(1)　技術責任者　情報処理センター長，課室情報セキュリティ責任者，情報コンセント管理責任者及びサーバ等管理責任者をいう。

(2)　通信回線　複数の情報システム又は機器等(本学が調達等を行うもの以外のものを含む。)の間で所定の方式に従って情報を送受信するための仕組みをいい，特に断りのない限り，本学の情報システムにおいて利用される通信回線を総称したものをいう。通信回線には，本学が直接管理していないものも含まれ，その種類(有線又は無線，物理回線又は仮想回線等)は問わない。

(3)　学内通信回線　本学が管理するサーバ装置又は端末の間の通信の用に供する通信回線であって，本学の管理下にないサーバ装置又は端末が論理的に接続されていないものをいう。学内通信回線には，専用線やVPN等物理的な回線を本学が管理していないものも含まれる。

(4)　学外通信回線　通信回線のうち，学内通信回線以外のものをいう。

(5)　通信回線装置　通信回線間又は通信回線と情報システムの接続のために設置され，回線上を送受信される情報の制御等を行うための装置をいう。通信回線装置には，いわゆるハブやスイッチ，ルータ等のほか，ファイアウォール等も含まれる。

(6)　電子計算機　コンピュータ全般のことを指し，サーバ装置及び端末(いずれも搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。以下同じ。)をいう。

(7)　外部委託　本学の業務の一部又は全部について，契約をもって外部の者に実施させることをいう。委任，準委任，請負といった契約形態を問わず，すべて含むものとする。ただし，当該業務において本学の情報を取り扱わせる場合に限る。

(8)　外部サービス　外部の者が一般向けに情報システムの一部又は全部の機能を提供するものをいう。ただし，当該機能において本学の情報が取り扱われる場合に限る。

(9)　外部サービス提供者　外部サービスを提供する事業者をいう。外部サービスを利用して本学に向けて独自のサービスを提供する事業者は含まない。

(10)　外部サービス利用者　外部サービスを利用する本学の役員及び教職員(派遣職員を含む。以下「教職員等」という。)又は業務委託した委託先において外部サービスを利用する場合の委託先の従業員をいう。

(11)　基盤となる情報システム　学外の機関等と共通的に使用する情報システム(一つの機関等でハードウェアからアプリケーションまで管理・運用している情報システムを除く。)をいう。

(12)　主体認証　識別コードを提示した主体が，その識別コードを付与された主体，すなわち正当な主体であるか否かを検証することをいう。識別コードとともに正しい方法で主体認証情報が提示された場合に主体認証ができたものとして，情報システムはそれらを提示した主体を正当な主体として認識する。

(13)　識別コード　主体を識別するために，情報システムが認識するコード(符号)をいう。代表的な識別コードとして，ユーザIDが挙げられる。

(14)　主体認証情報　主体認証をするために，主体が情報システムに提示する情報をいう。代表的な主体認証情報として，パスワード等がある。

(15)　アカウント　主体認証を行う必要があると認めた情報システムにおいて，主体に付与された正当な権限をいう。アカウントの付与は，主体認証情報(識別コードと主体認証情報を含む。)の配布，主体認証情報格納装置の交付，アクセス制御における許可，またはそれらの組み合わせ等によって行われる。

(16)　アクセス制御　情報又は情報システムへのアクセスを許可する主体を制限することをいう。

(17)　権限管理　主体認証に係る情報(識別コード及び主体認証情報を含む。)及びアクセス制御における許可情報を管理することをいう。

(18)　暗号化　第三者に容易に解読されないよう，定められた演算を施しデータを変換することをいう。

(19)　電子署名　情報の正当性を保証するための電子的な署名情報をいう。

(20)　不正プログラム　コンピュータウイルス，ワーム(他のプログラムに寄生せず単体で自己増殖するプログラム)，スパイウェア(プログラムの使用者の意図に反して様々な情報を収集するプログラム)等の情報システムを利用する者が意図しない結果を当該情報システムにもたらすプログラムの総称をいう。

