特集 情報セキュリティ

情報セキュリティベンチマーク評価結果から
見た課題

浜 正樹(文京学院大学教授 本協会大学情報セキュリティ研究講習会運営委員長)

1.はじめに

 本協会では、2016年度より「情報セキュリティベンチマーク」として、加盟校の情報セキュリティ対策状況を調査しています。回答校数は、2018年度は対前年比15%増加(119校→138校)です。特に、中小規模校が増加しています。情報セキュリティ問題意識が高まり、実際の施策の検討へ進んでいると期待されます。全回答大学の平均点は51点です。規模別の平均点は、大規模大学62点、中規模大学57点、中小規模大学50点、単科大学46点となっています。本稿では、このベンチマーク結果から抜粋して課題を説明します。なお、下記に報告する各設問の回答校数は特記しない限り138校です。

2.経営執行部の情報セキュリティに対する取り組み

 第一部「経営執行部の情報セキュリティに対する取り組み」の問1では、危機意識の共有化を行っている部門について聞いています。図1がその結果です。

図1 危機意識の共有化部門

 60%近くが情報センター中心です。後程触れますが、経営執行部への危機意識の訴求が優先課題です。
 問2では、経営執行部が情報セキュリティポリシーや規程の策定と周知徹底を行っているか聞いています。この設問では、2017年度と同様に大規模校の方が対応が進んでいます。同ベンチマークで聞いた改善課題の優先度では、この項目が1位で26%の回答校が選択しています。実際、情報センターとして策定した内規はあるものの、なかなか学内で周知して規程にできないといった声がよく挙がります。成功例としては、文書規程等の他の規程策定に上手く含めていったケースが報告されています。
 問4では、ICT予算の中でのセキュリティ対策費用の割合を聞いています。45%以上の回答校で、予算の3%以下であると回答がありました。私情協では、10%を目指すよう薦めています。予算用途としては、ウイルス対策ソフト・サービス、ファイアウォール、VLAN機器が上位を占めていますが、侵入検知システム、暗号化対策、セキュリティ監視サービスが次に検討されるべき項目です。

3.組織的・人的な対応について

 第三部「組織的・人的な対応について」の問1では、セキュリティ対策組織の有無について聞いています。図2にその結果を示します。

図2 セキュリティ対応組織

 統括責任者・検討組織・情報センターが揃っているか、もしくは情報センターが中心か、という大きく2つに分かれている傾向が見て取れます。理想的に3つが揃っている回答校の規模別比率では、大規模・中規模校で45%、中小規模校で37%、小規模校で22%です。問2では、教職員の守秘義務の明確化と情報セキュリティポリシー違反の罰則規定について聞いています。実現が難しい要件と思われます。実際に、情報セキュリティという観点での罰則規定まで設けている大学は回答校の25%に過ぎません。実現方法としては、セキュリティポリシー内で「学則や職務規定に則り処罰する」と記載している大学の事例が参考になります。問3では、脅威事象の学内連絡体制及び処理の責任体制の確立と対応手順の整備について聞いています。回答の集計結果は図3の通りです。

図3 脅威事象への学内連絡・処理・対応

 上記の設問の回答を大学の規模別集計を下記の図4に示します。

図4 脅威事象への学内連絡・処理・対応(大学規模別)

 大規模校の方が責任体制は確立しています。一方で、対応手順については、全般的に未着手であることが分かります。このベンチマークでも優先したい改善項目として対応手順の策定が3位(9%)です。
 USBメディアによるデータ流出や不正アクセスといったインシデントごとに、毎年少しずつ対応手順を策定することが現実的と思われます。

4.情報セキュリティを守る現場が考える次の施策

 本協会では、大学情報セキュリティ研究講習会を開催しています。今年度は、本ベンチマークの結果も踏まえて、大学の情報セキュリティ課題についてディスカッションしました。その成果物として、アクションプランを立てて貰いました。回答の一部のみですが、下の表1のような順位になっています。

表1 施策項目の選択数

 対応手順策定に進みたいが、学内の啓発が優先という状況が見て取れます。
 しかし、実は、重要な作業が下位に挙がっています。第二部の問1で設定した重要な情報資産の目録作成です。回答の集計結果は、図5の通りです。

図5 重要情報資産の目録作成状況

 「検討している」と「実施していない」を合わせると60%以上となります。2017年度から改善が見られていない点が懸念されます。ただし、目録作成にも注意点があります。実際に、毎月1回の頻度で目録の棚卸をされている大学の事例もありますが、大きな労力がかかってしまっているとのことでした。未着手の場合は、情報資産の種類や漏洩事故発生時の対応(どこに届けるか?誰の名前で公表するか?など)について決めておくだけでも違います。

5.情報セキュリティ責任者(CISO)の果たす役割

 さて、ここまでベンチマーク結果を踏まえて、私立大学のセキュリティに対する状況や現場で考える次に対応すべき施策などについても紹介してきました。
 しかし、これらを実行に移していくには、やはり年次計画やロードマップを作成していかなければ、経営執行部を説得できないものです。
 そのためには、セキュリティ関係の仕事の全体像を捉えていかなければなりません。大学のCISOは、体系的にその業務が整理されているわけではありません。一方で、一般企業ではCISOの役割が明確になっています。そこで、1つの例ですが、経済産業省とIPAが作成したCISOが指示するべき項目を大学に読み替えた例が下記の表2です。

表2 大学のCISOが果たすべき役割

 4.であげた次の施策の位置付けを確認するために該当項目に色をつけると下記の表3になります。
 こういった表を参考に、何年目に、どの施策を実施していくかという考え方で進めれば、分かりやすい説明が可能になっていくと思われますので、活用をご活用下さい。

表3 大学のCISOが果たすべき役割

【目次へ戻る】 【バックナンバー 一覧へ戻る】