○国立大学法人兵庫教育大学情報システム運用・管理規程
平成22年5月12日
規程第4号
第1章 総則
(趣旨)
第1条 この規程は,国立大学法人兵庫教育大学情報セキュリティ対策に関する規程(平成20年規程第8号)(以下「情報セキュリティ対策に関する規程」という。)第36条の規定に基づき,国立大学法人兵庫教育大学(以下「本学」という。)における情報システムの適切な運用及び管理について必要な事項を定めるものとする。
(1) 技術責任者 情報処理センター長,課室情報セキュリティ責任者,情報コンセント管理責任者及びサーバ等管理責任者をいう。
(2) 通信回線 複数の情報システム又は機器等(本学が調達等を行うもの以外のものを含む。)の間で所定の方式に従って情報を送受信するための仕組みをいい,特に断りのない限り,本学の情報システムにおいて利用される通信回線を総称したものをいう。通信回線には,本学が直接管理していないものも含まれ,その種類(有線又は無線,物理回線又は仮想回線等)は問わない。
(3) 学内通信回線 本学が管理するサーバ装置又は端末の間の通信の用に供する通信回線であって,本学の管理下にないサーバ装置又は端末が論理的に接続されていないものをいう。学内通信回線には,専用線やVPN等物理的な回線を本学が管理していないものも含まれる。
(4) 学外通信回線 通信回線のうち,学内通信回線以外のものをいう。
(5) 通信回線装置 通信回線間又は通信回線と情報システムの接続のために設置され,回線上を送受信される情報の制御等を行うための装置をいう。通信回線装置には,いわゆるハブやスイッチ,ルータ等のほか,ファイアウォール等も含まれる。
(6) 電子計算機 コンピュータ全般のことを指し,サーバ装置及び端末(いずれも搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。以下同じ。)をいう。
(7) 外部委託 本学の業務の一部又は全部について,契約をもって外部の者に実施させることをいう。委任,準委任,請負といった契約形態を問わず,すべて含むものとする。ただし,当該業務において本学の情報を取り扱わせる場合に限る。
(8) 外部サービス 外部の者が一般向けに情報システムの一部又は全部の機能を提供するものをいう。ただし,当該機能において本学の情報が取り扱われる場合に限る。
(9) 外部サービス提供者 外部サービスを提供する事業者をいう。外部サービスを利用して本学に向けて独自のサービスを提供する事業者は含まない。
(10) 外部サービス利用者 外部サービスを利用する本学の役員及び教職員(派遣職員を含む。以下「教職員等」という。)又は業務委託した委託先において外部サービスを利用する場合の委託先の従業員をいう。
(11) 基盤となる情報システム 学外の機関等と共通的に使用する情報システム(一つの機関等でハードウェアからアプリケーションまで管理・運用している情報システムを除く。)をいう。
(12) 主体認証 識別コードを提示した主体が,その識別コードを付与された主体,すなわち正当な主体であるか否かを検証することをいう。識別コードとともに正しい方法で主体認証情報が提示された場合に主体認証ができたものとして,情報システムはそれらを提示した主体を正当な主体として認識する。
(13) 識別コード 主体を識別するために,情報システムが認識するコード(符号)をいう。代表的な識別コードとして,ユーザIDが挙げられる。
(14) 主体認証情報 主体認証をするために,主体が情報システムに提示する情報をいう。代表的な主体認証情報として,パスワード等がある。
(15) アカウント 主体認証を行う必要があると認めた情報システムにおいて,主体に付与された正当な権限をいう。アカウントの付与は,主体認証情報(識別コードと主体認証情報を含む。)の配布,主体認証情報格納装置の交付,アクセス制御における許可,またはそれらの組み合わせ等によって行われる。
(16) アクセス制御 情報又は情報システムへのアクセスを許可する主体を制限することをいう。
(17) 権限管理 主体認証に係る情報(識別コード及び主体認証情報を含む。)及びアクセス制御における許可情報を管理することをいう。
(18) 暗号化 第三者に容易に解読されないよう,定められた演算を施しデータを変換することをいう。
(19) 電子署名 情報の正当性を保証するための電子的な署名情報をいう。
(20) 不正プログラム コンピュータウイルス,ワーム(他のプログラムに寄生せず単体で自己増殖するプログラム),スパイウェア(プログラムの使用者の意図に反して様々な情報を収集するプログラム)等の情報システムを利用する者が意図しない結果を当該情報システムにもたらすプログラムの総称をいう。
(21) サービス不能攻撃 悪意ある第三者等がソフトウェアの脆弱性を悪用し,サーバ装置又は通信回線装置のソフトウェアを動作不能にさせることや,サーバ装置,通信回線装置又は通信回線の容量を上回る大量のアクセスを行い,通常の利用者のサービス利用を妨害する攻撃をいう。
(22) アプリケーション・コンテンツ アプリケーションプログラム,ウェブコンテンツ等の総称をいう。
(23) テレワーク 情報通信技術を活用した,場所や時間を有効に活用できる柔軟な働き方のことをいい,自宅で業務を行う在宅勤務,主たる勤務場所以外に設けられた執務環境で業務を行うサテライトオフィス勤務,モバイル端末等を活用して移動中や出先で業務を行うモバイル勤務が含まれる。
(24) 特定用途機器 テレビ会議システム,IP電話システム,ネットワークカメラシステム,入退管理システム,施設管理システム,環境モニタリングシステム等の特定の用途に使用される情報システム特有の構成要素であって,通信回線に接続されている又は内蔵電磁的記録媒体を備えているものをいう。
(25) その他の用語の定義は,情報セキュリティ対策に関する規程並びに本学情報の格付け及び取扱制限に関する規程(平成27年規程第6号)の定めるところによる。
(禁止事項)
第3条 情報システムを運用及び管理する者は,次の各号に掲げる事項を行ってはならない。
(1) 情報資産の目的外利用
(2) 守秘義務に違反する情報の開示
(3) 情報処理センター長又は部局総括責任者の許可なく,通信回線上の通信を監視し,又は通信回線装置及び電子計算機の利用記録を採取する行為
(4) 情報処理センター長又は部局総括責任者の要請に基づかずにセキュリティ上の脆弱性を検知する行為
(5) 法令又は学内規則等に反する情報の発信
(6) 管理者権限を濫用する行為
(7) 上記の行為を助長する行為
第2章 外部委託
第1節 外部委託
(外部委託に係る契約)
第4条 技術責任者等は,取り扱う情報の格付け及び取扱制限を踏まえ,外部委託の実施の可否を判断するものとする。ただし,本学保有個人情報等管理規程(平成17年規程第7号)に規定する本学の保有する個人情報を取り扱う委託業務においては,保存された情報に対して国内法令のみが適用されることを外部委託の際の判断条件としなければならない。
2 技術責任者等は,外部委託を実施する場合は,次の各号に掲げる情報セキュリティ対策を実施することを委託先の選定条件とし,仕様に含めるものとする。ただし,一部の条件が設定不可能な場合や意味をなさない場合は,この限りでない。
(1) 委託先に提供する情報の委託先における目的外利用の禁止
(2) 委託先における情報セキュリティ対策の実施内容及び管理体制
(3) 委託業務の実施にあたり,委託先企業若しくはその従業員,再委託先又はその他の者による意図せざる変更が加えられないための管理体制
(4) 委託先の資本関係・役員等の情報,委託業務の実施場所,委託業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供
(5) 情報セキュリティインシデントへの対処方法
(6) 情報セキュリティ対策その他の契約の履行状況の確認方法
(7) 情報セキュリティ対策の履行が不十分な場合の対処方法
3 技術責任者等は,委託業務において取り扱う情報の格付け等を勘案し,必要に応じて,次の各号に掲げる内容を仕様に含めるものとする。
(1) 情報セキュリティ監査の受入れ
(2) サービスレベルの保証
4 技術責任者等は,委託先がその役務内容を一部再委託する場合は,再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう,前2項の措置の実施を委託先に担保させるとともに,再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を本学に提供し,承認を受けるよう,仕様に含めるものとする。
(外部委託における対策)
第5条 技術責任者は,次の各号に掲げるもののほか,委託先における情報セキュリティ対策の遵守方法,情報セキュリティ管理体制等に関し必要な事項を記載した確認書等を提出させるものとする。変更があった場合も同様とする。
(1) 当該委託業務に携わる者の特定
(2) 当該委託業務に携わる者が実施する具体的な情報セキュリティ対策の内容
2 技術責任者は,委託先との情報の受渡し方法及び委託業務終了時の情報の廃棄方法等を含む情報の取扱手順について委託先と合意し,定められた手順により情報を取り扱わなければならない。
3 技術責任者は,契約に基づき,委託先における情報セキュリティ対策の履行状況を確認しなければならない。
