本講習会は、迷惑メール、情報漏洩事故、ネットでの誹謗・中傷、情報機器の盗難など、大学の教育研究を脅かす事態が拡大している中で、大学の情報セキュリティを担当する部門として備えておくべき危機管理対策の技術について実習・講義を通じて習得するとともに、セキュリティ対策に必要な政策的な問題や法律を踏まえた対応策について講習等を通じて理解することを目的としている。
今年度は8月5日、6日の2日間にわたり文京学院大学本郷キャンパスで開催し、当協会非加盟の大学・短期大学からも参加を募集し、105名(92大学、3短期大学)の参加があった。
初日午前中は全体会「情報運用管理の安全性を脅かす事例の紹介」として、立命館大学と中部大学より情報セキュリティに対する脅威の具体例について紹介があり、スタッフとして求められる対応について共通理解を持った。午後からは「A:情報システム管理者コース」、「B:情報システム運用支援者コース」の2コースに分かれ、2日目午前中まで実習を行った。各実習内容は以下の通り。
情報システム停止につながるインシデントを管理者として未然に防ぐ防御対策や事故発生時の復旧策の技術を習得するため、学内ネットワークで複数のセキュリティインシデントが発生したという状況を想定してインシデントの技術的な解説を行った後、ログの解析やサーバの設定変更、機能の追加などによる改善策について以下により実習した。
(1)迷惑メール対策
迷惑メール対策として送信ドメイン認証(SPF)やグレイリスティング方式等について実習。
(2)Webアプリケーションの脆弱性対策
SQLインジェクションやクロスサイトスクリプティングといったWebを攻撃する手法や実際の挙動を理解し、対策方法について実習。
(3)不適切な掲示板投稿への対応
利用者の特定や操作履歴の確認、クレームへの対応等について実習。
教育・研究および管理業務の情報システムが安定稼動し安心して利用できるための技術的対策を習得するため、具体的なトラブルや事例を題材に主に教室PCなどクライアント側に絞って、安定運用に必要な基本設定の確認、ログ解析、各種フィルタの設定、暗号化の方法等について解説を行いながら、参加者に1台ずつのPCを用いてトラブル解決やセキュリティ対策を以下の通り実習した。
(1)情報システムの初期トラブルシューティング
サーバやルータあるいはクライアントの基本設定の確認など、トラブル対策について実習。
(2)クライアント・サーバサービスにおけるクライアントの設定
クライアント単独やサーバとの連携によるセキュリティ対策について実習。
(3)コンピュータ上の情報漏えい対策
情報漏えい対策、ノートPCやUSBメモリを安全に持ち歩くための対策、安全な通信路確保など、自分のコンピュータ内の情報をどのように守るかについて実習。
2日目の午後の全体会では、2テーマについて解説を行い、最後に質疑応答を行った。まず一つ目に、「大学情報ネットワークにおける著作権法の留意点」として、教育現場、情報ネットワークという環境上で問題になる点について、特に教育目的として複製が許される範囲の確認、インターネット上でのコンテンツ利用に伴う著作権処理のあり方等について解説した。次に、「情報管理者が知っておきたい情報事故対応と個人情報保護法の知識」として、個人情報保護や違法コピー問題など、情報の適切な利用について理解を深めるため、関連法規の基本的な知識について解説し、特に、大学という教育現場や情報ネットワークという環境に固有の問題を取り上げた。
文責: | 情報セキュリティ研究講習会運営委員会 |