責任者と協力して,セキュリティの維持に参画する義務を負う。
・ネットワーク管理者の監督下において,システム管理者に情報機器またはネットワーク機器の管理業務を補助させることができる。この場合,システム管理者による管理業務の責任と権限の範囲を明確に定め,これを厳守させなければならない。いずれの場合も,最終的な責任はネットワーク管理者が負わなければならない。システム管理者を置いた時及び変更した時は、全学システム管理責任者にその旨を報告する。
・部局システム管理責任者に,該当する機器の設置と,その設置場所と機器の停止方法を通知しなければならない。
3.1.6 システム管理者
・学外に情報を提供しない情報機器の設置を行う利用者である。設置した情報機器の運用に則したパラメータの設定やセキュリティパッチの実施などセキュリティを維持するための責任を持つ。
・システム管理に関する講習を受講しなければならない。そして,委員会が策定したポリシーを遵守しなければならない。
・ネットワーク管理者として登録されていないシステム管理者は,独自にプログラムや機器を設定して,外部に情報を提供することをしてはならない。外部に情報を提供する場合には,ネットワーク管理者の設定した情報機器を利用するが,その設定を変更してはならない。
・ポリシー及び実施手順を理解しなければならない。さらに,システム管理者からセキュリティ維持管理のために協力を依頼された場合には従わなければならない。
3.1.7 一般利用者
・設置されている情報機器を利用する利用者である。
・一般利用者も情報システム利用者の一員として,情報セキュリティを維持する義務を有する。
・著作権法などの情報機器の利用に関する講習を受けなければならない。
・情報機器を設置してはならない。また,設置されている機器の変更をしてはならない。
3.1.8 限定利用者
・本学の関係者は全学システム管理責任者,または,全学システム管理責任者が指定した者への届出によって,制限された情報システムの利用ができる。この利用者を限定利用者という。
・不特定の相手に情報を提供してはならない。
・特定できる相手へのメール通信ができる。
・全学システム管理責任者の定める学内・学外の情報にアクセスできる。
・全学システム管理責任者の定める利用規定を遵守しなければならない。
・限定利用者の利用規定は,通常の注意で利用者が遵守できるように,技術的に強制ができる規定とするべきである。
・限定利用者の利用規定は,これを守ることによって,自動的に情報セキュリティポリシーが守られるようなものであるべきである。
  3.2 教育研究上の利便性の配慮
・利用者は情報セキュリティ対策について教育研究上の利便性を著しく損なう点,遵守することが現実的に困難な点については,最高情報セキュリティ責任者または部局システム管理責任者に対して,ポリシー及び実施手順の改善を求めることができる。
・来訪者に学内の情報システム(公共情報端末や情報コンセントを含む)を一時的に使用させる場合においては,限定利用者として利用させなければならない。
  3.3 教育・研修
・委員会は,部局システム管理責任者向けの研修を開催しなければならない。
・委員会は,部局システム管理責任者がネットワーク管理者,システム管理者に行う研修プログラムの実施に必要な措置を施さなければならない。
・委員会は,部局システム管理責任者等が行う教職員向けのポリシーに関する研修の支援をしなければならない。また,教職員が行う学生向けのポリシーに関するオリエンテーションまたは講義に協力しなければならない。
・一般利用者は,研修会や説明会または講義等を通じ,ポリシー及び実施手順を理解し,情報セキュリティ上の問題が生じないように努めなければならない。
・教職員に対する情報セキュリティ対策教育の実施については、実状に即して問題が生じないように注意を払う。
  3.4 事故・障害の報告
・最高情報セキュリティ責任者は、情報セキュリティに関する障害等(インシデント及び故障を含む)が発生した場合、被害の拡大を防ぐとともに、障害等から復旧するための体制を整備する。
・全学システム管理責任者は、障害等について教職員から部局システム管理責任者への報告手順を整備し、報告手段をすべての教職員に周知する。障害等が発生した際の対応手順を整備し、障害等に備え、職務の遂行のため特に重要と認めた情報システムについて、そのネットワーク管理及びシステム管理者の緊急連絡先、連絡手段、連絡内容を含む緊急連絡網を整備する。