4 技術責任者は,委託業務において,情報セキュリティインシデントの発生若しくは情報の目的外利用等を認知した場合又は本学の教職員等からその旨の報告を受けた場合は,委託業務を一時中断する等の必要な措置を講じた上で,契約に基づく対処を委託先に講じさせるものとする。
5 技術責任者は,委託業務の終了時に,委託先において取り扱われた情報が確実に返却又は抹消されたことを確認しなければならない。
第2節 外部サービスの利用
(外部サービス等の選定)
第6条 技術責任者等は,取り扱う情報の格付け及び取扱制限を踏まえ,外部サービスの利用の可否を判断するものとする。
(外部サービスのセキュリティ要件)
第7条 技術責任者等は,外部サービス部分を含む情報の流通経路全般にわたるセキュリティ対策を実現するため,次の各号に掲げるもののうちから調達する外部サービスに応じたセキュリティ要件を定めるものとする。
(1) 外部サービスに係るアクセスログ等の証跡の保存及び提供
(2) 外部サービスのインターネット接続点の通信の監視
(3) 外部サービス提供者による情報の管理・保管の実施内容の確認
(4) 外部サービス上の脆弱性対策の実施内容の確認
(5) 外部サービス上の情報に係る復旧時点目標(RPO)等の指標
(6) 外部サービス上で取り扱う情報の暗号化
(7) 外部サービス利用者の意思による外部サービス上で取り扱う情報の確実な削除・廃棄
(8) 外部サービス利用者が求める情報開示請求に対する開示項目や範囲の明記
(外部サービス提供者の選定条件)
第8条 技術責任者等は,次の各号に掲げる情報セキュリティ対策を実施することを外部サービス提供者の選定条件に含めるものとする。ただし,一部の条件が設定不可能な場合や意味をなさない場合は,この限りでない。
(1) 外部サービスの利用を通じて本学が取り扱う情報の外部サービス提供者における目的外利用の禁止
(2) 外部サービス提供者における情報セキュリティ対策の実施内容及び管理体制
(3) 外部サービスの提供にあたり,外部サービス提供者若しくはその従業員,再委託先又はその他の者による意図せざる変更が加えられないための管理体制
(4) 外部サービス提供者の資本関係・役員等の情報,外部サービスの提供が行われる施設等の場所,外部サービス提供に従事する者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供
(5) 情報セキュリティインシデントへの対処方法
(6) 情報セキュリティ対策その他の契約の履行状況の確認方法
(7) 情報セキュリティ対策の履行が不十分な場合の対処方法
(8) 外部サービスの中断や終了時に円滑に業務を移行するための対策
2 技術責任者等は,外部サービスの利用を通じて本学が取り扱う情報の格付け等を勘案し,必要に応じて,次の各号に掲げる内容を外部サービス提供者の選定条件に含めるものとする。
(1) 情報セキュリティ監査の受入れ
(2) サービスレベルの保証
3 技術責任者等は,外部サービスの利用を通じて本学が取り扱う情報に対して,国内法以外の法令及び規制が適用されるリスクを評価して,外部サービス提供者を選定し,必要に応じて,本学の情報が取り扱われる場所及び契約に定める準拠法・裁判管轄を選定条件に含めるものとする。
4 技術責任者等は,外部サービス提供者がその役務内容を一部再委託する場合は,再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう,外部サービス提供者の選定条件で求める内容を外部サービス提供者に担保させるとともに,再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を本学に提供し,承認を受けるよう,外部サービス提供者の選定条件に含めるものとする。
5 技術責任者等は,情報セキュリティ監査による報告書の内容又は政府情報システムのための評価制度(ISMAP)その他各種の認定・認証制度の適用状況等から,外部サービス提供者の信頼性が十分であることを総合的・客観的に評価し,判断するものとする。
6 技術責任者は,外部サービス提供者との情報の受渡し方法及び委託業務終了時の情報の廃棄方法等を含む情報の取扱手順について外部サービス提供者と合意し,定められた手順により情報を取り扱わなければならない。
(外部委託情報システム管理責任者)
第9条 部局総括責任者は,外部サービスにより要機密情報を取り扱う情報システムを構築する場合は,当該情報システムの管理責任者(以下「外部委託情報システム管理責任者」という。)を置かなければならない。
2 外部委託情報システム管理責任者は,所管する情報システムに係る情報セキュリティ対策に関する業務を統括し,委託先,外部サービス提供者及び利用者を監督・指導する。
(要機密情報を取り扱わない外部サービスの利用)
第10条 部局総括責任者は,当該部局において,外部サービスを業務に利用する場合(要機密情報を取り扱わない場合に限る。)は,利用するサービスの約款その他の提供条件等から,利用にあたってのリスクが許容できることを確認し,利用の可否を決定するものとする。
2 部局総括責任者は,外部サービスの利用を承認する場合は,承認された外部サービスごとに管理者を置き,当該外部サービスの利用において適切な措置を講じさせなければならない。
第11条 部局総括責任者は,本学が管理するアカウントで,ソーシャルメディアサービス(インターネット上において,ブログ,ソーシャルネットワーキングサービス,動画共有サイト等の利用者が情報を発信し,形成していくものをいう。)を利用して情報発信する場合は,要機密情報が取り扱われないようにするとともに,当該ソーシャルメディアサービスの管理者に,次の各号に掲げる情報セキュリティ対策を講じさせなければならない。
(1) 本学が管理するアカウントによる情報発信が,実際の本学のものであることを明らかにするために,アカウントの運用組織を明示する等の方法により,なりすましへの対策を講ずる。
(2) パスワード等の主体認証情報を適切に管理する等の方法により,不正アクセスへの対策を講ずる。
第3章 情報システムのライフサイクルの各段階における対策
(情報システムの企画時における対策)
第12条 技術責任者等は,情報システムを調達する場合は,「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」等を活用し,当該情報システムを構築する目的,対象とする業務,当該情報システムで取り扱われる情報の格付け及び取扱制限,利用環境並びに当該情報システムが運用される際に想定される脅威の分析結果等を考慮した上で,次の各号に掲げるセキュリティ要件を適切に策定し,仕様に含めるものとする。
(1) 情報システムに組み込む主体認証,アクセス制御,権限管理,ログ管理,暗号化機能等のセキュリティ機能要件
(2) 情報システム運用時の監視等の運用管理機能要件
(3) 情報システムに関連する脆弱性についての対策要件
2 技術責任者等は,インターネット回線と接続する情報システムを構築する場合は,接続するインターネット回線を定めた上で,標的型攻撃を始めとするインターネットからの様々なサイバー攻撃による情報の漏えい,改ざん等のリスクを低減するためのセキュリティ要件を策定し,仕様に含めるものとする。
3 技術責任者等は,機器等を調達する場合には,「IT製品の調達におけるセキュリティ要件リスト」を参照し,利用環境における脅威を分析した上で,当該機器等に存在する情報セキュリティ上の脅威に対抗するためのセキュリティ要件を策定し,仕様に含めるものとする。
4 技術責任者等は,基盤となる情報システムを利用して情報システムを構築する場合は,基盤となる情報システム全体の情報セキュリティ水準を低下させることのないように,基盤となる情報システムの情報セキュリティ対策に関する運用管理規程等に基づいたセキュリティ要件を適切に策定し,仕様に含めるものとする。
第13条 技術責任者等は,情報システムの構築を外部委託する場合は,当該情報システムのセキュリティ要件を適切に実装する等,委託先に実施させる事項を仕様に含めるものとする。
2 技術責任者等は,情報システムの運用・保守を外部委託する場合は,当該情報システムに実装されたセキュリティ機能を適切に運用するため,次の各号に掲げる要件を仕様に含めるものとする。
(1) 情報システムの運用環境に課せられるべき条件の整備
(2) 情報システムのセキュリティ監視を行う場合の監視手順や連絡方法
(3) 情報システムの保守における情報セキュリティ対策
(4) 運用中の情報システムに脆弱性が存在することが判明した場合の情報セキュリティ対策
3 技術責任者等は,情報システムの運用・保守を外部委託する場合は,委託先が実施する情報システムに対する情報セキュリティ対策を適切に把握するため,当該対策による情報システムの変更内容について,速やかに報告させるものとする。
(情報システムの構築時における対策)
第14条 技術責任者は,情報システムの構築において,情報セキュリティの観点から必要な措置を講ずるものとする。
2 技術責任者は,情報システムの運用・保守段階へ移行するにあたり,次の各号に掲げる情報セキュリティ対策を講ずるものとする。
(1) 情報セキュリティに関わる運用・保守体制の整備
