情報セキュリティポリシー 情報セキュリティ対策基準 第8章~第14章
目次
- 第8章 情報システムのセキュリティ機能
第1節 主体認証機能
第2節 アクセス制御機能
第3節 権限の管理
第4節 ログの取得・管理
第5節 通信の監視・利用記録
第6節 暗号・電子署名 - 第9章 情報システムの脅威への対策
第1節 ソフトウェアに関する脆弱性対策
第2節 不正プログラム対策
第3節 サービス不能攻撃対策
第4節 標的型攻撃対策 - 第10章 アプリケーション・コンテンツの作成・提供
第1節 アプリケーション・コンテンツ作成時の対策
第2節 アプリケーション・コンテンツ提供時の対策 - 第11章 端末・サーバ装置等
第1節 端末
第2節 サーバ装置
第3節 複合機・特定用途機器 - 第12章 電子メール・ウェブ等
第1節 電子メール
第2節 ウェブ
第3節 ドメインネームシステム(DNS)
第4節 データベース - 第13章 通信回線
第1節 通信回線 - 第14章 情報システムの利用
第8章 情報システムのセキュリティ機能
第1節 主体認証機能
2101-54 (主体認証機能の導入)
第54条 個別情報システム責任者は、情報システムや情報へのアクセスを管理するため、主体を特定し、それが正当な主体であることを検証する必要がある場合、主体の識別及び主体認証を行う機能を設けなければならない。
2 個別情報システム責任者は、学内及び外部機関との間の申請、届出等のオンライン手続を提供する情報システムを構築する場合は、オンライン手続におけるリスクを評価した上で、主体認証に係る要件を策定しなければならない。
3 個別情報システム責任者は、主体認証を行う情報システムにおいて、主体認証情報の漏えい等による不正行為を防止するための措置及び不正な主体認証の試行に対抗するための措置を講じなければならない。
2101-55 (識別コード及び主体認証情報の管理)
第55条 個別情報システム責任者は、情報システムにアクセスする全ての主体に対して、識別コード及び主体認証情報を適切に付与し、管理するための措置を講じなければならない。
2 個別情報システム責任者は、主体が情報システムを利用する必要がなくなった場合は、当該主体の識別コード及び主体認証情報の不正な利用を防止するための措置を速やかに講じなければならない。
第2節 アクセス制御機能
2101-56 (アクセス制御機能の導入)
第56条 個別情報システム責任者は、情報システムの特性、情報システムが取り扱う情報の格付及び取扱制限等に従い、権限を有する者のみがアクセス制御の設定等を行うことができる機能を設けなければならない。
2 個別情報システム責任者は、情報システム及び情報へのアクセスを許可する主体が確実に制限されるように、アクセス制御機能を適切に運用しなければならない。
第3節 権限の管理
2101-57 (権限の管理)
第57条 個別情報システム責任者は、主体から対象に対するアクセスの権限を適切に設定するよう、措置を講じなければならない。
2 個別情報システム責任者は、管理者権限の特権を持つ主体の識別コード及び主体認証情報が、悪意ある第三者等によって窃取された際の被害を最小化するための措置及び、内部からの不正操作や誤操作を防止するための措置を講じなければならない。
第4節 ログの取得・管理
2101-58 (ログの取得・管理)
第58条 個別情報システム責任者は、情報システムにおいて、情報システムが正しく利用されていることの検証及び不正侵入、不正操作等がなされていないことの検証を行うために必要なログを取得しなければならない。
2 個別情報システム責任者は、情報システムにおいて、その特性に応じてログを取得する目的を設定した上で、ログを取得する対象の機器等、ログとして取得する情報項目、ログの保存期間、要保護情報の観点でのログ情報の取扱方法、及びログが取得できなくなった場合の対処方法等について定め、適切にログを管理しなければならない。
3 個別情報システム責任者は、情報システムにおいて、取得したログを定期的に点検又は分析する機能を設け、悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。
第5節 通信の監視・利用記録
2101-59 (通信の監視)
第59条 情報システムを運用・管理する者及び利用者等は、ネットワークを通じて行われる通信を傍受してはならない。ただし、統括情報セキュリティ責任者又は当該ネットワークを管理する部局情報セキュリティ責任者は、セキュリティ確保のため、あらかじめ指定した者に、ネットワークを通じて行われる通信の監視(以下「監視」という。)を行わせることができる。
