特集　情報セキュリティ

大学情報セキュリティベンチマークリストの評価結果

平成28年度実施

以下の表は回答した全大学の集計結果である

第１部　経営執行部の情報セキュリティに対する取組み

問１　サイバー攻撃による情報資産、金融資産の窃取・漏洩・破壊など情報管理やシステム運用に関する脅威となる事象について、担当役員もしくはそれに準ずる法人・大学執行部メンバーが統括責任者としてリーダーシップを発揮し、危機意識の共有化に努めていますか。

• ①　経営執行部が中心となり、全学組織を対象に危機意識の共有化に努めている。
• ②　経営執行部の方針により、学部単位など部門の管理責任者を通じて危機意識の共有化に努めている。
• ③　経営執行部の方針により、情報センター等部門を通じて危機意識の共有化に努めている。
• ④　経営執行部による危機意識の共有化はしていないが、現在、検討している。
• ⑤　経営執行部による危機意識の共有化はしていない。

問２　経営執行部の方針により、情報セキュリティポリシーや情報セキュリティ管理に関する規程など学内ルールを策定し、周知徹底に努めていますか。

• ①　経営執行部の方針により、学内ルールの策定とその周知徹底を行っている。
• ②　経営執行部の方針により、学内ルールの策定を行っているが、周知徹底はできていない。
• ③　経営執行部ではなく情報センター等部門により、学内ルールを策定し、その周知徹底を行っている。
• ④　経営執行部ではなく情報センター等部門により、学内ルールを策定しているが、周知徹底はできていない。
• ⑤　学内ルールの策定とその周知徹底を検討している。
• ⑥　学内ルールの策定はしていない。

問３　サイバー攻撃に対する防御体制について、経営執行部により何らかの対策を構築していますか。

• ①　経営執行部が中心となり、全学組織を対象に防御体制を構築している。
• ②　経営執行部の方針により、学部単位など部門の管理責任者を通じて防御体制を構築している。
• ③　経営執行部の方針により、情報センター等部門を通じて防御体制を構築している。
• ④　経営執行部として防御体制を構築していないが、現在、検討している。
• ⑤　経営執行部として防御体制を構築していない。

問４　今年度、貴大学のICT予算（物件費に限定）の中で、セキュリティ対策に充当している費用の割合。

• ①　予算化はしていない。
• ②　３％以下
• ③　４％〜６％
• ④　７％〜９％
• ⑤　10％以上

問５　問４のセキュリティ対策費の中で、費用をかけている内容。（複数回答）

第２部　重要な情報資産の把握と管理対策について

問１　重要な情報資産（金融資産情報を含む）の目録作成を実施。

• ①　実施しており、毎年見直しを行っている。
• ②　実施しているが、定期的な見直しは行っていない。
• ③　検討している。
• ④　実施していない。

問２　重要な情報資産に対するアクセス制御及びリスク評価を行っていますか。

• ①　重要な情報資産に対するアクセス制御及びリスク評価を行っている。
• ②　重要な情報資産に対するアクセス制御を行っている。
• ③　重要な情報資産に対するリスク評価を行っている。
• ④　検討している。
• ⑤　実施していない。

問３　個人データや機密情報など重要な情報資産の管理について、入手から保管、消去・破棄に関わる責任者・扱者、取扱手順、処理の履歴・点検などが定められていますか。

• ①　責任者・取扱者、取扱手順、処理の履歴・点検を定め、定期的に確認をしている。
• ②　責任者・取扱者、取扱手順、処理の履歴・点検を定めているが、定期的な確認はしていない。
• ③　検討している。
• ④　定めていない。

第３部　組織的・人的な対応について

問１　情報セキュリティに関する意思決定、脅威となる事象に対応する組織が設置されていますか。

• ①　経営執行部として統括責任者を置き、情報セキュリティに関する専門の検討組織を設置し、実施組織として情報センター等部門を設置している。
• ②　統括責任者は置いていないが、情報セキュリティに関する専門の検討組織を設置し、実施組織として情報センター等部門を設置している。
• ③　情報センター等部門を中心に対応している。
• ④　情報センター等部門ではなく、情報セキュリティなどの検討委員会で対応している。
• ⑤　組織の設置を検討している。
• ⑥　組織の設置はしていないが、外部業者に委託している。
• ⑦　組織の設置は考えていない。

問２　教職員（非常勤・派遣を含む）の採用・退職に際して、守秘義務を書面で明確にしていますか。また、情報セキュリティポリシーに違反した場合の罰則が規定されていますか。

• ①　守秘義務の内容を書面で明確にしている。また、違反した場合の罰則を規定している。
• ②　守秘義務の内容を書面で明確にしているが、罰則規定は設けていない。
• ③　守秘義務を書面で明確にしていないが、就業中の罰則で規定している。
• ④　書面での明確化と罰則規定のいずれも対応していない。
• ⑤　その他

【⑤その他への回答内容】

• メールによる不定期の情報提供
• 就業規則で守秘義務を規定しているが違反した場合の罰則は規定していない
• 専任教職員、派遣社員と取り交わす労働契約書
• 全教職員ではないが、書面で明確化と罰則規定を対応済
• 採用時のみ対応し、退職時は特に無し

