国立大学法人豊橋技術科学大学情報セキュリティインシデント対応チーム要領

トップページに戻る
最上位 > 第4章 総務
国立大学法人豊橋技術科学大学情報セキュリティインシデント対応チーム要領
(平成28年10月18日制定)
(趣旨)
第1条 この要領は,国立大学法人豊橋技術科学大学情報セキュリティポリシー(平成15年11月18日制定)に基づき,最高情報セキュリティ責任者(以下「CISO」という。)の下に設置する情報セキュリティインシデント対応チーム(以下「TUT CSIRT」という。)の組織及び運営に関し,必要な事項を定める。
(目的)
第2条 TUT CSIRTは,国立大学法人豊橋技術科学大学(以下「本学」という。)において発生した情報セキュリティインシデント(以下「インシデント」という。)への初期対応にあたるとともに,再発防止策の立案及び実施並びにその他必要な支援を行うことによりインシデントの拡大及び再発を防止することを目的とする。
(インシデントの定義)
第3条 次に掲げる事象をインシデントとする。
(1)情報システムへの攻撃
イ 情報機器のウィルス(マルウェア)感染
ロ DOS(サービス妨害)攻撃
ハ 不正アクセス
ニ サーバの乗っ取り
ホ Webページ等の外部公開サイトの改ざん
(2)個人情報等の機密情報の漏えい
イ 情報機器の紛失及び盗難
ロ メールの誤送信
ハ システム(アクセス許可)設定の不備
ニ 機密情報の目的外利用
(3)その他本学の情報セキュリティを脅かす可能性が高い事象
(組織)
第4条 TUT CSIRTは,情報メディア基盤センターに置き,次に掲げる者をもって組織する。
(1)情報メディア基盤センター長又は副センター長 1名
(2)情報メディア基盤センターネットワーク部長
(3)情報メディア基盤センターに所属する職員のうちチーム長が指名した者
(4)その他チーム長が必要と認める者
2 TUT CSIRTにチーム長を置き,前項第1号の者をもって充てる。
3 チーム長は,TUT CSIRTを統括する。
4 チーム長に事故があるとき,又はチーム長が欠けたときは,あらかじめチーム長の指名した者がその職務を代行する。
(業務)
第5条 TUT CSIRTは,インシデント対応に係る次に掲げる業務を行う。
(1)インシデントに関する通報受付及び学内の連絡調整に関すること。
(2)障害切り分け及び初期対応に関すること。
(3)被害拡大防止等のための技術的対応に関すること。
(4)発生原因の調査及び再発防止策の立案の支援に関すること。
(5)その他部局等に対する助言及び指導に関すること。
(措置)
第6条 TUT CSIRTは,前条の業務を行う場合,次の各号の措置を当該各号のときに限り実施することができる。
(1)ネットワークの全面停止
   ネットワークにおける被害が全学へ及ぶおそれがあり,かつ,ネットワークの全面停止以外に適切な措置が認められない場合は,CISOの指示に基づき,当該措置を実施する。ただし,対策の遅れが被害の拡大につながるおそれがあり,緊急を要する場合は,チーム長の判断で実施することができる。この場合において,チーム長は,事後にCISOに報告し承認を得るものとする。
(2)ネットワークの一部停止
   ネットワークの一部停止が有効な措置として認められる場合は,その停止箇所を管理する部局システム管理責任者又はネットワーク管理者に連絡した上で当該措置を実施する。ただし,対策の遅れが被害の拡大につながるおそれがあり,緊急を要する場合は,チーム長の判断で実施する。この場合において,チーム長は,事後に部局システム管理責任者及びネットワーク管理者(以下「部局システム管理責任者等」という。)に報告するものとする。
(3)ファイアウォールの操作
   ポート遮断等の設定変更が有効な措置として認められる場合は,設定変更の影響が大きいと判断される関係者に連絡した上で,当該措置を実施する。ただし,対応の遅れが被害の拡大につながるおそれがあり,緊急を要する場合は,チーム長の判断で実施する。この場合において,チーム長は,事後に設定変更の影響を受けたと判断される関係者に報告するものとする。
(4)機器の切り離し
   サーバ,パソコン及びその他ネットワークに接続した機器をネットワークから切り離す必要があると判断した場合には,当該機器の管理者[以下「機器管理者」という。)に切り離しを指示する。ただし,対策の遅れが被害の拡大につながるおそれがあり,緊急を要する場合には,チーム長の判断で実施する。この場合において,チーム長は,事後に機器管理者に報告するものとする。
(5)原因の特定
イ 調査のためのパケット収集
ロ セキュリティイベントの調査及び確認
ハ 不正プログラムの調査
ニ サーバ,パソコン及びその他ネットワークに接続した機器の調査
ホ その他必要な調査
(6)その他インシデント対応に関して必要な措置
(インシデント発生時の対応)
第7条 TUT CSIRTは,インシデントが発生(発生が疑われる場合を含む。)した場合,別紙のフローチャートに従い,次に掲げる手順で対応にあたる。
(1)TUT CSIRTは,インシデント発生に関する通報を受信する。
(2)TUT CSIRTは,前条各号に規定する措置が必要と判断されるときはこれを実施する。
(3)TUT CSIRTは,機器管理者に現状の確認及び原因の特定を指示し,機器管理者は,所属する部局の部局システム管理責任者及びTUT CSIRTへ現状と原因を報告する。ただし,機器管理者のみで原因の特定が困難な場合は,TUT CSIRTと協力してこれを行う。
(4)TUT CSIRTは,影響範囲を特定し,関係者へインシデント発生の事実について連絡する。
(5)TUT CSIRTは,機器管理者及び部局システム管理責任者等は,復旧及び再発防止策を検討し,機器管理者はこれを実施した後,所属する部局の部局システム管理責任者等及びTUT CSIRTへ報告する。
(6)TUT CSIRTは,CISOへ技術的対応の完了について報告する。
(7)当該機器の安全性が,TUT CSIRTにより確認され,CISOが許可した場合,当該機器のネットワークへの接続を許可し,稼働を再開する。
(守秘義務)
第8条 インシデント対応に係る業務に従事した者は,その実施に関して知り得た情報を他に漏らしてはならない。
(雑則)
第9条 この要領に定めるものの他,TUT CSIRTの運営に必要な事項は,別に定める。
 
附 記
 この要領は,平成28年11月1日から実施する。
 
 
images