2 統括情報セキュリティ責任者又は部局情報セキュリティ責任者は、監視の範囲をあらかじめ具体的に定めておかなければならない。ただし、不正アクセス行為又はこれに類する重大なセキュリティ侵害に対処するために特に必要と認められる場合、統括情報セキュリティ責任者又は部局情報セキュリティ責任者は、セキュリティ侵害の緊急性、内容及び程度に応じて、対処のために不可欠と認められる情報について、監視を行うよう命ずることができる。
3 監視を行う者は、監視によって知った通信の内容又は個人情報を、他の者に伝達してはならない。ただし、前項ただし書きに定める情報については、CISO、統括情報セキュリティ責任者及び部局情報セキュリティ責任者に伝達することができる。
4 監視によって採取された記録(以下「監視記録」という。)は要機密情報、要保全情報、要安定情報とし、監視を行わせる者を情報の作成者とする。
5 監視を行わせる者は、監視を行う者に対して、監視記録を保存する期間をあらかじめ指示するものとする。監視を行う者は、指示された期間を経過した監視記録を直ちに破棄しなければならない。ただし、監視記録から個人情報に係る部分を削除して、ネットワーク運用・管理のための資料とすることができる。資料は、体系的に整理し、常に活用できるよう保存することが望ましい。
6 監視を行う者及び監視記録の伝達を受けた者は、ネットワーク運用・管理のために必要な限りで、これを閲覧し、かつ、保存することができる。監視記録を不必要に閲覧してはならない。不必要となった監視記録は、直ちに破棄しなければならない。監視記録の内容を、法令に基づく場合等を除き、他の者に伝達してはならない。
2101-60 (利用記録)
第60条 複数の者が利用する情報機器を管理する個別情報システム担当者(以下「当該情報機器の管理者」という。)は、当該機器に係る利用記録(以下「利用記録」という。)をあらかじめ定めた目的の範囲でのみ取得することができる。当該目的との関連で必要性の認められない利用記録を取得することはできない。
2 前項に規定する目的は、法令の遵守、情報セキュリティの確保、課金その他当該情報機器の利用やその改善に必要なものに限られる。個人情報の取得を目的とすることはできない。
3 利用記録は要機密情報、要保全情報とし、当該情報機器の管理者を情報の作成者とする。
4 当該情報機器の管理者は、第1項の目的のために必要な限りで、利用記録を閲覧することができる。他人の個人情報及び通信内容を不必要に閲覧してはならない。
5 当該情報機器の管理者は、第2項に規定する目的のために必要な限りで、利用記録を他の者に伝達することができる。
6 当該情報機器の管理者又は利用記録の伝達を受けた者は、第1項の目的のために必要な限りで、これを保有することができる。不要となった利用記録は、直ちに破棄しなければならない。ただし、当該情報機器の管理者は、利用記録から個人情報を削除して、ネットワーク運用・管理のための資料とすることができる。資料は、体系的に整理し、常に活用できるよう保存することが望ましい。
2101-61 (利用者等が保有する情報)
第61条 情報セキュリティ統括部署及び複数の者が利用する情報機器を管理する個別情報システム担当者は、利用者等が保有する情報をネットワーク運用に不可欠な範囲又は情報セキュリティインシデントへの対処に不可欠な範囲において、復元、閲覧、複製又は提供することができる。
第6節 暗号・電子署名
2101-62 (暗号化機能・電子署名機能の導入)
第62条 個別情報システム責任者は、情報システムで取り扱う情報の漏えいや改ざん等を防ぐため、以下の措置を講じなければならない。
- 要機密情報を取り扱う情報システムについては、暗号化を行う機能の必要性の有無を検討し、必要があると認めたときは、当該機能を設けなければならない。
- 要保全情報を取り扱う情報システムについては、電子署名の付与及び検証を行う機能を設ける必要性の有無を検討し、必要があると認めたときは、当該機能を設けなければならない。
2 個別情報システム責任者は、暗号化された情報の復号又は電子署名の付与に用いる鍵を適切に管理しなければならない。
第9章 情報システムの脅威への対策
第1節 ソフトウェアに関する脆弱性対策
2101-63 (ソフトウェアに関する脆弱性対策の実施)
第63条 個別情報システム責任者は、サーバ装置、端末及び通信回線装置の設置又は運用開始時に、当該機器上で利用するソフトウェアに関連する公開された脆弱性についての対策を実施しなければならない。
2 個別情報システム責任者は、公開された脆弱性の情報がない段階において、サーバ装置、端末及び通信回線装置上でとり得る対策がある場合は、当該対策を実施しなければならない。