(2) 運用・保守要員へのセキュリティ機能の利用方法等に関わる教育の実施
(3) 情報セキュリティインシデントを知った場合の対処方法の確立
(情報システムの運用・保守時の対策)
第15条 技術責任者は,情報システムのセキュリティ監視を行う場合は,次の各号に掲げる内容を含む監視手順を定め,適切に監視運用するものとする。
(1) 監視するイベントの種類
(2) 監視体制
(3) 監視状況及び情報セキュリティインシデントの可能性を認知した場合の報告手順
(4) 監視運用における情報の取扱い(機密性の確保)
2 技術責任者は,情報システムに実装されたセキュリティ機能が適切に運用されていることを確認しなければならない。
3 技術責任者は,情報システムにおいて取り扱う情報について,当該情報の格付け及び取扱制限が適切に守られていることを確認しなければならない。
4 技術責任者は,運用中の情報システムについて脆弱性の存在が明らかになった場合は,情報セキュリティを確保するために必要な措置を講じなければならない。
5 技術責任者は,基盤となる情報システムを利用して構築された情報システムを運用する場合は,基盤となる情報システムを整備し運用管理する機関等との責任分界に応じた運用管理体制の下,基盤となる情報システムの運用管理規程等に従い,基盤全体の情報セキュリティ水準を低下させることのないよう,適切に情報システムを運用しなければならない。
6 技術責任者は,不正な行為及び意図しない情報システムへのアクセス等の事象が発生した際に追跡できるよう,運用・保守に係る作業記録を管理しなければならない。
(情報システムの更改・廃棄時の対策)
第16条 技術責任者は,情報システムの更改又は廃棄を行う場合は,当該情報システムに保存されている情報について,当該情報の格付け及び取扱制限を考慮した上で,次の各号に掲げる措置を適切に講ずるものとする。
(1) 情報システム更改時の情報の移行作業における情報セキュリティ対策
(2) 情報システム廃棄時の不要な情報の抹消
(情報システムについての対策の見直し)
第17条 技術責任者は,情報システムの情報セキュリティ対策について,新たな脅威の出現及び運用,監視等の状況により見直しを適時検討し,必要な措置を講ずるものとする。
第4章 情報システムのセキュリティ機能
第1節 主体認証機能
(主体認証機能の導入)
第18条 技術責任者等は,情報システムや情報へのアクセスを管理するため,主体を特定し,それが正当な主体であることを検証する必要がある場合は,主体の識別及び主体認証を行う機能を設けるものとする。
2 技術責任者等は,学外者等からの申請,届出等のオンライン手続を提供する情報システムを構築する場合は,オンライン手続におけるリスクを評価した上で,主体認証に係る要件を定めるものとする。
3 技術責任者等は,主体認証を行う情報システムにおいて,主体認証情報の漏えい等による不正行為を防止するための措置及び不正な主体認証の試行に対抗するための措置を講ずるものとする。
(主体認証に係る対策)
第19条 技術責任者等は,利用者が正当であることを検証するための主体認証機能を設けるにあたっては,次の各号に掲げるもののうちから主体認証方式を決定し,導入するものとする。ただし,認証の強度として,2つ以上の方式を組み合わせる主体認証方式(多要素主体認証方式)が求められる場合は,これを用いなければならない。
(1) 知識(パスワード等,利用者本人のみが知り得る情報)による認証
(2) 所有(電子証明書を格納するICカード,ワンタイムパスワード生成器,利用者本人のみが所有する機器等)による認証
(3) 生体(指紋や静脈等,本人の生体的な特徴)による認証
2 技術責任者は,主体認証情報としてパスワードを使用し,利用者自らがパスワードを設定することを可能とする場合は,辞書攻撃等によるパスワード解析への耐性を考慮し,強固なパスワードに必要な桁数や複雑さを利用者に守らせる機能を設けるものとする。
(不正行為を防止するための措置)
第20条 技術責任者等は,主体認証を行う情報システムにおいて,利用者に主体認証情報の定期的な変更を求める場合は,利用者に対して定期的な変更を促す機能のほか,次の各号に掲げるもののうちから当該情報システムに応じた機能を選択し,設けるものとする。
(1) 利用者が定期的に変更しているか否かを確認する機能
(2) 利用者が定期的に変更しなければ,情報システムの利用を継続させない機能
(3) 利用者が主体認証情報を変更する際に,以前に設定した主体認証情報の再設定を防止する機能
2 技術責任者は,主体認証を行う情報システムにおいて,主体認証情報が第三者に対して明らかにならないよう,次の各号に掲げる方法を用いて適切に管理するものとする。
(1) 主体認証情報を送信又は保存する場合には,その内容を暗号化する。
(2) 主体認証情報に対するアクセス制限を設ける。
3 技術責任者等は,主体認証を行う情報システムにおいて,主体認証情報を他の主体に不正に利用され,又は利用されるおそれを認識した場合の対策として,次の各号に掲げるもののうちから当該情報システムに応じた機能を選択し,設けるものとする。
(1) 当該主体認証情報及び対応する識別コードの利用を停止する機能
(2) 主体認証情報の再設定を利用者に要求する機能
第2節 アカウント管理
(アカウント管理手続の整備)
第21条 技術責任者は,アカウント管理を行う必要があると認める情報システムにおいて,次の各号に掲げるアカウント発行に関する手続を定めるものとする。
(1) 主体からの申請に基づいてアカウントを発行する場合は,その申請者が正当な主体であることを確認するための手続
(2) 主体認証情報の初期配布方法及び変更手続
(3) アクセス制御の設定方法及び変更手続
2 技術責任者は,アカウント管理を行う必要があると認める情報システムにおいて,アカウント管理を行う者を置かなければならない。
(共用アカウント)
第22条 技術責任者は,アカウント管理を行う必要があると認める情報システムにおいて,共用アカウント(複数の主体で共用する識別コードをいう。)を付与する必要がある場合は,共用アカウントに関する取扱いを定め,それに従って利用者に付与しなければならない。
(アカウントの発行)
第23条 アカウント管理を行う者は,利用者等からのアカウント発行申請を受理したときは,申請者が情報セキュリティ対策に関する規程第27条第1項第4号による停止処分の期間中である場合を除き,遅滞なくアカウントを発行しなければならない。
(アカウントの有効性検証)
第24条 アカウント管理を行う者は,発行済のアカウントについて,定期的に利用資格を失ったアカウントの有無を確認するとともに,不適切なアクセス制御設定の有無を点検しなければならない。
(アカウントの削除)
第25条 アカウント管理を行う者は,利用者等が情報システムを利用する必要がなくなった場合は,当該利用者等のアカウントを削除するとともに,当該利用者に交付した主体認証情報格納装置がある場合は,これを返還させ,その旨を技術責任者に報告しなければならない。
2 アカウント管理を行う者は,前条の利用資格を失ったアカウントを発見した場合は,速やかに当該アカウントを削除し,その旨を技術責任者に報告しなければならない。
3 アカウント管理を行う者は,情報セキュリティ対策に関する規程第27条第1項第4号による削除の命令を受けた場合は,速やかに当該アカウントを削除し,その旨を情報処理センター長又は部局総括責任者に報告しなければならない。
(アカウントの停止)
第26条 アカウント管理を行う者は,情報セキュリティ対策に関する規程第27条第1項第4号による停止処分を受けた場合は,速やかに当該アカウントを停止し,その旨を情報処理センター長又は部局総括責任者に報告しなければならない。
2 アカウント管理を行う者は,主体認証情報が他の主体に不正に使用され,又は使用されるおそれを認識した場合は,速やかにCSIRTに報告しなければならない。
3 前項の場合において,アカウント管理を行う者は,当該アカウントを停止することができる。
(アカウントの復帰)
第27条 アカウントの停止を受けた利用者等がアカウント停止からの復帰を希望する場合は,その旨を情報処理センター長又は部局総括責任者に申し出なければならない。
2 情報処理センター長及び部局総括責任者は,前項の申し出を受けたときは,当該アカウントの安全性を確認した上で,アカウントの復帰を指示するものとする。
3 アカウント管理を行う者は,前項の指示に従い,速やかにアカウントを復帰させるものとする。
(管理者権限を持つアカウントの利用)
第28条 管理者権限を持つアカウントを付与された者は,管理者としての業務遂行時以外に当該アカウントを利用してはならない。
第3節 アクセス制御機能
(アクセス制御機能の導入)
第29条 技術責任者等は,情報システムの特性,情報システムが取り扱う情報の格付け及び取扱制限等に従い,権限を有する者のみがアクセス制御の設定等を行うことができる機能を設けるものとする。
2 技術責任者は,情報システム及び情報へのアクセスを許可する主体が確実に制限されるように,アクセス制御機能を適切に運用しなければならない。
(アクセス制御に係る対策)
第30条 技術責任者等は,主体の属性,アクセス対象の属性に基づくアクセス制御の要件を定めるものとする。
2 技術責任者等は,必要に応じて,次の各号に掲げるもののうちからアクセス制御機能の要件を定めるものとする。