(21)　サービス不能攻撃　悪意ある第三者等がソフトウェアの脆弱性を悪用し，サーバ装置又は通信回線装置のソフトウェアを動作不能にさせることや，サーバ装置，通信回線装置又は通信回線の容量を上回る大量のアクセスを行い，通常の利用者のサービス利用を妨害する攻撃をいう。

(22)　アプリケーション・コンテンツ　アプリケーションプログラム，ウェブコンテンツ等の総称をいう。

(23)　テレワーク　情報通信技術を活用した，場所や時間を有効に活用できる柔軟な働き方のことをいい，自宅で業務を行う在宅勤務，主たる勤務場所以外に設けられた執務環境で業務を行うサテライトオフィス勤務，モバイル端末等を活用して移動中や出先で業務を行うモバイル勤務が含まれる。

(24)　特定用途機器　テレビ会議システム，IP電話システム，ネットワークカメラシステム，入退管理システム，施設管理システム，環境モニタリングシステム等の特定の用途に使用される情報システム特有の構成要素であって，通信回線に接続されている又は内蔵電磁的記録媒体を備えているものをいう。

(25)　その他の用語の定義は，情報セキュリティ対策に関する規程並びに本学情報の格付け及び取扱制限に関する規程(平成27年規程第6号)の定めるところによる。

(1)　情報資産の目的外利用

(2)　守秘義務に違反する情報の開示

(3)　情報処理センター長又は部局総括責任者の許可なく，通信回線上の通信を監視し，又は通信回線装置及び電子計算機の利用記録を採取する行為

(4)　情報処理センター長又は部局総括責任者の要請に基づかずにセキュリティ上の脆弱性を検知する行為

(5)　法令又は学内規則等に反する情報の発信

(6)　管理者権限を濫用する行為

(7)　上記の行為を助長する行為

(1)　委託先に提供する情報の委託先における目的外利用の禁止

(2)　委託先における情報セキュリティ対策の実施内容及び管理体制

(3)　委託業務の実施にあたり，委託先企業若しくはその従業員，再委託先又はその他の者による意図せざる変更が加えられないための管理体制

(4)　委託先の資本関係・役員等の情報，委託業務の実施場所，委託業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供

(5)　情報セキュリティインシデントへの対処方法

(6)　情報セキュリティ対策その他の契約の履行状況の確認方法

(7)　情報セキュリティ対策の履行が不十分な場合の対処方法

(1)　情報セキュリティ監査の受入れ

(2)　サービスレベルの保証

(1)　当該委託業務に携わる者の特定

(2)　当該委託業務に携わる者が実施する具体的な情報セキュリティ対策の内容

(1)　外部サービスに係るアクセスログ等の証跡の保存及び提供

(2)　外部サービスのインターネット接続点の通信の監視

(3)　外部サービス提供者による情報の管理・保管の実施内容の確認

(4)　外部サービス上の脆弱性対策の実施内容の確認

(5)　外部サービス上の情報に係る復旧時点目標(RPO)等の指標

(6)　外部サービス上で取り扱う情報の暗号化

(7)　外部サービス利用者の意思による外部サービス上で取り扱う情報の確実な削除・廃棄

(8)　外部サービス利用者が求める情報開示請求に対する開示項目や範囲の明記

(1)　外部サービスの利用を通じて本学が取り扱う情報の外部サービス提供者における目的外利用の禁止

(2)　外部サービス提供者における情報セキュリティ対策の実施内容及び管理体制

(3)　外部サービスの提供にあたり，外部サービス提供者若しくはその従業員，再委託先又はその他の者による意図せざる変更が加えられないための管理体制

(4)　外部サービス提供者の資本関係・役員等の情報，外部サービスの提供が行われる施設等の場所，外部サービス提供に従事する者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供

(5)　情報セキュリティインシデントへの対処方法

(6)　情報セキュリティ対策その他の契約の履行状況の確認方法

(7)　情報セキュリティ対策の履行が不十分な場合の対処方法

(8)　外部サービスの中断や終了時に円滑に業務を移行するための対策

(1)　情報セキュリティ監査の受入れ

(2)　サービスレベルの保証

(1)　本学が管理するアカウントによる情報発信が，実際の本学のものであることを明らかにするために，アカウントの運用組織を明示する等の方法により，なりすましへの対策を講ずる。