3 個別情報システム責任者は、サーバ装置、端末及び通信回線装置上で利用するソフトウェアにおける脆弱性対策の状況を定期的に確認しなければならない。
4 個別情報システム責任者は、脆弱性対策の状況の定期的な確認により、脆弱性対策が講じられていない状態が確認された場合並びにサーバ装置、端末及び通信回線装置上で利用するソフトウェアに関連する脆弱性情報を入手した場合には、セキュリティパッチの適用又はソフトウェアのバージョンアップ等による情報システムへの影響を考慮した上で、ソフトウェアに関する脆弱性対策の計画を策定し、措置を講じなければならない。
第2節 不正プログラム対策
2101-64 (不正プログラム対策の実施)
第64条 個別情報システム責任者は、必要に応じて、サーバ装置及び端末に不正プログラム対策ソフトウェア等を導入しなければならない。ただし、当該サーバ装置及び端末で動作可能な不正プログラム対策ソフトウェア等が存在しない場合はこの限りではない。
2 個別情報システム責任者は、不正プログラム対策の状況を適宜把握し、必要な対処を行わなければならない。
第3節 サービス不能攻撃対策
2101-65 (サービス不能攻撃対策の実施)
第65条 個別情報システム責任者は、要安定情報を取り扱う情報システム(インターネットからアクセスを受ける情報システムに限る。以下この条において同じ。)については、サービス提供に必要なサーバ装置、端末及び通信回線装置が装備している機能又は民間事業者等が提供する手段を用いてサービス不能攻撃への対策を行わなければならない。
2 個別情報システム責任者は、要安定情報を取り扱う情報システムについては、サービス不能攻撃を受けた場合の影響を最小とする手段を備えた情報システムを構築しなければならない。
3 個別情報システム責任者は、要安定情報を取り扱う情報システムについては、サービス不能攻撃を受けるサーバ装置、端末、通信回線装置又は通信回線から監視対象を特定し、監視しなければならない。
第4節 標的型攻撃対策
2101-66 (標的型攻撃対策の実施)
第66条 個別情報システム責任者は、情報システムにおいて、標的型攻撃による組織内部への侵入を低減する対策(入口対策)を講じなければならない。
2 個別情報システム責任者は、情報システムにおいて、内部に侵入した攻撃を早期検知して対処する対策、侵入範囲の拡大の困難度を上げる対策、及び外部との不正通信を検知して対処する対策(内部対策)を講じなければならない。
第10章 アプリケーション・コンテンツの作成・提供
第1節 アプリケーション・コンテンツ作成時の対策
2101-67 (アプリケーション・コンテンツのセキュリティ要件の策定)
第67条 個別情報システム責任者は、アプリケーション・コンテンツの提供時に学外の情報システム利用者の情報セキュリティ水準の低下を招かぬよう、アプリケーション・コンテンツについて以下の対策を講じること。
- 提供するアプリケーション・コンテンツが不正プログラムを含まないこと。
- 提供するアプリケーションが脆弱性を含まないこと。
- 実行プログラムの形式以外にコンテンツを提供する手段がない限り、実行プログラムの形式でコンテンツを提供しないこと。
- 電子証明書を利用するなど、提供するアプリケーション・コンテンツの改ざん等がなく真正なものであることを確認できる手段がある場合には、それをアプリケーション・コンテンツの提供先に与えること。
- 提供するアプリケーション・コンテンツの利用時に、脆弱性が存在するバージョンのOSやソフトウェア等の利用を強制するなどの情報セキュリティ水準を低下させる設定変更を、OSやソフトウェア等の利用者に要求することがないよう、アプリケーション・コンテンツの提供方式を定めて開発すること。
- サービス利用に当たって必須ではない、サービス利用者その他の者に関する情報が本人の意思に反して第三者に提供されるなどの機能がアプリケーション・コンテンツに組み込まれることがないよう開発すること。
2 教職員等は、アプリケーション・コンテンツの開発・作成を外部委託する場合において、前項に掲げる内容を調達仕様に含めなければならない。
第2節 アプリケーション・コンテンツ提供時の対策
2101-68 (関西学院ドメイン名の使用)
第68条 個別情報システム責任者は、学外向けに提供するウェブサイト等が実際の本学院提供のものであることを利用者が確認できるように、kwansei.ac.jpで終わるドメイン名(以下「関西学院大学ドメイン名」という。)を情報システムにおいて使用するよう仕様に含めることが望ましい。ただし、ソーシャルメディアサービスによる情報発信の場合はこの限りではない。