(1) 利用時間や利用時間帯によるアクセス制御
(2) 同一主体による複数アクセスの制限
(3) IPアドレスによる端末の制限
(4) ネットワークセグメントの分割によるアクセス制御
(5) ファイルに記録された情報へのアクセスを制御するサーバにおいて,主体認証を受けたユーザのみが暗号化されたファイルに記録された情報に対し,与えられた権限の範囲でアクセス可能となる制御
(6) 主体の操作に対する常時アクセス判断・許可アーキテクチャ(ゼロトラストアーキテクチャ,ゼロトラストセキュリティ等と呼称される。)での制御
第4節 権限の管理
(権限管理に係る対策)
第31条 技術責任者は,主体から対象に対するアクセスの権限を適切に設定するよう,措置を講ずるものとする。
2 技術責任者は,管理者権限の特権を持つ主体の識別コード及び主体認証情報が悪意ある第三者等によって窃取された際の被害を最小化するため,次の各号に掲げるもののうちから必要な措置を講ずるものとする。
(1) 業務上必要な場合に限定する。
(2) 必要最小限の権限のみ付与する。
(3) 管理者権限を行使できる端末をシステム管理者等の専用の端末とする。
3 技術責任者は,権限管理を行う情報システムについて,操作ログの確認を行う等,内部からの不正操作や誤操作を防止するための措置を講ずるものとする。
第5節 ログの取得・管理
(ログの取得・管理)
第32条 技術責任者は,情報システムが正しく利用されていることの検証及び不正侵入,不正操作等がなされていないことの検証を行うために必要なログを取得するものとする。
2 技術責任者は,情報システムに含まれる構成要素(サーバ装置・端末等)のうち,時刻設定が可能なものについては,情報システムにおいて基準となる時刻に当該構成要素の時刻を同期させ,ログに時刻情報も記録されるよう設定しなければならない。
3 技術責任者は,所管する情報システムの特性に応じて,ログを取得する目的を設定した上で,ログを取得する対象の機器等,ログとして取得する情報項目,ログの保存期間,ログ情報の保全方法及びログが取得できなくなった場合の対処方法等を定め,適切にログを管理しなければならない。
4 技術責任者は,取得したログについて,不正な消去,改ざん及びアクセスを防止するため,適切なアクセス制御等を行い,適正に管理しなければならない。
5 技術責任者は,取得したログを定期的に点検又は分析する機能を設け,悪意ある第三者等からの不正侵入,不正操作等の有無について点検又は分析を実施するものとする。
第6節 通信の監視
(通信の監視)
第33条 情報処理センター長及び部局総括責任者は,セキュリティ確保のため,あらかじめ指定した者に,ネットワークを通じて行われる通信の監視(以下この条において「監視」という。)を行わせることができる。
2 情報処理センター長及び部局総括責任者は,あらかじめ監視の範囲を定めておかなければならない。ただし,不正アクセス行為又はこれに類する重大なセキュリティ侵害に対処する場合等,特に必要と認められるときは,セキュリティ侵害の緊急性,内容及び程度に応じて,対処のために不可欠と認められる情報について監視を行うよう命ずることができる。
3 監視を行う者は,監視によって知った情報を他に漏らしてはならない。ただし,前項ただし書に定める場合において,CISO,CSIRT等に対し,当該情報を伝達する場合は,この限りでない。
4 監視によって採取された記録(以下「監視記録」という。)は,要機密情報,要保全情報,要安定情報とし,監視を行わせる者を情報の作成者とする。
5 情報処理センター長及び部局総括責任者は,監視を行う者に対して,監視記録を保存する期間をあらかじめ指示するものとする。監視を行う者は,指示された期間を経過した監視記録を直ちに破棄しなければならない。ただし,必要と認める場合は,監視記録から個人情報に係る部分を削除して,ネットワーク運用及び管理のための資料とすることができる。
(利用記録)
第34条 複数の者が利用する情報機器の管理者は,法令の遵守,情報セキュリティの確保,課金その他情報機器の利用に必要と認められる場合は,当該機器に係る利用記録(以下「利用記録」という。)をあらかじめ定めた目的の範囲でのみ取得することができる。
2 複数の者が利用する情報機器の管理者は,前項に規定する目的のために必要な限りで,利用記録を他の者に伝達することができる。
3 複数の者が利用する情報機器の管理者は,利用記録の範囲及び利用記録の内容を伝達する者をあらかじめ部局総括責任者に届け出し,かつ,当該機器の利用者に開示しなければならない。
4 利用記録は,要機密情報,要保全情報とし,当該情報機器の管理者を情報の作成者とする。
5 複数の者が利用する情報機器の管理者及び利用記録の伝達を受けた者は,不要となった利用記録を直ちに破棄しなければならない。ただし,複数の者が利用する情報機器の管理者は,必要と認める場合は,利用記録から個人情報に係る部分を削除して,ネットワーク運用及び管理のための資料とすることができる。
(利用者が保有する情報の保護)
第35条 複数の者が利用する情報機器の管理者は,利用者が保有する情報をネットワーク運用又は情報セキュリティインシデントへの対処に不可欠な範囲において,閲覧,複製又は提供することができる。
第7節 暗号・電子署名
(暗号化機能及び電子署名機能の導入)
第36条 技術責任者等は,要機密情報を取り扱う情報システムについて,暗号化を行う機能の必要性の有無を検討し,必要があると認めたときは,当該機能を設けるものとする。
2 技術責任者等は,要保全情報を取り扱う情報システムについて,電子署名の付与及び検証を行う機能を設ける必要性の有無を検討し,必要があると認めた場合は,当該機能を設けるものとする。
3 技術責任者等は,暗号化及び電子署名を導入する場合は,やむを得ない場合を除き,暗号技術検討会及び関連委員会(CRYPTREC)により安全性及び実装性能が確認された「電子政府推奨暗号リスト」に記載されたアルゴリズム及びそれを利用した安全なプロトコルを採用するものとする。
4 技術責任者等は,電子署名を行うにあたり,電子署名の目的に合致し,かつ,適用可能な電子証明書をUPKI電子証明書発行サービスが発行している場合は,それを使用することができる。
(暗号化及び電子署名に係る管理)
第37条 技術責任者は,暗号又は電子署名を適切な状況で利用するため,次の各号に掲げる措置を講ずるものとする。
(1) 電子署名の付与を行う情報システムにおいて,電子署名の正当性を検証するための情報又は手段を署名検証者へ安全な方法で提供すること。
(2) 暗号化を行う情報システム又は電子署名の付与若しくは検証を行う情報システムにおいて,暗号化又は電子署名のために選択されたアルゴリズムの危殆化及びプロトコルの脆弱性に関する情報を定期的に入手し,必要に応じて,利用者等と共有を図ること。
第5章 情報システムの脅威への対策
第1節 ソフトウェアに関する脆弱性対策
(ソフトウェアに関する脆弱性対策)
第38条 技術責任者等は,利用するソフトウェアについてはサポート期間を考慮して選定するとともに,サポートが受けられないソフトウェアは利用してはならない。
2 技術責任者は,サーバ装置,端末及び通信回線装置上で利用するソフトウェアの脆弱性に関して,次の各号に掲げる情報を適宜入手するものとする。
(1) 脆弱性の原因
(2) 影響範囲
(3) 対策方法
(4) 脆弱性を悪用する不正プログラムの流通状況
3 技術責任者は,次の各号に掲げるいずれかの方法により脆弱性対策の状況を定期的に確認するものとする。この場合において,脆弱性対策の状況を確認する間隔は,可能な範囲で短くするものとする。
(1) 構成要素ごとにソフトウェアのバージョン等を把握し,当該ソフトウェアの脆弱性の有無を確認する。
(2) 脆弱性診断を実施する。
4 技術責任者は,脆弱性対策の定期的な確認により脆弱性対策が講じられていない状態が確認された場合並びにサーバ装置,端末及び通信回線装置上で利用するソフトウェアに関連する脆弱性情報を入手した場合は,セキュリティパッチの適用又はソフトウェアのバージョンアップ等による情報システムへの影響を考慮した上で,ソフトウェアに関する脆弱性対策計画を策定し,実施しなければならない。
(1) 対策の必要性
(2) 対策方法
(3) 対策方法が存在しないゼロデイと呼ばれる状態の場合又は対策が完了するまでの期間に対する一時的な回避方法
(4) 対策方法又は回避方法が情報システムに与える影響
(5) 対策の実施予定時期
(6) 対策試験の必要性
(7) 対策試験の方法
(8) 対策試験の実施予定時期
6 技術責任者は,脆弱性対策が計画どおり実施されていることについて,実施予定時期の経過後,遅滞なく確認しなければならない。
7 技術責任者は,セキュリティパッチ,バージョンアップソフトウェア等の脆弱性を解決するために利用されるファイルは,信頼できる方法で入手し,完全性を検証しなければならない。
第2節 不正プログラム対策
(不正プログラム対策)
第39条 技術責任者等は,サーバ装置及び端末に,動作可能な不正プログラム対策ソフトウェアが存在しない場合を除き,不正プログラム対策ソフトウェアを導入し,不正プログラム対策ソフトウェア及びその定義ファイルは常に最新のものが利用可能となるよう構成しなければならない。