(2)　パスワード等の主体認証情報を適切に管理する等の方法により，不正アクセスへの対策を講ずる。

(1)　情報システムに組み込む主体認証，アクセス制御，権限管理，ログ管理，暗号化機能等のセキュリティ機能要件

(2)　情報システム運用時の監視等の運用管理機能要件

(3)　情報システムに関連する脆弱性についての対策要件

(1)　情報システムの運用環境に課せられるべき条件の整備

(2)　情報システムのセキュリティ監視を行う場合の監視手順や連絡方法

(3)　情報システムの保守における情報セキュリティ対策

(4)　運用中の情報システムに脆弱性が存在することが判明した場合の情報セキュリティ対策

(1)　情報セキュリティに関わる運用・保守体制の整備

(2)　運用・保守要員へのセキュリティ機能の利用方法等に関わる教育の実施

(3)　情報セキュリティインシデントを知った場合の対処方法の確立

(1)　監視するイベントの種類

(2)　監視体制

(3)　監視状況及び情報セキュリティインシデントの可能性を認知した場合の報告手順

(4)　監視運用における情報の取扱い(機密性の確保)

(1)　情報システム更改時の情報の移行作業における情報セキュリティ対策

(2)　情報システム廃棄時の不要な情報の抹消

(1)　知識(パスワード等，利用者本人のみが知り得る情報)による認証

(2)　所有(電子証明書を格納するICカード，ワンタイムパスワード生成器，利用者本人のみが所有する機器等)による認証

(3)　生体(指紋や静脈等，本人の生体的な特徴)による認証

(1)　利用者が定期的に変更しているか否かを確認する機能

(2)　利用者が定期的に変更しなければ，情報システムの利用を継続させない機能

(3)　利用者が主体認証情報を変更する際に，以前に設定した主体認証情報の再設定を防止する機能

(1)　主体認証情報を送信又は保存する場合には，その内容を暗号化する。

(2)　主体認証情報に対するアクセス制限を設ける。

(1)　当該主体認証情報及び対応する識別コードの利用を停止する機能

(2)　主体認証情報の再設定を利用者に要求する機能

(1)　主体からの申請に基づいてアカウントを発行する場合は，その申請者が正当な主体であることを確認するための手続

(2)　主体認証情報の初期配布方法及び変更手続

(3)　アクセス制御の設定方法及び変更手続

(1)　利用時間や利用時間帯によるアクセス制御

(2)　同一主体による複数アクセスの制限

(3)　IPアドレスによる端末の制限

(4)　ネットワークセグメントの分割によるアクセス制御

(5)　ファイルに記録された情報へのアクセスを制御するサーバにおいて，主体認証を受けたユーザのみが暗号化されたファイルに記録された情報に対し，与えられた権限の範囲でアクセス可能となる制御

(6)　主体の操作に対する常時アクセス判断・許可アーキテクチャ(ゼロトラストアーキテクチャ，ゼロトラストセキュリティ等と呼称される。)での制御

(1)　業務上必要な場合に限定する。

(2)　必要最小限の権限のみ付与する。

(3)　管理者権限を行使できる端末をシステム管理者等の専用の端末とする。

(1)　電子署名の付与を行う情報システムにおいて，電子署名の正当性を検証するための情報又は手段を署名検証者へ安全な方法で提供すること。

(2)　暗号化を行う情報システム又は電子署名の付与若しくは検証を行う情報システムにおいて，暗号化又は電子署名のために選択されたアルゴリズムの危殆化及びプロトコルの脆弱性に関する情報を定期的に入手し，必要に応じて，利用者等と共有を図ること。