2 教職員等は、学外向けに提供するウェブサイト等の作成を外部委託する場合においては、前項と同様、関西学院大学ドメイン名を使用するよう調達仕様に含めることを推奨する。
2101-69 (不正なウェブサイトへの誘導防止)
第69条 個別情報システム責任者は、利用者が検索サイト等を経由して本学院のウェブサイトになりすました不正なウェブサイトへ誘導されないよう対策を講じなければならない。
2101-70 (学外のアプリケーション・コンテンツの告知)
第70条 アプリケーション・コンテンツを告知する場合は、告知する対象となるアプリケーション・コンテンツに利用者が確実に誘導されるよう、必要な措置を講じなければならない。
2 利用者等は、学外の者が提供するアプリケーション・コンテンツを告知する場合は、告知するURL等の有効性を保たなければならない
第11章 端末・サーバ装置等
第1節 端末
2101-71 (端末管理責任者)
第71条 部局情報セキュリティ責任者は、学内通信回線に接続する端末及び本学院の業務に係る情報処理を行う端末の安全管理措置を管理する責任者(以下「端末管理責任者」という。)を定めなければならない。ただし、本学院支給以外の端末の端末管理責任者はその所有者もしくは使用者とする。
2101-72 (端末の導入時の対策)
第72条 端末管理責任者は、端末に第63条及び第64条の措置を講じなければならない。ただし、支給外端末はその限りではない。
2 端末管理責任者は、要保護情報を取り扱う端末(支給外端末を含む)について、端末の盗難、不正な持ち出し、第三者による不正操作等の物理的な脅威から保護するための対策を必要に応じて講じなければならない。
3 個別情報システム責任者及び端末管理責任者は、要機密情報を取り扱う本学院が支給する端末(要管理対策区域外で使用する場合に限る)及び本学院支給以外の端末について、盗難、紛失、不正プログラムの感染等により情報窃取されることを防止するための技術的な措置を必要に応じて、講じなければならない。
4 個別情報システム責任者は、多様なソフトウェアを利用することにより脆弱性が存在する可能性が増大することを防止するため、端末(支給外端末を除く)で利用を認めるソフトウェア又は利用を禁止するソフトウェアを定めるものとする。
2101-73 (端末の運用時の対策)
第73条 個別情報システム責任者は、利用を認めるソフトウェア及び利用を禁止するソフトウェアについて定期的に見直しを行わなければならない。
2 端末管理責任者は、所管する範囲の端末(支給外端末を含む)で利用されている全てのソフトウェアの状態を定期的に調査し、不適切な状態にある端末を検出等した場合には、改善を図らなければならない。
2101-74 (端末の運用終了時の対策)
第74条 端末管理責任者は、端末の運用を終了する際に、端末の電磁的記録媒体の全ての情報を抹消しなければならない。ただし、支給外端末はその限りではない。
第2節 サーバ装置
2101-75 (サーバ装置の導入時の対策)
第75条 個別情報システム責任者は、要保護情報を取り扱うサーバ装置について、サーバ装置の盗難、不正な持ち出し、不正な操作、表示用デバイスの盗み見等の物理的な脅威から保護するための対策を講じなければならない。
2 個別情報システム責任者は、障害や過度のアクセス等によりサービスが提供できない事態となることを防ぐため、要安定情報を取り扱う情報システムについて、サービス提供に必要なサーバ装置を冗長構成にするなどにより可用性を確保しなければならない。
3 個別情報システム責任者は、多様なソフトウェアを利用することにより脆弱性が存在する可能性が増大することを防止するため、サーバ装置で利用を認めるソフトウェアを定めなければならない。
4 個別情報システム責任者は、通信回線を経由してサーバ装置の保守作業を行う際に送受信される情報が漏えいすることを防止するための対策を講じなければならない。
2101-76 (サーバ装置の運用時の対策)
第76条 個別情報システム責任者は、所管する範囲のサーバ装置の構成やソフトウェアの状態を定期的に確認し、不適切な状態にあるサーバ装置を検出等した場合には改善を図らなければならない。
2 個別情報システム責任者は、サーバ装置上での不正な行為、無許可のアクセス等の意図しない事象の発生を検知する必要がある場合は、当該サーバ装置を監視するための措置を講じなければならない。ただし、サーバ装置の利用環境等から不要と判断できる場合はこの限りではない。
3 個別情報システム責任者は、要安定情報を取り扱うサーバ装置について、サーバ装置が運用できなくなった場合に正常な運用状態に復元することが可能になるよう、必要な措置を講じなければならない。
