情報セキュリティ対策の自己点検・評価について

自己点検・評価システムへのログインはこちらから

１．情報セキュリティ点検システムの開発の趣旨

　大学は、教育・研究活動の持続的発展を支える基盤として、大学の情報資産を適切に管理し、情報の創造・発信拠点として、社会的責任を遂行する重要な責務を担っています。大学にとって、情報資産が持つ価値を認識し、適切に活用することが、教育・研究活動の成否を決することになります。

　本協会としては、私立大学に情報セキュリティの重要性を理解いただくため、平成１５年に「提言：私立大学向けネットワ－クセキュリティポリシー」のモデルを紹介しました。また、情報の適正管理を推進するため、毎年、大学の責任者および関係者を対象に「情報の運用管理政策」､「情報管理の点検・評価」､「ネットワ－クのセキュリティ技術」の政策や技術について、調査研究及び技術講習を展開してきました。

　しかしながら、本協会の調査によれば情報セキュリティポリシーを策定・運用している加盟校は２０年度で３割に留っており、情報資産の把握、危機管理対策への認識や取り組みが遅れていることが判明しています。情報セキュリティのインシデントは日々発生しています。例えば、個人情報の流出は、パソコン等の盗難、ＵＳＢメモリの紛失、不正アクセスによる情報の持ち出し、外部公開サ－バ－の設定ミスなど、その原因組織的な対応から個人的対応までは様々です。ひとたび事故や事件が起きますと、大学の運営そのものに大きな支障を及ぼす可能性が高いことから、大学としての情報管理への対応が社会的に問われる事態となっています。

　そこで、本協会としては、大学としての責任を明確化し、取り組み状況を体系的に把握した上で弱点の発見と改善を期すため、当面、必要と思われる情報セキュリティの自己点検・評価のチェックリストを作成しました。また、情報管理の責任者が適切な取り組みに入れますように、項目ごとに「内容の説明や重要性」､「取り組むべき対策」､「参考事例」を掲載しました。チェックリストの点検を通じて大学での情報セキュリティに関するガバナンスの確立につながることを期待しています。なお、ここに提示しました自己点検のチェックリストは、本協会における長年に亘ります研究と大学情報セキュリティ研究講習会での大学人及び関係企業、関係機関における関係者の知見を踏まえて作成したものです。今後、情報通信技術の進歩発展に伴い、大学としての情報管理の政策・運用・技術の見直しが一層進められるようになります。本協会としても、この点検システムを契機に大学間で体験情報の交流・共有をより深めまして、安心・安全な情報セキュリティ構築に向け支援してまいりますので、システム掲載の内容についてお気づきの点がありましたら情報提供、意見等をお寄せ願います。

２．情報セキュリティ対策チェックリストの視点

　チェックリストは、情報資産の把握、組織的対応、人的対応及び技術的対応の面から、以下のように整理しました。

（１）情報資産の把握

情報セキュリティ対策では、その対象となる情報資産について把握することが重要です。大学が保有する情報資産の明確化と、その重要度が正しく認識されていることが必要です。情報資産が正しく把握できていないと、実際の情報セキュリティ対策を検討していく上で、リスク分析の対象範囲を絞り込むことができず、適切な対策が取れなくなることから、情報資産の把握について「目録作成」、「重要度」、「管理・運用」、「リスク分析・対応」をチェックポイントとして設定しました。

　情報資産とは、組織が保有するすべての情報（形態を問わず、紙媒体も含めたすべての情報）を対象とします。

　情報資産の把握は、大学内の文書や書類を整理・分類し、情報の管理者、作成者、保存方法、情報の公開対象、重要度等を洗い出し、情報資産目録として整理します。その次の段階として、情報資産に対する脅威（リスク）を想定し、評価するリスク分析が必要です。この結果から、どのようなセキュリティ対策をとる必要があるかを選択することになります。

　なお、それらを保存・蓄積するためのハードウェアや処理のためのソフトウェアも情報資産として把握する必要があります。

（２）組織的対応

　インシデントが発生しないと真剣に取り組まないのが通例です。しかし、障害が発生した時には被害の大小を問わず大学としての責任体制が大きく問われることになります。大学の財産は教育・研究であり、それらは情報として格納されています。大学は常に障害時に備えて、大学の対応力に応じた組織的な取り組みを構築しなければなりません。

　そのようなことから、大学ガバナンスとしての取り組みとして教職員、学生の視点から「組織的な対応」をチェックポイントとして設定しました。点検は、「体制」と「規程」を中心に考えました。

組織としての対応、個人としての対応がありますが、これを実効あるものにするためには、セキュリティの問題を意思決定をはじめ、企画・実行・評価(監査)・改善の組織的な仕組みを構築しておくことが望まれます。その上で、大学構成員一人ひとりが問題意識を持って取り扱うことができるよう、共通理解を形成できるように申し合わせおよび規程などの整備、周知徹底などが必要です。

（３）人的対応

組織を動かすのは人です。人に対する情報セキュリティの点検は不可欠です。教員、職員、学生、その他の構成員へのセキュリティ教育、機密保持義務、情報の取り扱い、ネットワークの利用、情報機器の管理についての対応と責任について明らかにし、実現ができるようにすることが重要です。そのようなことから、規程の裏づけとして、個人の行動面での取り組みを「人的対応」としてチェックポイントを設定しました。

　「人的」の範囲は、教職員、学生のほかに、請負業者及び非常勤、臨時職員を含む構成員とします。

個人の行動取り組み以前の問題として、セキュリティに対する問題意識を職務責任の中で明確にしておくことが基本です。その上で、セキュリティ教育、誓約書の提出、契約書の締結、法令・規程の遵守、機密保持の徹底、情報資産の管理、事故対応・報告義務等の点検が整備されていることが望まれます。

（４）技術的・物理的対応

技術的・物理的対応は、紙媒体から電子情報まで全ての情報資産を対象とするべきですが、ここでは、コンピュータ・ネットワークを使用した電子情報の範囲に限定する。情報資産の入れ物としてのコンピュータや伝送路としてのネットワーク、情報資産の表現形式や処理の形態を決定するものとしてのソフトウェア、そして、一番重要な要素としてのデータ、これらすべての安全性を検証するため、「技術的・物理的対応」としてチェックポイントを設定しました。

技術的・物理的対応は、組織・体制、規程、構成員の意識等で対応できない部分を技術的に補完するための取り組み全てを取り上げることにしました。以下に掲げる取り組みを網羅的に対応するには、大学の対応能力によって異なる。したがって、各大学は守るべき情報資産の重要度に即して、最小限守るべき情報資産から技術的な取り組みを考えることが適切と思われます。技術的な取り組みの主な例を取り上げると、目的別には、ウィルス対策、ユーザ認証、バックアップ、サーバ・ネットワークの安全運用、不正侵入防止対策、暗号化・シンクライアント化、情報資産の入手・廃棄履歴の管理等が挙げられます。これらの目的を達成するためには、LAN、サーバ等の要素に基づいて点検することが効率的です。本協会では、点検項目の具体的な設定に当たってIPA(情報処理推進機構)等のガイドラインを参考としました。