(1)　脆弱性の原因

(2)　影響範囲

(3)　対策方法

(4)　脆弱性を悪用する不正プログラムの流通状況

(1)　構成要素ごとにソフトウェアのバージョン等を把握し，当該ソフトウェアの脆弱性の有無を確認する。

(2)　脆弱性診断を実施する。

(1)　対策の必要性

(2)　対策方法

(3)　対策方法が存在しないゼロデイと呼ばれる状態の場合又は対策が完了するまでの期間に対する一時的な回避方法

(4)　対策方法又は回避方法が情報システムに与える影響

(5)　対策の実施予定時期

(6)　対策試験の必要性

(7)　対策試験の方法

(8)　対策試験の実施予定時期

(1)　不正プログラム対策ソフトウェアの導入状況

(2)　不正プログラム対策ソフトウェアの定義ファイルの更新状況

(1)　パケットフィルタリング機能

(2)　3―way handshake時のタイムアウトの短縮

(3)　各種Flood攻撃への防御

(4)　アプリケーションゲートウェイ機能

(1)　インターネットに接続している通信回線の提供元となる事業者が別途提供するサービス不能攻撃に係る通信の遮断等の対策

(2)　サービス不能攻撃の影響を排除又は低減するための専用の対策装置の導入

(3)　サーバ装置，端末，通信回線装置又は通信回線の冗長化

(4)　コンテンツデリバリーネットワーク(CDN)サービスの利用

(1)　不要なサービスについて機能を削除又は停止する。

(2)　パーソナルファイアウォール等を用いて，サーバ装置及び端末に入力される通信及び出力される通信を必要最小限に制限する。

(1)　ネットワーク上の端末に接続する外部電磁的記録媒体を事前に特定し，出所不明の外部電磁的記録媒体をネットワーク上の端末に接続させない。

(2)　外部電磁的記録媒体をサーバ装置及び端末に接続する際，不正プログラム対策ソフトウェアを用いて検査する。

(3)　サーバ装置及び端末について，自動再生(オートラン)機能を無効化する。

(4)　サーバ装置及び端末について，使用を想定しないUSBポートを無効化する。

(1)　サーバ装置及び端末について，外部電磁的記録媒体内にあるプログラムを一律に実行拒否する設定とする。

(2)　ネットワーク上の端末に対する外部電磁的記録媒体の接続を制御及び管理するための製品やサービスを導入する。

(1)　重要なサーバについては，重要サーバ類専用のセグメントに設置し，他のセグメントからのアクセスを必要最小限に限定する。また，インターネットに直接接続しない。

(2)　認証サーバについては，利用者端末から管理者権限を狙う攻撃(辞書攻撃，ブルートフォース攻撃等)を受けることを想定した対策を講ずる。

(1)　不要な管理者権限アカウントを削除する。

(2)　管理者権限アカウントのパスワードは，容易に推測できないものを設定する。

(1)　提供するアプリケーション・コンテンツが不正プログラムを含まないこと。

(2)　提供するアプリケーションが脆弱性を含まないこと。

(3)　実行プログラムの形式以外にコンテンツを提供する手段がない場合を除き，実行プログラムの形式でコンテンツを提供しないこと。

(4)　電子証明書を利用する等，提供するアプリケーション・コンテンツの改ざん等がなく，真正なものであることを確認できる手段がある場合は，それをアプリケーション・コンテンツの提供先に与えること。

(5)　提供するアプリケーション・コンテンツの利用時に，脆弱性が存在するバージョンのOSやソフトウェア等の利用を強制する等，情報セキュリティ水準を低下させる設定変更を利用者に要求することがないよう，アプリケーション・コンテンツの提供方式を定めて開発すること。

(6)　サービス利用にあたって必須ではない，サービス利用者その他の者に関する情報が本人の意思に反して第三者に提供される等の機能がアプリケーション・コンテンツに組み込まれることがないよう開発すること。

(1)　クローラからのアクセスを排除しない。

(2)　cookie機能を無効に設定したブラウザでも正常に閲覧可能とする。

(3)　適切なタイトルを設定する。

(4)　不適切な誘導を行わない。

(1)　告知するアプリケーション・コンテンツを管理する組織名を明記する。

(2)　告知するアプリケーション・コンテンツの所在場所の有効性(リンク先のURLのドメイン名の有効期限等)を確認した時期又は有効性を保証する期間について明記する。