2 技術責任者は,不正プログラム対策ソフトウェアの設定変更権限を一括管理し,システム利用者に当該権限を付与してはならない。
3 技術責任者は,不正プログラム対策ソフトウェアを定期的にすべてのファイルを対象としたスキャンを実施するように構成しなければならない。
4 技術責任者は,想定されるすべての感染経路を特定し,不正プログラム対策ソフトウェアの導入による感染の防止,端末の接続制限及び機能の無効化等による感染拡大の防止等の必要な対策を講ずるものとする。
(不正プログラム対策の状況の把握)
第40条 技術責任者は,不正プログラム対策の実施を徹底するため,次の各号に掲げる不正プログラム対策に関する状況を把握し,必要な措置を講ずるものとする。
(1) 不正プログラム対策ソフトウェアの導入状況
(2) 不正プログラム対策ソフトウェアの定義ファイルの更新状況
第3節 サービス不能攻撃対策
(サービス不能攻撃対策)
第41条 技術責任者は,要安定情報を取り扱う情報システム(インターネットからアクセスを受ける情報システムに限る。以下本条において同じ。)については,サービス提供に必要なサーバ装置,端末及び通信回線装置が次の各号に掲げるサービス不能攻撃に対抗するための機能を設けている場合は,これらを有効にしてサービス不能攻撃に対処しなければならない。
(1) パケットフィルタリング機能
(2) 3―way handshake時のタイムアウトの短縮
(3) 各種Flood攻撃への防御
(4) アプリケーションゲートウェイ機能
2 技術責任者は,サーバ装置,端末及び通信回線装置に設けられている機能を有効にするだけではサービス不能攻撃の影響を排除又は低減できない場合には,次の各号に掲げる対策を検討するものとする。
(1) インターネットに接続している通信回線の提供元となる事業者が別途提供するサービス不能攻撃に係る通信の遮断等の対策
(2) サービス不能攻撃の影響を排除又は低減するための専用の対策装置の導入
(3) サーバ装置,端末,通信回線装置又は通信回線の冗長化
(4) コンテンツデリバリーネットワーク(CDN)サービスの利用
3 技術責任者は,要安定情報を取り扱う情報システムについては,サービス不能攻撃を受けるサーバ装置,端末,通信回線装置又は通信回線から監視対象を特定し,監視するものとする。
第4節 標的型攻撃対策
(標的型攻撃対策)
第42条 技術責任者は,サーバ装置及び端末について,標的型攻撃による組織内部への侵入を低減するため,次の各号に掲げる対策を講ずるものとする。
(1) 不要なサービスについて機能を削除又は停止する。
(2) パーソナルファイアウォール等を用いて,サーバ装置及び端末に入力される通信及び出力される通信を必要最小限に制限する。
2 技術責任者は,USBメモリ等の外部電磁的記録媒体を利用した組織内部への侵入を低減するため,次の各号に掲げる対策を講ずるものとする。
(1) ネットワーク上の端末に接続する外部電磁的記録媒体を事前に特定し,出所不明の外部電磁的記録媒体をネットワーク上の端末に接続させない。
(2) 外部電磁的記録媒体をサーバ装置及び端末に接続する際,不正プログラム対策ソフトウェアを用いて検査する。
(3) サーバ装置及び端末について,自動再生(オートラン)機能を無効化する。
(4) サーバ装置及び端末について,使用を想定しないUSBポートを無効化する。
(1) サーバ装置及び端末について,外部電磁的記録媒体内にあるプログラムを一律に実行拒否する設定とする。
(2) ネットワーク上の端末に対する外部電磁的記録媒体の接続を制御及び管理するための製品やサービスを導入する。
4 技術責任者は,情報窃取や破壊等の攻撃対象となる蓋然性が高いと想定される認証サーバやファイルサーバ等の重要なサーバについて,次の各号に掲げるもののうちから当該サーバに応じた対策を講ずるものとする。
(1) 重要なサーバについては,重要サーバ類専用のセグメントに設置し,他のセグメントからのアクセスを必要最小限に限定する。また,インターネットに直接接続しない。
(2) 認証サーバについては,利用者端末から管理者権限を狙う攻撃(辞書攻撃,ブルートフォース攻撃等)を受けることを想定した対策を講ずる。
5 技術責任者は,端末の管理者権限アカウントについて,次の各号に掲げる対策を講ずるものとする。
(1) 不要な管理者権限アカウントを削除する。
(2) 管理者権限アカウントのパスワードは,容易に推測できないものを設定する。
第6章 アプリケーション・コンテンツ
(アプリケーション・コンテンツのセキュリティ要件)
第43条 技術責任者等は,アプリケーション・コンテンツを開発・作成する場合は,学外の情報システム利用者の情報セキュリティ水準の低下を招かぬよう,次の各号に掲げる要件を仕様に含めるものとする。
(1) 提供するアプリケーション・コンテンツが不正プログラムを含まないこと。
(2) 提供するアプリケーションが脆弱性を含まないこと。
(3) 実行プログラムの形式以外にコンテンツを提供する手段がない場合を除き,実行プログラムの形式でコンテンツを提供しないこと。
(4) 電子証明書を利用する等,提供するアプリケーション・コンテンツの改ざん等がなく,真正なものであることを確認できる手段がある場合は,それをアプリケーション・コンテンツの提供先に与えること。
(5) 提供するアプリケーション・コンテンツの利用時に,脆弱性が存在するバージョンのOSやソフトウェア等の利用を強制する等,情報セキュリティ水準を低下させる設定変更を利用者に要求することがないよう,アプリケーション・コンテンツの提供方式を定めて開発すること。
(6) サービス利用にあたって必須ではない,サービス利用者その他の者に関する情報が本人の意思に反して第三者に提供される等の機能がアプリケーション・コンテンツに組み込まれることがないよう開発すること。
2 技術責任者等は,アプリケーション・コンテンツの開発・作成を外部委託する場合は,前項各号に掲げる要件を仕様に含めるものとする。
(兵庫教育大学ドメイン名の使用)
第44条 技術責任者等は,学外向けに提供するウェブサイト等が実際の本学提供のものであることを利用者が確認できるように,hyogo-u.ac.jpで終わるドメイン名(以下「兵庫教育大学ドメイン名」という。)を情報システムにおいて使用するよう仕様に含めるものとする。ただし,ソーシャルメディアサービスによる情報発信を行う場合を除く。
2 技術責任者等は,学外向けに提供するウェブサイト等の作成を外部委託する場合は,兵庫教育大学ドメイン名を使用するよう仕様に含めるものとする。
(不正なウェブサイトへの誘導防止)
第45条 技術責任者は,学外向けに提供するウェブサイトに対して,次の各号に掲げる検索エンジン最適化措置(SEO対策)を講ずるものとする。
(1) クローラからのアクセスを排除しない。
(2) cookie機能を無効に設定したブラウザでも正常に閲覧可能とする。
(3) 適切なタイトルを設定する。
(4) 不適切な誘導を行わない。
2 技術責任者は,学外向けに提供するウェブサイトに関連するキーワードで定期的にウェブサイトを検索し,検索結果に不審なサイトが存在した場合は,速やかにその検索サイト業者へ報告するとともに,不審なサイトへのアクセスを防止するための対策を講ずるものとする。
(アプリケーション・コンテンツの告知)
第46条 技術責任者は,アプリケーション・コンテンツを告知するにあたって,誘導を確実なものとするため,URL等を用いて直接誘導することを原則とし,検索サイトで指定の検索語を用いて検索することを促す方法その他の間接的な誘導方法を用いる場合であっても,URL等と一体的に表示しなければならない。ただし,短縮URLは用いてはならない。
2 技術責任者は,アプリケーション・コンテンツを告知するにあたって,URLを二次元コード等に変換して印刷物等に表示して誘導する場合には,当該コードによる誘導先を明らかにするため,アプリケーション・コンテンツの内容に係る記述を当該コードと一体的に表示しなければならない。
3 技術責任者は,学外者が提供するアプリケーション・コンテンツを告知する場合は,告知するURL等の有効性を保つため,次の各号に掲げる措置を講ずるものとする。
(1) 告知するアプリケーション・コンテンツを管理する組織名を明記する。
(2) 告知するアプリケーション・コンテンツの所在場所の有効性(リンク先のURLのドメイン名の有効期限等)を確認した時期又は有効性を保証する期間について明記する。
第7章 端末・サーバ装置等
第1節 端末
(物理的な脅威から保護するための対策)
第47条 技術責任者は,要保護情報を取り扱う端末について,端末の盗難及び不正な持ち出しを防止するため,必要に応じて,次の各号に掲げる対策を講ずるものとする。
(1) モバイル端末を除く端末を,容易に切断できないセキュリティワイヤを用いて固定物又は搬出が困難な物体に固定する。
(2) モバイル端末を保管するための設備(利用者が施錠できる袖机やキャビネット等)を用意する。
2 技術責任者は,要保護情報を取り扱う端末について,第三者による不正操作及び表示用デバイスの盗み見を防止するため,次の各号に掲げる対策を講ずるものとする。
(1) 一定時間操作がないと自動的にスクリーンロックするよう設定する。
(2) 盗み見されるおそれがある場合にモバイル端末に覗き見防止フィルタを取り付ける。