・構成員は,情報セキュリティに関する事故,情報システムの不審な動作,公開情報の改ざん,システム上の障害及び誤動作を発見した場合には,部局システム管理責任者またはネットワーク管理者に直ちに報告しなければならない。また、障害等が発生した際は、対応手順があれば手順に従って実施し、対応手順がないか、有無が確認できないときは、その対応についての指示を受けるまで、障害等による被害の拡大防止に努め、指示があった場合はその指示に従う。
・部局システム管理責任者及びネットワーク管理者は,報告のあった事故等についてすべて全学システム管理責任者と委員会委員に通知するとともに,必要な措置を直ちに講じなければならない。必要ならば,全学システム管理責任者に措置に関して指示または支援を要請することとする。
・全学システム管理責任者は,発生したすべての情報セキュリティ上の事故等に関する記録を一定期間保存し,委員会に報告するとともに,重大な事故に対しては,迅速な再発防止のための対策を講じなければならない。
・一般利用者に対する情報セキュリティ上の事故・障害の通知は,問題の程度に応じた適切な表現に配慮し,速やかに行わなければならない。
・学内からの不正アクセスによって学外に被害を及ぼし,その事実関係の説明を被害者または第三者から求められた場合の対応手順を,規定として定めるべきである。
・事故等について,情報処理振興事業協会(IPA)の届出様式により,電子メールまたはFAXで速やかに大臣官房政策課情報システム企画室に報告するとともに,IPAセキュリティセンター不正アクセス対策室に届けることとする。さらに,必要に応じて警察のネットワーク犯罪担当部署に相談などを行うべきである。
・例外措置については、実状に即して問題が生じないように注意を払う。
  3.5 パスワード管理・ログ管理については、実状に即して問題が生じないように注意を払う。
3.5.1 一般利用者向け
・自己のパスワードは秘密としなければならない。
・他の利用者のアカウントを使用してはならない。
・いかなる場合も他の利用者のパスワードを聞き出してはならない。
・ネットワーク管理者またはシステム管理者が,不適切なパスワードの変更を求めた場合,利用者はその指示に従わなければならない。
・システムの管理権限を有する者や他の利用者になりすました第三者からのパスワードの聞き取りには,如何なる場合も応じてはならない。
3.5.2 ネットワーク管理者,システム管理者向け
・情報システムの利用資格者の規定を定めなければならない。
・規定に基づく利用資格を有する者以外に情報端末のアカウントを発行してはならない。また,利用資格を失った利用者のアカウントは,直ちに削除されなければならない。
・利用者のアカウントを管理権限のない第三者に漏洩してはならない。また,いかなる場合にも利用者からパスワードを聞き取りしてはならない
・ログ情報及び通信内容の解析等にあたっては,利用者のプライバシーに配慮し,閲覧解析を認める場合の要件と手続きを定めなければならない。
  3.6 非常勤職員及び外部委託
3.6.1 教務及び事務系業務
・本学の構成員でないもの(外部委託事業者など)が制限利用者の範囲を超えた利用をする場合には,雇用契約の際に,守るべきポリシーの内容を理解させ,実施及び遵守させなければならない。
3.6.2 情報システムの開発及び保守ならびに管理業務
・情報システムの開発及び保守ならびにシステム管理業務を外部委託事業者に発注する場合は,外部委託事業者から下請けとして受託する業者を含めて,ポリシーのうち外部委託事業者が守るべき内容の遵守を明記した契約を行わなければならない。
・外部委託事業者との契約書には,責任所在の境界,ならびに,ポリシーが遵守されなかった場合の規定を定めなければならない。
・外部委託については、実状に即して問題が生じないように注意を払う。
・外部委託を含めてソフトウエア開発については、実状に即して問題が生じないように注意を払う。
  3.7 学外での情報処理
  業務において、その事務の遂行のため学外において情報処理を行う場合について制限等については、実状に即して問題が生じないように注意を払う。
 
4.物理的セキュリティ
  4.0 情報システムのセキュリティ要件