2101-77 (サーバ装置の運用終了時の対策)
第77条 個別情報システム責任者は、サーバ装置の運用を終了する際に、サーバ装置の電磁的記録媒体の全ての情報を抹消しなければならない。
第3節 複合機・特定用途機器
2101-78 (複合機)
第78条 個別情報システム責任者は、複合機を調達する際には、当該複合機が備える機能、設置環境並びに取り扱う情報の格付及び取扱制限に応じ、適切なセキュリティ要件を策定しなければならない。
2 個別情報システム責任者は、複合機が備える機能について適切な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講じなければならない。
3 個別情報システム責任者は、複合機の運用を終了する際に、複合機の電磁的記録媒体の全ての情報を抹消しなければならない。
2101-79 (IoT機器を含む特定用途機器)
第79条 個別情報システム責任者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により脅威が存在する場合には、当該機器の特性に応じた対策を講じなければならない。
第12章 電子メール・ウェブ等
第1節 電子メール
2101-80 (電子メールの導入時の対策)
第80条 個別情報システム責任者は、電子メールサーバが電子メールの不正な中継を行わないように設定しなければならない。
2 個別情報システム責任者は、電子メールクライアントから電子メールサーバへの電子メールの受信時及び送信時に主体認証を行う機能を備えなければならない。
3 個別情報システム責任者は、電子メールのなりすましの防止策を講じなければならない。
4 個別情報システム責任者は、インターネットを介して通信する電子メールの盗聴及び改ざんの防止のため、電子メールのサーバ間通信の暗号化の対策を講じなければならない。
第2節 ウェブ
2101-81 (ウェブサーバの導入・運用時の対策)
第81条 個別情報システム責任者は、ウェブサーバの管理や設定において、以下の事項を含む情報セキュリティ確保のための対策を講じなければならない。
- ウェブサーバが備える機能のうち、不要な機能を停止又は制限すること。
- ウェブコンテンツの編集作業を担当する主体を限定すること。
- 公開してはならない又は無意味なウェブコンテンツが公開されないように管理すること。
- ウェブコンテンツの編集作業に用いる識別コード及び主体認証情報を適切に管理すること。
- インターネットを介して転送される情報の盗聴及び改ざんの防止のため、必要に応じて、全ての情報に対する暗号化及び電子証明書による認証の対策を講ずること。
2 個別情報システム責任者は、ウェブサーバに保存する情報を特定し、サービスの提供に必要のない情報がウェブサーバに保存されないことを確認しなければならない。
2101-82 (ウェブアプリケーションの開発時・運用時の対策)
第82条 個別情報システム責任者は、ウェブアプリケーションの開発において、既知の種類のウェブアプリケーションの脆弱性を排除するための対策を講じなければならない。また、運用時においても、これらの対策に漏れが無いか定期的に確認し、対策に漏れがある状態が確認された場合は対処を行わなければならない。
第3節 ドメインネームシステム(DNS)
2101-83 (DNSの導入時の対策)
第83条 個別情報システム責任者は、要安定情報を取り扱う情報システムの名前解決を提供するコンテンツサーバにおいて、名前解決を停止させないための措置を講じなければならない。
2 個別情報システム責任者は、キャッシュサーバにおいて、名前解決の要求への適切な応答をするための措置を講じなければならない。
3 個別情報システム責任者は、コンテンツサーバにおいて、本学院のみで使用する名前の解決を提供する場合、当該コンテンツサーバで管理する情報が外部に漏えいしないための措置を講じなければならない。
2101-84 (DNSの運用時の対策)
第84条 個別情報システム責任者は、コンテンツサーバを複数台設置する場合は、管理するドメインに関する情報についてサーバ間で整合性を維持しなければならない。
2 個別情報システム責任者は、コンテンツサーバにおいて管理するドメインに関する情報が正確であることを定期的に確認しなければならない。
3 個別情報システム責任者は、キャッシュサーバにおいて、名前解決の要求への適切な応答を維持するための措置を講じなければならない。
第4節 データベース
2101-85 (データベースの導入・運用時の対策)