(端末で利用を認めるソフトウェア及び利用を禁止するソフトウェアに係る対策)
第48条 技術責任者は,所管する端末について,次の各号に掲げる事項を考慮した上で,利用を認めるソフトウェア及び利用を禁止するソフトウェア(バージョンも含む。)を定めなければならない。
(1) ソフトウェアベンダのサポート状況
(2) ソフトウェアが行う外部との通信の有無及び通信する場合はその通信内容
(3) インストール時に同時にインストールされる他のソフトウェア
(4) その他ソフトウェアの利用に伴う情報セキュリティリスク
2 技術責任者は,利用を認めるソフトウェア及び利用を禁止するソフトウェアについて定期的に見直しを行わなければならない。
3 技術責任者は,所管する端末で利用されているすべてのソフトウェアの状態を定期的に調査し,不適切な状態にある端末があることを知った場合は,改善の措置を講じなければならない。
(端末の運用終了時の対策)
第49条 技術責任者は,所管する端末の運用を終了する際に,端末の電磁的記録媒体のすべての情報を抹消しなければならない。
(テレワークで使用する本学が支給する端末に係る対策)
第50条 技術責任者は,テレワークで使用する要機密情報を取り扱う本学が支給する端末について,盗難,紛失,不正プログラムの感染等により情報窃取されることを防止するため,シンクライアント等の仮想デスクトップ技術,セキュアブラウザ等を活用し,当該端末に情報を保存させないリモートアクセス環境を構築するものとする。
2 技術責任者は,前項のリモートアクセス環境を構築する場合は,悪意のある者に容易に侵入されることのないよう多要素主体認証を導入しなければならない。
(1) ファイル暗号化等のセキュリティ機能を持つアプリケーションを導入する。
(2) 端末に,ハードディスク等の電磁的記録媒体全体を自動的に暗号化する機能を設ける。
(3) 前2号に掲げるいずれの機能も使用できない場合は,端末にファイルを暗号化する機能を設ける。
(4) ハードディスク等の電磁的記録媒体に保存されている情報を遠隔からの命令等により暗号化消去する機能を設ける。
(5) 高度なセキュリティ機能を備えたOSを搭載するスマートフォンやタブレット端末等を使用する。
2 端末管理責任者は,要機密情報を取り扱う本学が支給する端末以外の端末について,前条の例により,盗難,紛失,不正プログラムの感染等により情報窃取されることを防止するための措置を講ずるものとする。ただし,自ら講ずることができないものについては,当該端末を用いてテレワークを実施する教職員等に講じさせるものとする。
3 端末管理責任者は,教職員等が要機密情報を取り扱う本学が支給する端末以外の端末を利用する場合は,不正プログラムの感染等により情報窃取されることを防止するため,当該教職員等に,次の各号に掲げる措置を講じさせるものとする。
(1) 強固なパスワード等による端末ロックの常時設定
(2) OSやアプリケーションの最新化
(3) 不正プログラム対策ソフトウェアの導入及び定期的な不正プログラム検査の実施
(4) 端末内の要機密情報の外部サーバ等へのバックアップの禁止
(5) 本学提供の業務専用アプリケーションの利用(専用アプリケーションを提供する場合のみ)
(6) 以下の禁止事項の遵守
ア 端末,OS,アプリケーション等の改造行為
イ 利用が禁止されているソフトウェアのインストール及び利用
ウ 許可されない通信回線サービスの利用
エ 第三者(家族を含む。)への端末の貸与
(7) その他端末管理責任者が必要と認める事項
第2節 サーバ装置
(物理的な脅威から保護するための対策)
第52条 技術責任者は,要保護情報を取り扱うサーバ装置の盗難及び不正な持ち出しを防止するため,次の各号に掲げるいずれかの対策を講ずるものとする。
(1) 施錠可能なサーバラックに設置し,施錠する。
(2) 容易に切断できないセキュリティワイヤを用いて,固定物又は搬出が困難な物体に固定する。
2 技術責任者は,第三者による不正操作及び表示用デバイスの盗み見を防止するため,一定時間操作がないと自動的にスクリーンロックするよう設定するものとする。
(可用性を確保するための対策)
第53条 技術責任者等は,要安定情報を取り扱う情報システムについては,障害や過度のアクセス等によりサービスが提供できない事態となることを防ぐため,将来の見通しも考慮した上で,次の各号に掲げるもののうちから当該情報システムに応じた措置を講ずるものとする。
(1) 負荷分散装置,DNSラウンドロビン方式等による負荷分散
(2) 同一システムを2系統で構成することによる冗長化
(サーバ装置で利用を認めるソフトウェア及び利用を禁止するソフトウェアに係る対策)
第54条 技術責任者は,所管するサーバ装置について,次の各号に掲げる事項を考慮した上で,利用を認めるソフトウェア及び利用を禁止するソフトウェア(バージョンも含む。)を定めなければならない。
(1) ソフトウェアベンダのサポート状況
(2) ソフトウェアが行う外部との通信の有無及び通信する場合はその通信内容
(3) インストール時に同時にインストールされる他のソフトウェア
(4) その他ソフトウェアの利用に伴う情報セキュリティリスク
2 技術責任者は,利用を認めるソフトウェア及び利用を禁止するソフトウェアについて定期的に見直しを行わなければならない。
3 技術責任者は,所管するサーバ装置の構成やソフトウェアの状態を定期的に確認し,不適切な状態にあるサーバ装置があることを知った場合は,改善の措置を講じなければならない。
(サーバ装置の保守作業における対策)
第55条 技術責任者は,通信回線を経由してサーバ装置の保守作業を行う際に送受信される情報が漏えいすることを防止するため,暗号化等の対策を講じなければならない。
(サーバ装置の監視に係る対策)
第56条 技術責任者は,所管するサーバ装置上での不正な行為及び無許可のアクセス等の意図しない事象の発生を検知する必要がある場合は,当該サーバ装置を監視するため,次の各号に掲げるもののうちから当該サーバに応じた対策を講ずるものとする。ただし,サーバ装置の利用環境等から不要と判断できる場合は,この限りでない。
(1) アクセスログ等を定期的に確認する。
(2) IDS/IPS,ウェブアプリケーションファイアウォール等を設置する。
(3) 不正プログラム対策ソフトウェアを利用する。
(4) ファイル完全性チェックツールを利用する。
(5) CPU,メモリ,ディスクI/O等のシステム状態を確認する。
(サーバ装置の復元に係る対策)
第57条 技術責任者は,要安定情報を取り扱うサーバ装置については,運用状態を復元するため,次の各号に掲げるもののうちから当該サーバに応じた対策を講ずるものとする。
(1) サーバ装置の運用に必要なソフトウェアの原本を別に用意しておく。
(2) 定期的なバックアップを実施する。
(3) サーバ装置を冗長構成にしている場合は,サービスを提供するサーバ装置を代替サーバ装置に切り替える訓練を実施する。
(4) バックアップとして取得した情報からサーバ装置の運用状態を復元するための訓練を実施する。
(サーバ装置の運用管理作業の記録に係る対策)
第58条 技術責任者は,サーバ装置の運用管理について,作業日,作業を行ったサーバ装置,作業内容及び作業者を含む事項を記録しなければならない。
(サーバ装置の運用終了時の対策)
第59条 技術責任者は,所管するサーバ装置の運用を終了する際に,サーバ装置の電磁的記録媒体のすべての情報を抹消しなければならない。
第3節 複合機・特定用途機器
(複合機の導入時の対策)
第60条 技術責任者等は,複合機を調達する場合は,「IT製品の調達におけるセキュリティ要件リスト」を参照する等し,複合機が備える機能,設置環境並びに取り扱う情報の格付け及び取扱制限に応じ,当該複合機に対して想定される脅威を分析した上で,脅威へ対抗するためのセキュリティ要件を仕様に含めるものとする。
(複合機の運用時の対策)
第61条 技術責任者は,運用中の複合機について,次の各号に掲げる情報セキュリティインシデントへの対策を講ずるものとする。
(1) 複合機について,利用環境に応じた適切なセキュリティ設定を実施する。
(2) 複合機が備える機能のうち利用しない機能を停止する。
(3) 印刷された書面からの情報の漏えいが想定される場合には,複合機が備える操作パネル等で利用者認証が成功した者のみ印刷が許可される機能等を活用する。
(4) 学内通信回線とファクシミリ等に使用する公衆通信回線が複合機の内部において接続されないようにする。
(5) 複合機をインターネットに直接接続しない。
(6) リモートメンテナンス等の目的で複合機がインターネットを介して外部と通信する場合は,ファイアウォール等の利用により適切に通信制御を行う。
(7) 利用者ごとに許可される操作を適切に設定する。
(複合機の運用終了時の対策)
第62条 技術責任者は,内蔵電磁的記録媒体の全領域完全消去機能(上書き消去機能)を備える複合機については,当該機能を活用することにより複合機内部の情報を抹消しなければならない。
2 技術責任者は,前項の機能を備えていない複合機については,委託先との契約時に委託先に複合機内部に保存されている情報の漏えいが生じないための対策を講じさせることを契約内容に含むようにする等の別の手段で対策を講じなければならない。