  ネットワーク管理者は情報システムの構築・運用等におけるセキュリティ要件については、実状に即して問題が生じないように注意を払う。
  4.a 電子計算機共通対策
  システム管理者は電子計算機のセキュリティ維持に関しては、実状に即して問題が生じないように注意を払う。
  4.1 クライアント機器
4.1.1 クライアント機器の定義
・クライアント機器とは,主としてパーソナルな利用で用いられ,他の情報機器へアクセスすることで処理を進めていくものを指す。後で示すサーバ機器に対するものである。
・システム管理部会は対象となるクライアント機器(据付のみ)を把握しなければならない。
・サーバ管理者は,管理しているネットワーク上のクライアント機器(据付及び一時的設置)を把握しなければならない。
4.1.2 クライアント機器の使用
・大学内にクライアント機器を設置する場合(据付及び一時的設置のいずれにおいても),利用者がクライアント機器を使用する前に物理的認証または電子的認証,あるいは,両方を経るべきである。
・電子的認証を用いる場合,ディスクブートによる電子的認証すり抜けに対する対策を施すべきである。
4.1.3 据付型クライアント機器の盗難対策
・据付型クライアント機器が犯罪者によって学外に持ち出されないよう何らかの対策を施さなければならない。
4.1.4 ネットワークへの接続
・有線(ネットワークケーブル)を使用する場合には,過失によるケーブル切断を防ぐための措置を施すべきである。
・有線,無線どちらの場合においても,ネットワークの盗聴に対する対策を施すべきである。
・クライアント機器接続用のネットワークケーブルに違うコンピュータが接続されないよう,物理アドレスとIPアドレスの対比表を定期的に検査すべきである。
4.1.5 貸出型クライアント機器の備品管理
・本学の構成員がクライアント機器を学外へ持ち出す場合においては,貸し出しの事実について記録しなければならない。
・クライアント機器経由による秘密または非公開情報の漏洩が発生しないよう留意すること。
・学外持ち出しを想定した専用のクライアント機器を準備するのも一法である。
・本学の構成員でないものがクライアント機器を学外に持ち出すことは,原則として禁止すべきである。
4.1.6 保守
・保守においては,パスワードやシステム設定情報などの非公開情報の開示について守秘義務契約を結ぶべきである。
  4.2 サーバ機器
4.2.1 サーバ機器の定義
・サーバ機器とは,複数のクライアント機器からアクセスされ,共同で利用される情報機器をいう。その停止は多くの利用者に影響を与えるため,セキュリティを守ることが肝要である。
4.2.2 管理区域の設置
・サーバ機器はネットワーク管理者が設定した管理区域に設置されなければならない。コンソールも同様である。
・管理区域内はサーバ機器の動作補償範囲内の温度,湿度を24時間保つべきである。
・管理区域の物理的隔離の度合いは守るべきサーバの重要性に応じて段階的に設定されるべきである。重要なサーバとは,停止したときに大学内の業務遂行に重大な支障をきたすサーバを指す。重要なサーバ機器に対しては物理的に区切られており,第三者の認証と入退室の記録が残される区域を設定すべきである。一方で重要度の軽微なサーバ機器については,鍵などによる認証による入退室管理形態であっても良い。
・管理区域の物理的な場所は,当該サーバ機器のシステム管理者以外には公開すべきではなく、管理区域内においては身分証明書カードを常時見えるようにしておく。
4.2.3
・サーバ機を設置する時、ネットワーク管理者は、通信回線を経由してサーバ機の保守作業を行う場合は、暗号化を行う必要性の有無を検討し、必要なら送受信される情報を暗号化する。サービスの提供及びサーバ機の運用管理に利用するソフトウエアを定めて、利用を定められていないサーバアプリケーションが稼動している場合には、そのサーバアプリケーションを停止する。また、利用が定められたサーバアプリケーションであっても、利用しない機能を無効化して稼動する。
 運用時には、定期的にサーバ機の変更を確認し、その変更によって生ずるサーバ機のセキュリティへの影響を特定し、対応する。サーバ機上で証跡管理を行う必要性を検討し、必要を認めた場合には実施する。
・ネットワーク管理者は、サーバ機の時刻を正確にし、作業を行ったサーバ機、作業日、作業内容及び作業者を含む事項を記録する。
4.2.4 電源