第85条 個別情報システム責任者は、データベースに対する内部不正を防止するため、管理者アカウントの適正な権限管理を行わなければならない。
2 個別情報システム責任者は、取り扱う情報の機密性要求、完全性要求により必要と認める場合には、データベースに格納されているデータにアクセスした利用者を特定できるよう、措置を講ずるものとする。
3 個別情報システム責任者は、取り扱う情報の機密性要求、完全性要求により必要と認める場合には、データベースに格納されているデータに対するアクセス権を有する利用者によるデータの不正な操作を検知できるよう、対策を講ずるものとする。
4 個別情報システム責任者は、データベース及びデータベースへアクセスする機器等の脆弱性を悪用した、データの不正な操作を防止するための対策を講じなければならない。
第13章 通信回線
第1節 通信回線
2101-86 (通信回線の導入時の対策)
第86条 個別情報システム責任者は、通信回線構築時に、当該通信回線に接続する情報システムにて取り扱う情報の格付及び取扱制限に応じた適切な回線種別を選択し、情報セキュリティインシデントによる影響を回避するために、通信回線に対して必要な対策を講じなければならない。
2 個別情報システム責任者は、通信回線において、サーバ装置及び端末のアクセス制御及び経路制御を行う機能を設けなければならない。
3 個別情報システム責任者は、要機密情報を取り扱う情報システムを通信回線に接続する際に、通信内容の秘匿性の確保が必要と考える場合は、通信内容の秘匿性を確保するための措置を講じなければならない。
4 個別情報システム責任者は、利用者等が通信回線へ情報システムを接続する際に、当該情報システムが接続を許可されたものであることを確認するための措置を講じなければならない。
5 個別情報システム責任者は、通信回線装置を要管理対策区域に設置しなければならない。ただし、要管理対策区域への設置が困難な場合は、物理的な保護措置を講ずるなどして、第三者による破壊や不正な操作等が行われないようにしなければならない。
6 個別情報システム責任者は、要安定情報を取り扱う情報システムが接続される通信回線について、当該通信回線の継続的な運用を可能とするための措置を講じなければならない。
7 個別情報システム責任者は、学内通信回線にインターネット回線、公衆通信回線等の学外通信回線を接続する場合には、統括情報セキュリティ責任者の許可を得なければならない。
8 個別情報システム責任者は、学内通信回線及び当該学内通信回線に接続されている情報システムの情報セキュリティを確保するための措置を講じなければならない。
9 個別情報システム責任者は、学内通信回線と学外通信回線との間で送受信される通信内容を監視するための措置を講じなければならない。
10 個別情報システム責任者は、保守又は診断のために、遠隔地から通信回線装置に対して行われるリモートアクセスに係る情報セキュリティを確保しなければならない。
11 個別情報システム責任者は、電気通信事業者の通信回線サービスを利用する場合には、当該通信回線サービスの情報セキュリティ水準及びサービスレベルを確保するための措置について、情報システムの構築を委託する事業者と契約時に取り決めておかなければならない。
2101-87 (通信回線の運用時の対策)
第87条 個別情報システム責任者は、情報セキュリティインシデントによる影響を防止するために、通信回線装置の運用時に必要な措置を講じなければならない。
2 個別情報システム責任者は、経路制御及びアクセス制御を適切に運用し、通信回線や通信要件の変更の際及び定期的に、経路制御及びアクセス制御の設定の見直しを行わなければならない。
3 個別情報システム責任者は、通信回線装置が動作するために必要なソフトウェアの状態を定期的に調査し、不適切な状態にある通信回線装置を認識した場合には、改善を図らなければならない。
4 個別情報システム責任者は、情報システムの情報セキュリティの確保が困難な事由が発生した場合には、当該情報システムが他の情報システムと共有している通信回線について、共有先の他の情報システムを保護するため、当該通信回線とは別に独立した閉鎖的な通信回線に構成を変更しなければならない。
2101-88 (通信回線の運用終了時の対策)
第88条 個別情報システム責任者は、通信回線装置の運用を終了する場合には、当該通信回線を構成する通信回線装置が運用終了後に再利用された時又は廃棄された後に、運用中に保存していた情報が漏えいすることを防止するため、当該通信回線装置の電磁的記録媒体に記録されている全ての情報を抹消するなど適切な措置を講じなければならない。
