大学教職員の職能開発

大学情報セキュリティ研究講習会 報告


 本講習会は、大学等における情報セキュリティの危機管理能力の強化を推進するため、情報担当部門の関係教職員を対象に、情報の管理ならびに運用対策の専門知識および情報の管理技術の普及を開催趣旨とし、8月4日、5日の2日間にわたり工学院大学新宿キャンパスで開催した。当協会非加盟の大学・短期大学からも参加を募集し、113名(90大学、7短期大学)の参加があった。
 今年度の講習会では、「事故前提社会への対応」という視点から、情報セキュリティの事故発生後の対応に関する内容を含めたことと、「情報セキュリティ対策チェックリスト」(社団法人私立大学情報教育協会)を利用して参加者の所属大学等の自己点検を基に議論を展開したことが新しい点である。講習会は大きく、講演(全体会)と二つのコース(情報セキュリティインシデント対応コース、情報セキュリティマネージメントコース)で構成されている。


全体会

 1日目の全体会では、まず、本研究講習会運営委員長から、「(1)第2次情報セキュリティ基本計画(内閣官房情報セキュリティセンター(NISC))」、「(2)情報セキュリティ対策チェックリストの概要」について説明があった。

1) 第2次情報セキュリティ基本計画は、2009年度から2011年度までの3年間を対象とし、第1次情報セキュリティ基本計画(2006年度〜2008年度)からの継続と発展を企図したものである。詳しくはNISCのWebページ(http://www.nisc.go.jp/active/kihon/index.html)を参照されたい。この中で「事故前提社会」という考え方が紹介されている。これは「可能な限り情報セキュリティの事故の発生を防ぐ」という基本的な取り組みに加え、「リスクが現実となった際に、より実際的な対応をとれるような視点」を組み入れることを意味し、情報セキュリティの確保と利便性とのバランスの観点に立った取り組みにつながるものである。
2) 情報セキュリティ対策チェックリストは本協会で検討しているものであるが、大筋の骨格がまとまったため今回の講習会で利用することにした。(http://www.juce.jp/sec2009/list.html)本協会ではかねてからセキュリティポリシーの必要性を啓発してきたが、「セキュリティポリシーを作成し、対策を実施している」大学は26%に留まっているという現状(平成20年度私立大学情報環境基本調査(中間集計結果))を受けて、各大学が情報セキュリティに対してガバナンス機能を発揮し、組織的に対策を講じることが喫緊の課題と判断し、大学の情報セキュリティに関する自己点検・自己評価を支援することを狙いとしている。チェックリストは、「情報資産の把握」、「組織的対応」、「人的対応」および「技術的・物理的対応」の四つのカテゴリーに分類された80余りの質問項目からなっている。

 全体会では、この後、小林偉昭氏(独立行政法人情報処理推進機構(IPA)セキュリティセンター情報セキュリティ技術ラボラトリー長)から「大学における最新の情報セキュリティ脅威事例」について講演いただいた。IPAセキュリティセンターでの様々な取り組みの一つとして実施している「情報セキュリティ早期警戒パートナーシップ(脆弱性関連情報の届出制度)」に寄せられた情報の分析結果が報告された。それによると、直近1年間の届出が急増している、2008年8月以降、DNSキャッシュポイズンの届出が多く占めている、大学(関係組織を含む)への届出が増加している(累計168件)。また、大学におけるセキュリティインシデントの事例について詳細な説明がされた。IPAでは2008年に届けられたウイルス・不正アクセス・脆弱性に関する情報や、一般に公開された情報を基に検討を重ね、社会的影響の大きさから情報セキュリティ上の「10大脅威」を選考し公開している(http://www.ipa.go.jp/security/vuln/10threats2009.html)。それによると、「DNSキャッシュポイズニング」、「巧妙化する標的型攻撃」、「恒常化する情報漏洩」、「減らないスパムメール」が上位を占めている。これらの詳細と対策ならびにIPAとしての取り組みについて説明があった。全体会の後、参加者は二つのコースに分かれて2日間にわたって実習やディスカッションを行った。