・電源を供給する際には,電圧の流動や突発的な停電,過電流に対応する装置を経由することが望ましい。
4.2.5ネットワークへの接続
・有線(ネットワークケーブル)を使用する場合には,過失によるケーブル切断を防ぐための措置を施すべきである。
・有線,無線どちらの場合においても,ネットワークの盗聴に対する対策を施すべきである。
4.2.6 データのバックアップ
・サーバ機器に記録されるデータは,定期的にバックアップすべきである。
・バックアップスケジュールは,サーバ機器の重要度に応じて決定されるべきである。
・データをバックアップしたメディアは,温度と湿度が適切な場所に保管されるべきである。重要なデータについては,バックアップを複数本作成し,物理的に離れた場所に個々に保管することを検討すべきである。
・データをバックアップしたメディアは,認証による入退室管理が行われている管理区域内に保管するべきである。
4.2.7 多重化
・ダウンタイムを短くすることを求められるサーバ機器については,多重化を検討し,多重化した場合には,順番に運用機を切り替えるか,一定時間ごとにチェックするなどして,スタンバイ機が故障してないことを確かめる必要がある。
4.2.8 サーバ機器盗難への対策
・サーバ機器が管理区域から持ち出されないよう何らかの対策を施さなければならない。
4.2.9 災害への対策
・重要なサーバ機器は,耐震を考慮した据付を行うべきである。
・管理区域には,火災の一次消火手段が提供されるべきである。
4.2.10 保守
・保守においては,保守部品をできるだけ確保し,迅速に保守を行える体制を整えるべきである。
・保守においては,パスワードやシステム設定情報などの非公開情報の開示について守秘義務契約を結ぶべきである。
  4.3 ネットワーク機器
4.3.1 コンソールポートの隔離
・ルータ,インテリジェントスイッチは,コンソールポート,管理ポートが許可された特定のネットワーク管理者以外は使用できないように施錠などによって物理的に隔離された区域に設置すべきである。
4.3.2 設置場所の秘匿
・バックボーンを構成する機器をはじめ,重要と思われるネットワーク機器については,その設置場所を限られたネットワーク管理者以外に公開すべきではない。
4.3.3 ネットワーク接続ポート
・原則として,物理的認証または電子的認証を経た後でなければ,ネットワーク接続ポートにコンピュータを接続してはならない。
・学会等のために期限を設定して来学者に接続ポートを開放する場合には,そのネットワークセグメントから学内へのアクセスは制限することが望ましい。
4.3.4 ネットワークケーブル
・バックボーンを構成するネットワークケーブルは,故意または過失によるケーブル切断を防ぐためにシールド等の措置を施すべきである。他に重要と思われるネットワークケーブルについても同様にケーブル切断のための措置を講ずるべきである。
・有線,無線どちらの場合においても,ネットワークの盗聴に対する対策を施すべきである。
4.3.5 多重化
・機器の障害によるネットワーク断が重大な影響を及ぼすようなネットワーク機器については,多重化による信頼性の向上を検討すべきである。
4.3.6 保守
・保守においては,保守部品をできるだけ確保し,迅速に保守を行える体制を整えるべきである。
・保守においては,パスワードやシステム設定情報などの非公開情報の開示について守秘義務契約を結ぶべきである。
 
5.技術的セキュリティ
  5.1 基本方針
  本学のネットワークは,構成員の利便性,安全性,社会的責任などを勘案して,対外接続に関してポート閉鎖を含めた適切な制限措置を取る。制限措置の内容は委員会で決定し,セキュリティ維持と矛盾しない範囲内において公開する。
  上記の原則にも関わらず,システム管理部会及び部局システム管理責任者は,不正アクセスその他の理由によって緊急の対処が必要とされる場合,委員会の議を経ずに,特定のサービスを停止し,あるいは特定の機器と外部の間の通信を遮断することができる。このような緊急措置が行われた場合,措置の内容について委員会に報告しなければならない。
  ネットワーク及びシステムの管理者は,機器の設置責任者がセキュリティポリシーあるいは別に定めるセキュリティ・ガイドラインに違反していると認めた場合には,改善を求めることができる。
  5.2 ネットワーク運営方針
5.2.1 ネットワーク設計,機器導入及び設定