2101-89 (リモートアクセス環境導入時の対策)
第89条 個別情報システム責任者は、VPN回線を整備する場合は、利用者の主体認証及び通信内容の暗号化等、情報セキュリティ確保のために必要な措置を講じなければならない。
2 個別情報システム責任者は、利用者等の業務遂行を目的としたリモートアクセス環境を、学外通信回線を経由して本学院の情報システムへリモートアクセスする形態により構築する場合は、利用者の主体認証及び通信内容の暗号化等、情報セキュリティ確保のために必要な措置を講じなければならない。
2101-90 (無線LAN環境導入時の対策)
第90条 個別情報システム責任者は、無線LAN技術を利用して学内通信回線を構築する場合は、通信回線の構築時共通の対策に加えて、通信内容の秘匿性を確保するために通信路の暗号化を行った上で、その他の情報セキュリティ確保のために必要な措置を講じなければならない。
2101-91 (情報コンセント設置時の対策)
第91条 個別情報システム責任者は、情報コンセントを設置する場合は、以下の対策を講じなければならない。
- 利用者の認証又は利用責任者の指定
- 主体認証ログの取得及び管理
- 情報コンセント経由でアクセス可能な情報システムの明確化
- 情報コンセント接続中の他の通信回線との接続禁止
- 情報コンセント接続方法の機密性の確保
2101-92 (端末の学内通信回線への接続の管理)
第92条 部局情報セキュリティ責任者は、端末(支給外端末を含む)の学内通信回線への接続の申請を受けた場合は、別途定める接続手順に従い、申請者に対して接続の諾否を通知し必要な指示を行わなければならない。
2101-93 (上流ネットワークとの関係)
第93条 統括情報セキュリティ責任者は、学内通信回線を構築し運用するにあたっては、学内通信回線の上流ネットワークとなる学外通信回線との整合性に留意しなければならない。
第14章 情報システムの利用
2101-94 (情報システム利用者の規定の遵守を支援するための対策)
第94条 個別情報システム責任者は、利用者等による規定の遵守を支援する機能について情報セキュリティリスクと業務効率化の観点から支援する範囲を検討し、当該機能を持つ情報システムを構築するものとする。
2101-95 (情報システムの利用時の基本的対策)
第95条 利用者等は、本学院の教育・学習・研究・事務の遂行以外の目的で情報システムを利用してはならない。
2 利用者等は、管理者権限を持つ識別コードを付与された場合には、管理者権限を濫用する行為を行ってはならない。
3 利用者等は、接続を許可された通信回線以外に本学院の情報システムを接続してはならない。
4 利用者等は、学内通信回線に、接続許可を受けていない情報システム及び通信回線装置を接続してはならない。
5 利用者等は、学内通信回線に接続している端末等(支給外端末を含む)を、統括情報セキュリティ責任者の許可なくインターネット回線や公衆通信回線等の学外通信回線へ同時に接続してはならない。
6 利用者等は、以下のソフトウェアが動作する端末(支給外端末を含む)を学内通信回線に接続してはならない。
- ネットワークモニタリングツール
- ファイルの自動公衆送信機能を持ったファイル交換ソフトウェア
7 利用者等は、情報システムで利用を禁止するソフトウェアを利用してはならない。また、情報システムで利用を認めるソフトウェア以外のソフトウェアを教育・研究・事務上の必要により利用する場合は、個別情報システム責任者の承認を得なければならない。
8 利用者等は、接続が許可されていない機器等を情報システムに接続してはならない。
9 利用者等は、情報システムの設置場所から離れる場合等、第三者による不正操作のおそれがある場合は、情報システムを不正操作から保護するための措置を講じなければならない。
10 利用者等は、端末(支給外端末を含む)を学内通信回線に接続する場合は、当該端末から学内通信回線を経由して情報システムが不正プログラムに感染することのないよう、必要な安全管理措置を講じなければならない。
11 利用者等は、私用の外部電磁的記録媒体を本学院の業務に使用してはならない。
12 利用者等は、自組織以外の組織から受け取った外部電磁的記録媒体は、自組織と当該組織との間で情報を運搬する目的に限って使用することとし、当該外部電磁的記録媒体から情報を読み込む場合及びこれに情報を書き出す場合の安全確保のために必要な措置を講じなければならない。
13 利用者等は、要保護情報が記録されたUSBメモリ等の外部電磁的記録媒体を本学院外に持ち出す場合には、部局情報セキュリティ責任者又は職場情報セキュリティ責任者の許可を得なければならない。