情報セキュリティインシデント対応コース

 このコースはコンピュータを使った実習を中心としたもので、「事故前提社会」というキーワードに注目し、本年度は「大学でセキュリティインシデントが発生した」という想定で、運用面での対応と被害状況調査、また技術面での対策という複数の側面から以下のような実習を行った。

1.監視システムの整備
 正確で信頼できるログを蓄積するためには、コンピュータシステムの時刻同期とログの適正な設定および安全な保管が前提となるため、NTPサービスの設定およびsyslogサービスの設定について実習を行った。

2.インシデント調査と対応
 大学を装ったフィッシングメールが学生宛てに届き、数名の学生がIDとパスワードを詐取され、学内のメールシステムや学習支援システムへの不正アクセスを受けたという状況を想定して実習を行った。窓口対応、緊急対応や組織体制について触れた後、被害状況調査の技術的なアプローチ、更には外部調査機関や警察への捜査依頼の際の留意点を扱った。

3.フィッシング詐欺とDNSキャッシュポイズニング
 フィッシング詐欺で使われている技法の内でもURLの秘匿を主眼に、クロスサイトスクリプティング脆弱性の悪用とDNSキャッシュポイズニングについて、講義とデモで理解を深めた。

4.DNSSEC 〜DNS SECurity extensions〜
 DNSの脆弱性を本質的に解決するためには、DNSゾーン情報の信頼性のチェックを行う仕組みが必須となる。そこで、今後の大学サイト運営のヒントとなるよう、DNSSECの導入を実習した。


情報セキュリティマネジメントコース

 本コース受講者に対しては、事前課題として「情報セキュリティ対策チェックリスト」への回答を求めており、それらの回答結果(http://www.juce.jp/sec2009/reports.html)をもとに、大学等の情報セキュリティの現状と課題ならびに対応策に関して検討を行った。また、賛助企業(日本電気(株)、(株)日立製作所)の協力により、情報セキュリティ対策の自己評価・効果測定に関する事例を紹介していただいた。
 はじめに、受講者の情報セキュリティの基礎知識を揃えるために、1)情報セキュリティの定義、2)情報セキュリティの三大要素、3)情報資産の定義、4)リスクの評価と対応、5)情報セキュリティ対策の分類、6)情報セキュリティポリシー、7)情報セキュリティマネジメントプロセス、に関する講義を行い、併せて、情報セキュリティ対策チェックリストの作成趣旨と対策チェックの視点(情報資産の把握、組織的対応、人的対応、技術的・物理的対応)について説明された。
 その後、グループに分かれて、事前課題としていたチェックリストの回答結果を踏まえて受講者間でディスカッションを行い、情報セキュリティ対策についての必要性、効果的な手法、対策の効果等について検討した。参加者の大学等での対策状況について組織的な対応がどの程度のレベルで行われているか、方針やルールがどの程度定まっているかについて調査させたことにより、大学での情報セキュリティ対応状況を把握することができた。グループディスカッションでは、「これまで曖昧であった情報の取り扱いについて、最低限満たしておくべき基準を設けるなど、明文化することが重要である」、「情報セキュリティ対策の年次目標を明確にし、段階的に対応していくことが求められる」、「情報セキュリティ対策は大学の信頼性を証明する指標の一つとなっており、同時に将来の社会人である学生に対するセキュリティ教育でもあり社会的責任を負っていることを自覚するべきである」などの意見が見られ、参加者の意識の高まりが確認された。
  なお、本コースのディスカッションでの検討結果は、2日目の全体会において全受講者に紹介された。

 本講習会を終えて、情報セキュリティ対策チェックリストの活用について、参加者レベルでは理解が進んだものの、大学のガバナンスの下で活用するためには、各大学の情報管理の責任者が曖昧であるという状況が障害となっているなどの課題も見えてきた。


【目次へ戻る】 【バックナンバー 一覧へ戻る】