(1)ネットワーク設計及び改変
 ・大学での新たなネットワークの設計・構築にあたっては,事務,教育,研究といった目的の異なるネットワークトラフィックを物理的または論理的に混在させないよう留意すべきである。
 ・委員会の許可なしにネットワークの改変をしてはならない。
(2)ネットワーク機器
 ・ルータやソフトウエア設定可能なハブ等の機器を管理するネットワーク管理者及びシステム管理者は,機器障害や権限のないアクセスによって機器の構成や制御機能が損なわれないように管理しなければならない。また,これらの機能を常に最新のものとすべきである。
(3)セキュリティ機器及びその運用
  委員会は,ファイアウォール及び侵入検知システムその他の必要と思われるセキュリティ機器を導入・運用し,外部からの脅威や内部から外部への攻撃に対処できるようにする。これらの機器は,ネットワーク性能の向上や新たな脅威の出現に対応可能なように,最新のものに保つべきである。
  大学のネットワークを利用しようとするものは,委員会が設置したネットワーク侵入検知システムその他によるトラフィックの検査を受け入れなければならない。拒否する場合には学内ネットワークの利用は許可されない。
  機器の購入については、実状に即して問題が生じないように注意を払う。
5.2.2 ネットワークサービス選択
  委員会は,構成員に対して,利用可能なネットワークサービスと利用形態を決定し,構成員に公表し,外部に対して大学内ネットワーク上のどのような資源をだれに提供するかを決定する権限を持つ。
  構成員は,委員会のこの決定に対して,異議を申し立てることができる。
5.2.3 ネットワークの無許可利用及びネットワークバックドアの排除
・ネットワークに接続する装置は,不特定多数の手に触れさせるべきでない。
・学内ネットワークのセキュリティ機能の管理を回避して,情報セキュリティポリシーの及ばないネットワークと学内ネットワークとを接続すること(PPPサーバ,独自のハードウエア回線,VPN 装置およびソフトウエアを使用して,他の組織のネットワークと学内ネットワークとを接続すること等)を原則禁止する。
・学内ネットワークのセキュリティ機能の管理を回避して,情報セキュリティポリシーの及ばないネットワークと学内ネットワークとを接続するような設定ができる設備を常時運用する場合には,委員会の許可を受け,委員会の求めに応じて運用状況を報告しなければならない。ただし,一時的な利用ではこの限りではない。
5.2.4 ネットワークの日常運用
  ネットワークのバックボーンを担当するネットワーク管理者及びシステム管理者は,ファイアウォールや侵入検知システムのログを一定期間保存しなければならない。ネットワーク管理者は,情報システムへのアクセス記録を取得し一定期間保存しなければならない。定期的にそれらのログを分析し,侵入の試みがなされていないかなどをチェックすべきである。セキュリティホール対策、不正プログラム対策については、実状に即して問題が生じないように注意を払う。
  5.3 端末機器等に関する基準
5.3.1 基本方針
  ネットワークに接続を許される機器の満たすべき最低限のセキュリティ対策基準を示す技術ガイドラインを,セキュリティポリシーに従って策定する。ガイドラインの基準に満たない機器をネットワークに接続してはならない。
  ネットワーク管理者及びシステム管理者は,ガイドラインにかかわらず,常に最新のセキュリティ情報に注意を払い,端末機器を安全に運用できるように努力しなければならない。
  ネットワーク管理者及びシステム管理者は,委員会の要請に応じて,ログ等の運用に関する情報を委員会に対して開示しなければならない。
5.3.2 端末機器設置運用基準
  接続する機器は,利用者を何らかの方法で認証できなければならない(部屋の入退室管理といった物理的な方法でも可)。
  モバイルPCを含めて機器を設置しようとするものは,(セキュリティ対策を含む)設定作業の完了していない装置をネットワークに接続してはならない。
  機器の管理者は,設置機器の利用者を特定可能でなければならない。
5.3.3 端末の設置時、ネットワーク管理者は以下のことを行う。
・端末で利用可能なソフトウエアを定めるか、または利用不可能なソフトウエアを列挙する。