2101-96 (要保護情報を取り扱う本学院が支給する端末(要管理対策区域外で使用する場合に限る)及び本学院支給以外の端末の導入及び利用時の対策)
第96条 職員等は、本学院支給以外の端末を用いて要保護情報を取り扱う場合には、職場情報セキュリティ責任者の許可を得なければならない。
2 職場情報セキュリティ責任者は、本学院支給以外の端末の利用について、取り扱うことになる情報の格付及び取扱制限、当該端末の管理は本学院ではなくその所有者が行うこと等を踏まえて本学院支給以外の端末の利用の可否を判断しなければならない。
3 利用者等は、本学院が支給する端末(要管理対策区域外で使用する場合に限る)を用いて要保護情報を取り扱う場合は、部局情報セキュリティ責任者又は職場情報セキュリティ責任者の許可を得なければならない。
4 部局情報セキュリティ責任者及び職場情報セキュリティ責任者は、利用者等が本学院が支給する端末(要管理対策区域外で使用する場合に限る)を用いて要保護情報を取り扱うことについて、これらの端末や利用した通信回線から情報が漏えいするなどのリスクを踏まえて可否を判断しなければならない。
5 利用者等は、本学院が支給する端末(要管理対策区域外で使用する場合に限る)及び本学院支給以外の端末に要機密情報を保存してはならない。ただし、以下の場合には、自動的に暗号化される機能が有効な電磁的記録媒体への保存に限り、これを妨げない。
- 作業上、やむを得ず一時的に保存しなければならない場合
- 端末を支給されていない場合(ただし、職員等を除く。)
6 利用者等は、情報処理の目的を完了した場合は、本学院の業務に係る情報を本学院支給以外の端末から消去しなければならない。
2101-97 (電子メール・ウェブの利用時の対策)
第97条 利用者等は、要機密情報を含む電子メールを送受信する場合には、本学院が運営し、又は外部委託した電子メールサーバにより提供される電子メールサービスを利用しなければならない。
2 利用者等は、不審な電子メールを受信した場合には、不用意に開いてはならない。
3 利用者等は、ウェブクライアントの設定を見直す必要がある場合は、情報セキュリティに影響を及ぼすおそれのある設定変更を行ってはならない。
4 利用者等は、閲覧しているウェブサイトに表示されるフォームに要機密情報を入力して送信する場合には、以下の事項を確認しなければならない。
- 送信内容が暗号化されること
- 当該ウェブサイトが送信先として想定している組織のものであること
2101-98 (識別コード・主体認証情報の取扱い)
第98条 利用者等は、主体認証の際に自己に付与された識別コード以外の識別コードを用いて情報システムを利用してはならない。
2 利用者等は、自己に付与された識別コード及び自己の主体認証情報を適切に管理しなければならない。
3 利用者等は、自己に付与された識別コードを他者が主体認証に用いるために付与及び貸与してはならない。
4 利用者等は、管理者権限を持つ識別コードを付与された場合には、管理者としての業務遂行時に限定して、当該識別コードを利用しなければならない。
5 利用者等は、自己の主体認証情報を他者に教えてはならない。
6 利用者等は、主体認証情報格納装置を他者に付与及び貸与してはならない。
2101-99 (暗号・電子署名の利用時の対策)
第99条 利用者等は、暗号化された情報の復号又は電子署名の付与に用いる鍵について、適切に保存、管理しなければならない。
2101-100 (不正プログラム感染防止)
第100条 利用者等は、不正プログラム感染防止に関する措置に努めなければならない。
2 利用者等は、情報システム(支給外端末を含む)が不正プログラムに感染したおそれがあることを認識した場合は、感染した情報システムの通信回線への接続を速やかに切断するなど、必要な措置を講じなければならない。
2101-101 (利用制限等)
第101条 統括情報セキュリティ責任者及び部局情報セキュリティ責任者は、情報セキュリティインシデントへの対処に不可欠な範囲において、以下の措置を講ずることができる。
- 情報システムの停止又は利用の制限
- アカウントの停止
- 利用者等が保有する情報の変更又は削除
- その他情報システムの保護のために必要な措置
【本ポリシーの改廃】
(本ポリシーの改廃)
このポリシーの改廃は、情報化推進機構長室会の議を経て、学部長会、各学校および園の意向を徴したうえ、理事会で決定する。
附 則
1 このポリシーは2023年(令和5年)6月1日から施行する。
経過措置:「情報の格付け」については、各現場での現状の把握と整理が必要となることから、1年間の経過措置を適用する。