(1)　モバイル端末を除く端末を，容易に切断できないセキュリティワイヤを用いて固定物又は搬出が困難な物体に固定する。

(2)　モバイル端末を保管するための設備(利用者が施錠できる袖机やキャビネット等)を用意する。

(1)　一定時間操作がないと自動的にスクリーンロックするよう設定する。

(2)　盗み見されるおそれがある場合にモバイル端末に覗き見防止フィルタを取り付ける。

(1)　ソフトウェアベンダのサポート状況

(2)　ソフトウェアが行う外部との通信の有無及び通信する場合はその通信内容

(3)　インストール時に同時にインストールされる他のソフトウェア

(4)　その他ソフトウェアの利用に伴う情報セキュリティリスク

(1)　ファイル暗号化等のセキュリティ機能を持つアプリケーションを導入する。

(2)　端末に，ハードディスク等の電磁的記録媒体全体を自動的に暗号化する機能を設ける。

(3)　前2号に掲げるいずれの機能も使用できない場合は，端末にファイルを暗号化する機能を設ける。

(4)　ハードディスク等の電磁的記録媒体に保存されている情報を遠隔からの命令等により暗号化消去する機能を設ける。

(5)　高度なセキュリティ機能を備えたOSを搭載するスマートフォンやタブレット端末等を使用する。

(1)　強固なパスワード等による端末ロックの常時設定

(2)　OSやアプリケーションの最新化

(3)　不正プログラム対策ソフトウェアの導入及び定期的な不正プログラム検査の実施

(4)　端末内の要機密情報の外部サーバ等へのバックアップの禁止

(5)　本学提供の業務専用アプリケーションの利用(専用アプリケーションを提供する場合のみ)

(6)　以下の禁止事項の遵守

(7)　その他端末管理責任者が必要と認める事項

(1)　施錠可能なサーバラックに設置し，施錠する。

(2)　容易に切断できないセキュリティワイヤを用いて，固定物又は搬出が困難な物体に固定する。

(1)　負荷分散装置，DNSラウンドロビン方式等による負荷分散

(2)　同一システムを2系統で構成することによる冗長化

(1)　ソフトウェアベンダのサポート状況

(2)　ソフトウェアが行う外部との通信の有無及び通信する場合はその通信内容

(3)　インストール時に同時にインストールされる他のソフトウェア

(4)　その他ソフトウェアの利用に伴う情報セキュリティリスク

(1)　アクセスログ等を定期的に確認する。

(2)　IDS／IPS，ウェブアプリケーションファイアウォール等を設置する。

(3)　不正プログラム対策ソフトウェアを利用する。

(4)　ファイル完全性チェックツールを利用する。

(5)　CPU，メモリ，ディスクI／O等のシステム状態を確認する。

(1)　サーバ装置の運用に必要なソフトウェアの原本を別に用意しておく。

(2)　定期的なバックアップを実施する。

(3)　サーバ装置を冗長構成にしている場合は，サービスを提供するサーバ装置を代替サーバ装置に切り替える訓練を実施する。

(4)　バックアップとして取得した情報からサーバ装置の運用状態を復元するための訓練を実施する。

(1)　複合機について，利用環境に応じた適切なセキュリティ設定を実施する。

(2)　複合機が備える機能のうち利用しない機能を停止する。

(3)　印刷された書面からの情報の漏えいが想定される場合には，複合機が備える操作パネル等で利用者認証が成功した者のみ印刷が許可される機能等を活用する。

(4)　学内通信回線とファクシミリ等に使用する公衆通信回線が複合機の内部において接続されないようにする。

(5)　複合機をインターネットに直接接続しない。

(6)　リモートメンテナンス等の目的で複合機がインターネットを介して外部と通信する場合は，ファイアウォール等の利用により適切に通信制御を行う。

(7)　利用者ごとに許可される操作を適切に設定する。

(1)　特定用途機器について，運用開始前に初期設定されているパスワード等の主体認証情報を変更した上で，適切に管理する。

(2)　特定用途機器にアクセスする主体に応じて必要な権限を割り当て，管理する。

(3)　特定用途機器が備える機能のうち利用しない機能を停止する。

(4)　インターネットと通信を行う必要のない特定用途機器については，当該特定用途機器をインターネットやインターネットに接点を有する情報システムに接続しない。

(5)　特定用途機器がインターネットを介して外部と通信する場合は，ファイアウォール等の利用により適切に通信制御を行う。

(6)　特定用途機器のソフトウェアに関する脆弱性の有無を確認し，脆弱性が存在する場合は，バージョンアップやセキュリティパッチの適用，アクセス制御等の対策を講ずる。