・本学で扱っている教職員や学生の名簿、給与、成績、アカウント登録情報等個人情報など一般に公表できない情報を取り扱うモバイルPCについては、大学外で使われる際にも、学内で利用される端末と同等の保護手段が有効に機能するように構成し、内蔵記録媒体に保存される情報の暗号化を行う機能を付加する。また、盗難を防止するための措置を定める。
5.3.4 端末の運用時、教職員は以下のことを行う。
・端末での利用を禁止されたソフトウエアを利用してはならない。
・本学で扱っている教職員や学生の名簿、給与、成績、アカウント登録情報等個人情報など一般に公表できない情報を取り扱うモバイルPCについては、盗難防止措置を行い、学外に持ち出す場合に、内臓ファイルに暗号化を行う必要があれば情報を暗号化する。
  5.4 アプリケーションソフトウエア
5.4.1 アプリケーションの導入時において、ネットワーク管理者は、通信回線を介して提供するサービスのセキュリティ維持に関する規定を整備する。
  アプリケーションの運用時において、システム管理者は、その規定に基づいて、日常的及び定期的に運用管理をし、提供されるサービスを私的な目的のために利用しない。
5.4.2 電子メール
・ネットワーク管理者は、電子メールサーバが電子メールの不正な中継を行わないように設定する。
5.4.3 ウェブ
・ネットワーク管理者はウェブサーバを提供する場合、攻撃の糸口になり得る情報を送信しないように情報システムを構築する。暗号化を行う必要性の有る情報を扱う場合は暗号化する。
・ウェブからソフトウエアをダウンロードする場合、その配布元を確認し、不確かなサイトからファイルを持ち込まない。
 
6.評価・見直し
  6.1 ポリシーの運用実態
  最高情報セキュリティ責任者は,ポリシーの運用実態等を把握するため,年度自己点検計画を策定し、委員会及びシステム管理部会に対し,次のような措置を求めなければならない。
 ・部局システム管理責任者は、最高情報セキュリティ責任者が定める年度自己点検計画に基づき、それぞれの職務内容に即した教職員の自己点検票及び自己点検の実施手順を整備し、実施を指示する。
 ・教職員は、部局システム管理責任者から指示された自己点検票及び自己点検の実施手順を用いて自己点検を実施する。
6.1.1 ポリシー運用実態等の把握
  全学システム管理責任者は,システム管理部会を定期的に開催し,収集した情報を分析・整理した上で,委員会に報告しなければならない。
  ・部局システム管理責任者は、教職員による自己点検が行われていることを確認し、その結果を評価する。
  ・最高情報セキュリティ責任者は、部局システム管理責任者による自己点検が行われていることを確認し、その結果を評価する。
  ・教職員は、自らが実施した自己点検の結果に基づき、自己の権限の範囲で改善できると判断したことは改善し、部局システム管理責任者にその旨を報告する。
6.1.2 利用者の意見
  委員会委員は,部局教職員及び学生からポリシー遵守に関する意見を収集し,委員会に報告すべきである。
6.1.3 情報セキュリティ診断
  全学システム管理責任者は,情報システムの機密性,完全性及び可用性ならびに犯罪予防の観点から情報システムに対する情報セキュリティ診断を実施すべきである。その結果をシステム管理部会において情報セキュリティ診断として取りまとめ,委員会に報告しなければならない。
  診断過程で重大なセキュリティの脆弱性が発見された際は,緊急避難措置をとると共に,部局システム管理責任者と各部局のネットワーク管理者にその事実を速やかに連絡しなければならない。
6.1.4 情報セキュリティ監査
  情報セキュリティ監査責任者は、年度情報セキュリティ監査計画を策定し、最高情報セキュリティ責任者の承認をうること。
  ・最高情報セキュリティ責任者は、年度情報セキュリティ監査計画に従って、情報セキュリティ監査責任者に対して、監査の実施を指示すること。
  ・情報セキュリティ監査責任者は,各部局に合わせて個別に定期監査及び必要に応じて抜き打ち検査や年度計画以外の事案の監査を実施し,各部局が法令ならびにポリシー及びこれに関連する規程・基準等を遵守しているか運用実態を把握すべきである。その結果をシステム管理部会において情報セキュリティ監査結果として取りまとめ委員会に報告しなければならない。
  診断及び監査の実施において,外部の専門家に依頼してネットワークのセキュリティ監査を行うべきである。