(特定用途機器の対策)
第63条 技術責任者は,特定用途機器の特性に応じて,次の各号に掲げる対策を講ずるものとする。ただし,使用している特定用途機器の機能上の制約により講ずることができない対策を除く。
(1) 特定用途機器について,運用開始前に初期設定されているパスワード等の主体認証情報を変更した上で,適切に管理する。
(2) 特定用途機器にアクセスする主体に応じて必要な権限を割り当て,管理する。
(3) 特定用途機器が備える機能のうち利用しない機能を停止する。
(4) インターネットと通信を行う必要のない特定用途機器については,当該特定用途機器をインターネットやインターネットに接点を有する情報システムに接続しない。
(5) 特定用途機器がインターネットを介して外部と通信する場合は,ファイアウォール等の利用により適切に通信制御を行う。
(6) 特定用途機器のソフトウェアに関する脆弱性の有無を確認し,脆弱性が存在する場合は,バージョンアップやセキュリティパッチの適用,アクセス制御等の対策を講ずる。
(7) 特定用途機器に対する不正な行為,無許可のアクセス等の意図しない事象の発生を監視する。
(8) 特定用途機器を廃棄する場合は,特定用途機器の内蔵電磁的記録媒体に保存されているすべての情報を抹消する。
第8章 電子メール・ウェブ
第1節 電子メール
(電子メールの対策)
第64条 技術責任者は,所管する電子メールサーバが電子メールの不正な中継を行わないように設定しなければならない。
2 技術責任者等は,電子メールの受信時に限らず,送信時においても不正な利用を排除するため,SMTP認証等の主体認証機能を導入するものとする。
3 技術責任者は,電子メールのなりすましを防止するため,次の各号に掲げるもののうち必要な対策を講ずるものとする。
(1) SPF(Sender Policy Framework),DKIM(DomainKeys Identified Mail),DMARC(Domain―based Message Authentication,Reporting&Conformance)等の送信ドメイン認証技術による送信側の対策を行う。
(2) SPF,DKIM,DMARC等の送信ドメイン認証技術による受信側の対策を行う。
(3) S/MIME(Secure/Multipurpose Internet Mail Extensions)等の電子メールにおける電子署名の技術を利用する。
4 技術責任者は,インターネットを介して通信する電子メールの盗聴及び改ざんを防止するため,次の各号に掲げるもののうちから電子メールのサーバ間通信の暗号化の対策を講ずるものとする。
(1) SMTPによるサーバ間通信をTLSにより保護する。
(2) S/MIME等の電子メールにおける暗号化及び電子署名の技術を利用する。
5 情報処理センター長は,受信メールに対するフィルタリング機能を有する情報システムの導入等,利用者が不審なメールを受信することによる被害を抑止するために必要な対策を講ずるものとする。
第2節 ウェブ
(ウェブサーバの導入・運用時の対策)
第65条 技術責任者は,ウェブサーバの管理や設定において,次の各号に掲げる情報セキュリティ確保のための対策を講ずるものとする。
(1) 不要な機能の停止又は制限のため,以下によりウェブサーバの管理や設定を行う。
ア CGI機能を用いるスクリプト等は必要最低限のものに限定し,CGI機能を必要としない場合は設定でCGI機能を使用不可とする。
イ ディレクトリインデックスの表示を禁止する。
ウ ウェブコンテンツ作成ツールやコンテンツ・マネジメント・システム(CMS)等における不要な機能を制限する。
エ ウェブサーバ上で動作するソフトウェアは最新のものを利用する等,既知の脆弱性が解消された状態を維持する。
(2) ウェブコンテンツの編集作業を担当する主体を限定するため,以下によりウェブサーバの管理や設定を行う。
ア ウェブサーバ上のウェブコンテンツへのアクセス権限は,ウェブコンテンツの作成や更新に必要な者以外に更新権を与えない。
イ OSやアプリケーションのインストール時に標準で作成される識別コードやテスト用に作成した識別コード等,不要なものは削除する。
(3) 公開してはならない又は無意味なウェブコンテンツが公開されないように管理するため,以下によりウェブサーバの管理や設定を行う。
ア 公開を想定していないファイルをウェブ公開用ディレクトリに置かない。
イ 初期状態で用意されるサンプルのページ,プログラム等,不要なものは削除する。
(4) ウェブコンテンツの編集作業に用いる端末を限定し,識別コード及び主体認証情報を適切に管理するため,以下によりウェブサーバの管理や設定を行う。
ア ウェブコンテンツを管理する端末では,ウェブコンテンツの管理に関係する作業のみを行い,その作業に関係のないウェブサイトを閲覧しない,セキュリティ対策が不十分なUSBメモリを利用しない等,情報セキュリティを確保した運用を行う。
イ ウェブコンテンツの更新の際は,ウェブサーバに接続する接続元のIPアドレスを必要最小限に制限する。
ウ ウェブコンテンツの更新に利用する識別コードや主体認証情報は,情報セキュリティを確保した管理を行う。
(5) 通信時の盗聴による第三者への情報の漏えい及び改ざんの防止並びに正当なウェブサーバであることを利用者が確認できるようにするため,以下の措置を講じる。
ア TLS機能を適切に用いる。
イ TLS機能のために必要となるサーバ証明書には,利用者が事前のルート証明書のインストールを必要とすることなく,その正当性を検証できる認証局(証明書発行機関)により発行された電子証明書を用いる。
ウ 暗号技術検討会及び関連委員会(CRYPTREC)により作成された「TLS暗号設定ガイドライン」に従って,TLSサーバを適切に設定する。
(ウェブアプリケーションの開発・運用時の対策)
第66条 技術責任者等は,ウェブアプリケーションの開発において,ウェブアプリケーションの既知の脆弱性を排除するための対策を講ずるものとする。
2 技術責任者は,ウェブアプリケーションの運用時においても,前項の対策に漏れがないか定期的に確認し,対策に漏れがある状態が確認された場合は対処しなければならない。
第3節 ドメインネームシステム(DNS)
(DNS導入時の対策)
第67条 情報処理センター長は,要安定情報を取り扱う情報システムの名前解決を提供するコンテンツサーバにおいて,名前解決を停止させないための措置を講ずるものとする。
2 情報処理センター長は,キャッシュサーバにおいて,名前解決の要求への適切な応答をするための措置を講ずるものとする。
3 情報処理センター長は,学内のみで使用する名前の解決を提供するコンテンツサーバにおいて,当該コンテンツサーバで管理する情報が外部に漏えいすることを防止するための措置を講ずるものとする。
(DNSの運用時の対策)
第68条 情報処理センター長は,コンテンツサーバを複数台設置する場合は,管理するドメインに関する情報についてサーバ間で整合性を維持しなければならない。
2 情報処理センター長は,コンテンツサーバにおいて管理するドメインに関する情報が正確であることを定期的に確認しなければならない。
3 情報処理センター長は,キャッシュサーバにおいて,ルートヒントファイル(DNSルートサーバの情報が登録されたファイル)の更新の有無を定期的に確認し,最新のDNSルートサーバの情報を維持しなければならない。
第4節 データベース
(データベースの導入・運用時の対策)
第69条 技術責任者は,データベースに対する内部不正を防止するため,次の各号に掲げる方法により,管理者アカウントの適正な権限管理を行うものとする。
(1) 必要に応じて,情報システムの管理者とデータベースの管理者を別にする。
(2) データベースに格納されているデータにアクセスする必要のない管理者に対して,データへのアクセス権を付与しない。
(3) データベースの管理に関する権限の不適切な付与を検知できるよう,措置を講ずる。
2 技術責任者は,データベースに格納されているデータにアクセスした利用者を特定できるよう,措置を講ずるものとする。
3 技術責任者は,データベースに格納されているデータに対するアクセス権を有する利用者によるデータの不正な操作を検知できるよう,次の各号に掲げるもののうちから必要な措置を講ずるものとする。
(1) 一定数以上のデータの取得に関するログを記録し,警告を発する。
(2) データを取得した時刻が不自然である等,通常の業務によるデータベースの操作から逸脱した操作に関するログを記録し,警告を発する。
4 技術責任者は,データベース及びデータベースへアクセスする機器等の脆弱性を悪用したデータの不正な操作を防止するため,次の各号に掲げる措置を講ずるものとする。
(1) データベースにアクセスする機器上で動作するプログラムに対して,SQLインジェクションの脆弱性を排除する。
(2) データベースにアクセスする機器上で動作するプログラムに対して,SQLインジェクションの脆弱性の排除が不十分であると判断した場合は,以下の対策の実施を検討する。
ア ウェブアプリケーションファイアウォールの導入
イ データベースファイアウォールの導入
5 技術責任者は,データの窃取,電磁的記録媒体の盗難等による情報の漏えいを防止する必要がある場合は,適切に暗号化を行わなければならない。