(7)　特定用途機器に対する不正な行為，無許可のアクセス等の意図しない事象の発生を監視する。

(8)　特定用途機器を廃棄する場合は，特定用途機器の内蔵電磁的記録媒体に保存されているすべての情報を抹消する。

(1)　SPF(Sender Policy Framework)，DKIM(DomainKeys Identified Mail)，DMARC(Domain―based Message Authentication,Reporting＆Conformance)等の送信ドメイン認証技術による送信側の対策を行う。

(2)　SPF，DKIM，DMARC等の送信ドメイン認証技術による受信側の対策を行う。

(3)　S/MIME(Secure/Multipurpose Internet Mail Extensions)等の電子メールにおける電子署名の技術を利用する。

(1)　SMTPによるサーバ間通信をTLSにより保護する。

(2)　S／MIME等の電子メールにおける暗号化及び電子署名の技術を利用する。

(1)　不要な機能の停止又は制限のため，以下によりウェブサーバの管理や設定を行う。

(2)　ウェブコンテンツの編集作業を担当する主体を限定するため，以下によりウェブサーバの管理や設定を行う。

(3)　公開してはならない又は無意味なウェブコンテンツが公開されないように管理するため，以下によりウェブサーバの管理や設定を行う。

(4)　ウェブコンテンツの編集作業に用いる端末を限定し，識別コード及び主体認証情報を適切に管理するため，以下によりウェブサーバの管理や設定を行う。

(5)　通信時の盗聴による第三者への情報の漏えい及び改ざんの防止並びに正当なウェブサーバであることを利用者が確認できるようにするため，以下の措置を講じる。

(1)　必要に応じて，情報システムの管理者とデータベースの管理者を別にする。

(2)　データベースに格納されているデータにアクセスする必要のない管理者に対して，データへのアクセス権を付与しない。

(3)　データベースの管理に関する権限の不適切な付与を検知できるよう，措置を講ずる。

(1)　一定数以上のデータの取得に関するログを記録し，警告を発する。

(2)　データを取得した時刻が不自然である等，通常の業務によるデータベースの操作から逸脱した操作に関するログを記録し，警告を発する。

(1)　データベースにアクセスする機器上で動作するプログラムに対して，SQLインジェクションの脆弱性を排除する。

(2)　データベースにアクセスする機器上で動作するプログラムに対して，SQLインジェクションの脆弱性の排除が不十分であると判断した場合は，以下の対策の実施を検討する。

(1)　通信回線の性能低下や異常の有無を確認するため，通信回線の利用率，接続率等の運用状態を定常的に確認，分析する機能を設ける。

(2)　通信回線及び通信回線装置を冗長構成にする。

(1)　リモートメンテナンス端末の機器番号等の識別コードによりアクセス制御を行う。

(2)　主体認証によりアクセス制御する。

(3)　通信内容の暗号化により秘匿性を確保する。

(4)　ファイアウォール等の通信制御のための機器に例外的な設定を行う場合は，その設定により脆弱性が生じないようにする。

(1)　グローバルIPアドレスによる直接の到達性における脅威

(2)　IPv6通信環境の設定不備等に起因する不正アクセスの脅威

(3)　IPv4通信とIPv6通信を情報システムにおいて共存させる際の処理考慮漏れに起因する脆弱性の発生

(4)　アプリケーションにおけるIPv6アドレスの取扱い考慮漏れに起因する脆弱性の発生

(1)　所管する情報システムを構成するサーバ装置及び端末に関わる以下の文書

(2)　所管する情報システムを構成する通信回線及び通信回線装置に関する文書

(3)　情報システムの構成要素のセキュリティを維持する目的で，当該情報システムの管理者が実施すべき手順

(4)　情報セキュリティインシデントを認知した際の当該情報システムの個別の事情に合わせて整備される対処手順