  ・情報セキュリティ監査責任者が監査の実施を依頼する場合は、被監査部門から独立した者とする。
  ・情報セキュリティ監査を実施する者は、情報セキュリティ監査責任者の指示に基づき、監査実施計画に従って監査を実施し、省庁基準が統一基準に準拠しているか否かを確認し、被監査部門における実際の運用が情報セキュリティ関係規程に準拠しているか否かを確認する。監査調書を作成し、一定期間保存する。
  ・情報セキュリティ監査責任者は、監査調書に基づき監査報告書を作成し、最高情報セキュリティ責任者に提出する。
  ・最高情報セキュリティ責任者は、監査報告書の内容を踏まえ、被監査部門の部局システム管理責任者に対して、指南事案に対する対応の実施を指示し、共通した問題点がある可能性が高く、かつ緊急に確認が必要と判断した場合には他の部門の部局システム管理責任者に対しても、同種の課題及び問題点の有無を確認するように指示する。
  ・部局システム管理責任者は、監査報告書に基づいて最高情報セキュリティ責任者から改善を指示された事案について対応策を作成し、報告する。
6.1.5 情報セキュリティ対策費
  委員会は,情報セキュリティ対策に要した直接的経費を把握すべきである。
  6.2 セキュリティレベル向上策
  最高情報セキュリティ責任者は,ポリシーに添った対策がどの程度実施されているかを評価するとともに,セキュリティレベルの向上に必要な措置を講じるため,委員会を年1回以上召集しなければならない。
6.2.1 ポリシーの更新
  委員会は,6.1の結果に基づき,ポリシーの実効性を少なくても年1回評価し,必要な部分を見直して内容の変更及び実施時期の決定を行い,よりセキュリティレベルの高い,かつ,遵守可能なポリシーに更新しなければならない。
6.2.2 情報セキュリティ計画及び予算案の作成
  委員会は,評価・見直し・監査の結果を踏まえ,次年度の情報セキュリティ計画及び予算案の作成を行わなければならない。
6.2.3 報告義務
  最高情報セキュリティ責任者は,最高意志決定組織に評価・見直し・監査の結果を報告しなければならない。さらにポリシーの遵守を啓発するためにも,その要約を本学の構成員に提示しなければならない。
 
付録1 用語の定義
 
 情報システム等
  ネットワーク機器(ルータ,ファイアウォール,ハブ,ケーブルなど),サーバ,パソコン,基本ソフトウエア,応用ソフトウエア,システム設定情報(パスワードファイル等),記録媒体(MO,FD),システム構成図,持ち込まれたノートパソコンなどの総称。
  情報システムに記録される情報とは,アクセス記録(ログ),文書及び図面等の電磁的記録を指す。
 情報資産
  情報及び情報を管理する仕組み(情報システム並びにシステム開発,運用及び保守のための資料等)の総称である。電磁的に記録された情報すべてを含む。
 情報セキュリティ
  情報資産の機密性,完全性及び可用性を維持することである。
  機密性とは,情報にアクセスすることが認可されたものだけがアクセスできることを確実にすること。
  完全性とは,情報及び処理方法の正確さ及び完全である状態を安全防護すること。
  可用性とは,許可された利用者が,必要なときに情報にアクセスできることを確実にすること。
 情報セキュリティポリシー
  当該大学の情報セキュリティ対策について,当該大学が総合的・体系的かつ具体的にまとめるもので,根本的な考えを示す情報セキュリティ基本方針と,情報セキュリティを確保するために遵守すべき行為及び判断の基準を示す情報セキュリティ対策基準からなる。
 情報セキュリティ実施手順等
  情報セキュリティ対策基準に定められた内容を具体的に情報システムにおいて,どのような手順に従って実行していくのかを示すもの。
 本学の構成員
  本学の教職員,学生及びそれに準ずるもの
 学生
  研究生を含む学生及びそれに準ずるもの
 学内ネットワーク
  本学が管理しているすべてのネットワーク
 対外接続
  学内ネットワークから学外ネットワークへの接続
 サービス
  学内の情報システムを利用するあらゆる情報の送受信,保存,加工など
 非公開情報
  情報の重要性に応じて分類する。
 最高意志決定組織
  戦略企画会議
 個人情報
  個人に関する情報であって個人が識別可能なもの。
 部局
  系・総合教育院・研究所・共同利用教育研究施設・図書館・事務局等の管理組織