問３　脅威となる事象の学内連絡体制及び処理の責任体制は確立されていますか。また、対応手順は整備されていますか。

• ①　脅威となる事象の学内連絡体制及び処理の責任体制を確立し、対応手順も整備している。
• ②　学内の連絡体制と責任体制を確立しているが、対応手順は整備していない。
• ③　学内の連絡体制を確立しているが、責任体制の確立と対応手順の整備はできていない。
• ④　学内の連絡体制及び責任体制の確立と対応手順の整備はできていない。

問４　情報セキュリティに関する業務委託を外部組織と契約する際に、情報漏洩や情報消失・破壊など障害対応について責任の所在を明確にし、外部組織による定期的な点検・大学による点検の監視など障害を予防するための取り決めをしていますか。

• ①　障害対応の取扱いについて契約書の中で、外部組織及び大学による定期的な点検・監視について取り決めをしている。
• ②　障害対応の取扱いについて契約書の中で、外部組織による定期的な点検に留めている。
• ③　障害対応の取扱いについて契約書で取り決めていない。

問５　経営執行部または部門単位で実施している危機意識の共有化、学内ルールの周知徹底・遵守の確認、攻撃に対する防御対策の内容について選択してください。（複数回答可）

（１）危機意識の共有化

（２）学内ルールの周知徹底と遵守の確認

（３）攻撃に対する防御対策

第４部　技術的・物理的対策について

問１　ファイアウォールを導入し、ポリシーに基づきログ管理や通信を定期的に点検していますか。

• ①　システムログを取得・解析し、通信を定期的に点検している。
• ②　システムログの取得のみで解析していない。
• ③　システムログの取得はしていない。

問２　侵入検知システムなどを導入し、不正通信や不正プログラムを監視する対策を行っていますか。

• ①　侵入検知システムなどを導入し、定期的に通信の監視を行っている。
• ②　侵入検知システムなどを導入し、通信の監視を行っている。
• ③　侵入検知システムなどの導入を検討している。
• ④　侵入検知システムなどは導入していない。

問３　重要な情報資産についてUSBメモリ・ノートPCなどの持ち出し・持ち込みの禁止と制限。（複数回答）

• ①　USBメモリの使用を禁止している。
• ②　ノートPCの持ち出し・持ち込みを禁止している。
• ③　ノートPCの持ち出しは原則禁止しているが、暗号化で保護する場合のみ許可している。
• ④　外部クラウドサービス利用の制限を行っている。
• ⑤　持ち出し・持ち込みの制限を検討している。
• ⑥　持ち出し・持ち込みの制限はしていない。

問４　利用者IDの管理として、利用者の識別と認証を行っていますか。（複数回答）

• ①　共用IDの利用対象・範囲を定期的に見直している。
• ②　パスワードの更新を定期的に呼びかけている。
• ③　誕生日など推測しやすいパスワードを設定しないよう登録画面で注意喚起している。
• ④　ワンタイムパスワードの利用を呼びかけている。
• ⑤　その他

【⑤その他への回答内容】

• 初期パスワードからの変更呼びかけ、共通IDは認めていない、２段階認証の導入、強制的に推測できないパスワード配布、ICカード認証の導入など

問５　情報システムやコンテンツへのアクセス制限を行っていますか。

• ①　全学的にアクセス制限を行っている。
• ②　一部の部門（職員組織、学部、学科など）でアクセス制限を行っている。
• ③　アクセス制限を検討している。
• ④　アクセス制限は行っていない。

問６　リスクを軽減するため、ネットワークの分離を行っていますか。

• ①　全学的にVLAN（仮想的なネットワーク）などでネットワークを分離している。
• ②　事務部門など一部のネットワークをVLANなどで分離している。
• ③　VLANなどでネットワークの分離を検討している。
• ④　その他のネットワーク分離対策
• ⑤　ネットワークの分離はしていない。

問７　外部に公開しているサーバのぜい弱性対策を行っていますか。

• ①　ぜい弱性に対して最新の修正プログラムを用いて対応している。
• ②　最新の修正プログラムを適用するまでの間、当面の対応としてぜい弱性を狙った攻撃を回避するソフトウェアもしくはハードウェアを導入して対応している。
• ③　ぜい弱性対策を検討している。
• ④　ぜい弱性対策はしていない。

問８　重要な情報資産をバックアップしていますか。また、システム障害等を想定し、必要最低限の業務ができる備えをしていますか。（複数回答）

【⑨その他への回答内容】

• 耐火金庫に保管
• 外部倉庫に保管
• 水害を想定として上層階へのデータバックアップシステムを導入
• データセンターに保管
• 個人ユーザバックアップの推進

回答大学の情報

• 過去に教育・研究・経営活動に直接影響を与えるような脅威となる事象の有無を選択してください。

• 過去に教育・研究・経営活動に直接影響を与えるような脅威となる事象の有無を選択してください。

【⑧その他への回答内容】

• PC盗難、学内情報の入ったUSBメモリ紛失
• 情報共有ソフトによる情報漏洩
• 攻撃により教育系サーバが断続的に停止
• 添付メールによるウィルス侵入
• Webサーバへの不正アクセス（改ざんは無し）
• ランサムウェアによるファイルサーバのデータ暗号化
• ウイルス侵入によるネットワーク障害
• 教員のメールアカウント乗っ取り
• 共有ファイルがウィルス感染
• SPAMメール大量送信によるメール受信拒否