第9章 通信回線
第1節 通信回線
(学外通信回線との接続)
第70条 情報処理センター長は,情報システムのセキュリティを確保の上,学内通信回線を学外通信回線と接続するものとする。
2 情報処理センター長は,情報システムのセキュリティが確保できないと判断した場合は,他の情報システムと共有している学内通信回線又は学外通信回線から独立した通信回線として学内通信回線を構築するものとする。
3 情報処理センター長は,アクセス制御の設定の見直し並びに学外通信回線から通信することが可能な学内通信回線及び通信回線装置のセキュリティホールの検査等を定期的に実施しなければならない。
4 基幹情報ネットワーク等管理担当者は,学内通信回線と学外通信回線との間で送受信される通信を監視するものとする。
(通信回線の秘匿性確保に係る対策)
第71条 技術責任者は,要機密情報を取り扱う情報システムを通信回線に接続する際に,通信内容の秘匿性の確保が必要と考える場合は,TLS,IPsec等による暗号化を行うものとする。
(通信回線への情報システムの接続に係る対策)
第72条 技術責任者は,無許可の情報システムを学内通信回線へ接続させないために必要な対策を講ずるものとする。
(通信回線及び通信回線装置の保護に係る対策)
第73条 技術責任者は,第三者による通信回線及び通信回線装置の破壊,不正操作等が行われないようにするため,通信回線装置を施錠可能なラックに設置する,施設内に敷設した通信ケーブルを物理的に保護する等,必要な対策を講ずるものとする。
(要安定情報を取り扱う情報システムが接続される通信回線)
第74条 技術責任者等は,要安定情報を取り扱う情報システムが接続される通信回線を構築する場合は,次の各号に掲げるもののうちから当該情報システムに応じた対策を講ずるものとする。
(1) 通信回線の性能低下や異常の有無を確認するため,通信回線の利用率,接続率等の運用状態を定常的に確認,分析する機能を設ける。
(2) 通信回線及び通信回線装置を冗長構成にする。
(遠隔地から通信回線装置に対して行われるリモートアクセスに係る対策)
第75条 技術責任者は,遠隔地から通信回線装置に対して保守又は診断のためのリモートメンテナンスを行う場合は,セキュリティ確保のため,次の各号に掲げるもののうちから必要な対策を講ずるものとする。
(1) リモートメンテナンス端末の機器番号等の識別コードによりアクセス制御を行う。
(2) 主体認証によりアクセス制御する。
(3) 通信内容の暗号化により秘匿性を確保する。
(4) ファイアウォール等の通信制御のための機器に例外的な設定を行う場合は,その設定により脆弱性が生じないようにする。
(作業記録・設定情報等のバックアップの取得と保管)
第76条 技術責任者は,通信回線及び通信回線装置の運用・保守に関わる作業を実施する場合は,情報セキュリティインシデント発生時の調査対応のため,作業記録を取得し,保管するものとする。
2 技術責任者は,要安定情報を取り扱う情報システムを構成する通信回線装置については,運用状態を復元するために必要な設定情報等のバックアップを取得し,保管するものとする。
(通信回線の運用終了時の対策)
第77条 技術責任者は,通信回線装置の運用を終了する場合は,運用中に保存していた情報が漏えいすることを防止するため,当該通信回線装置の電磁的記録媒体に記録されているすべての情報を抹消する等,必要な対策を講ずるものとする。
(VPN回線によるリモートアクセス環境に係る対策)
第78条 情報処理センター長は,VPN回線を整備してリモートアクセス環境を構築する場合は,利用者の主体認証(多要素主体認証)及び通信内容の暗号化等,情報セキュリティ確保のために必要な対策を講ずるものとする。
(無線LAN環境に係る対策)
第79条 技術責任者は,無線LAN技術を利用して学内通信回線を構築する場合は,通信内容の秘匿性を確保するために通信路の暗号化を行うほか,利用者又は端末の認証等,情報セキュリティ確保のために必要な対策を講ずるものとする。
(電子計算機及び情報ネットワーク資源の管理)
第80条 技術責任者は,電子計算機及び情報ネットワークの利用を総合的かつ計画的に推進するため,電子計算機のCPU資源及びディスク資源並びにネットワーク帯域資源を利用者等の利用形態に応じて適切に分配し,管理するものとする。
(ネットワーク情報の管理)
第81条 情報処理センターからドメイン名やIPアドレス等のネットワーク情報の割当てを受けた者は,利用者の利用形態に応じて適切に分配し,管理するものとする。
第2節 IPv6通信回線
(IPv6通信を行う情報システムに係る対策)
第82条 技術責任者等は,IPv6技術を利用する通信を行う情報システムを構築する場合は,製品として調達する機器等について,IPv6 Ready Logo Programに基づくPhase―2準拠製品を可能な場合には選択するものとする。
2 技術責任者等は,IPv6通信の特性等を踏まえ,IPv6通信を想定して構築する情報システムにおいて,次の各号に掲げる脅威又は脆弱性に対する検討を行い,必要な措置を講ずるものとする。
(1) グローバルIPアドレスによる直接の到達性における脅威
(2) IPv6通信環境の設定不備等に起因する不正アクセスの脅威
(3) IPv4通信とIPv6通信を情報システムにおいて共存させる際の処理考慮漏れに起因する脆弱性の発生
(4) アプリケーションにおけるIPv6アドレスの取扱い考慮漏れに起因する脆弱性の発生
(意図しないIPv6通信の抑止等)
第83条 技術責任者は,所管するサーバ装置,端末及び通信回線装置をIPv6通信を想定していない通信回線に接続する場合は,自動トンネリング機能で想定外のIPv6通信パケットが到達する脅威等,当該通信回線から受ける不正なIPv6通信による情報セキュリティ上の脅威を防止するため,IPv6通信を抑止する等の措置を講ずるものとする。
第10章 情報システム室等
(情報システム室等の入退管理)
第84条 課室情報セキュリティ責任者は,所管する情報システム室等(要機密情報を取り扱う基幹的なサーバ装置等を設置する室その他の区域をいう。以下同じ。)に立ち入る権限を有する者を定めるとともに,用件の確認,入退の記録,部外者についての識別化,部外者が立ち入る場合の職員の立会い又は監視設備による監視,外部電磁的記録媒体等の持ち込み,利用及び持ち出しの制限又は検査等の措置を講ずるものとする。また,要機密情報を記録する媒体を保管するための施設を設けている場合においても,必要があると認めるときは,同様の措置を講ずるものとする。
2 課室情報セキュリティ責任者は,必要があると認める場合は,情報システム室等の出入口の特定化による入退の管理の容易化,所在表示の制限等の措置を講ずるものとする。
3 課室情報セキュリティ責任者は,情報システム室等及び保管施設の入退の管理について,必要があると認める場合は,立入りに係る認証機能を設定し,及びパスワード等の管理に関する定めを整備(その定期又は随時の見直しを含む。)するとともに,パスワード等の読取防止等を行うために必要な措置を講ずるものとする。
(情報システム室等の管理)
第85条 課室情報セキュリティ責任者は,外部からの不正な侵入に備え,所管する情報システム室等に施錠装置,警報装置,監視設備の設置等の措置を講ずるものとする。
2 課室情報セキュリティ責任者は,災害等に備え,所管する情報システム室等に,耐震,防火,防煙,防水等の必要な措置及びサーバ装置等の予備電源の確保,配線の損傷防止等の措置を講ずるものとする。
第11章 その他
(情報システム台帳の整備)
第86条 CISOは,すべての情報システム(民間事業者等が提供する情報処理サービスにより構築する情報システムを含む。)に対して,当該情報システムのセキュリティ要件に係る事項をとりまとめ,情報システム台帳を整備するものとする。
(情報システム関連文書の整備)
第87条 技術責任者は,所管する情報システムについて,原則として,次の各号に掲げる情報セキュリティ対策を実施するために必要となる文書を整備するものとする。
(1) 所管する情報システムを構成するサーバ装置及び端末に関わる以下の文書
ア サーバ装置及び端末の管理者及び利用者を特定する情報
イ サーバ装置及び端末の機種並びに利用しているソフトウェア(プラグイン等のサーバ装置及び端末で利用するソフトウェアを動作させるために用いられる他のソフトウェアを含む。)の種類及びバージョン
ウ サーバ装置及び端末の仕様書又は設計書
(2) 所管する情報システムを構成する通信回線及び通信回線装置に関する文書
(3) 情報システムの構成要素のセキュリティを維持する目的で,当該情報システムの管理者が実施すべき手順
(4) 情報セキュリティインシデントを認知した際の当該情報システムの個別の事情に合わせて整備される対処手順
2 技術責任者は,要機密情報を取り扱う情報システムの設計書等については,外部に知られることがないよう,その保管,複製,廃棄等について必要な措置を講ずるものとする。
(CISOへの報告)
第88条 CISOは,必要と認める場合は,技術責任者に対し,情報セキュリティ対策の実施状況等について報告を求めることができる。
(雑則)
第89条 この規程に定めるもののほか,必要な事項は別に定める。
附則
この規程は,平成22年5月12日から施行する。
附則(平成27年3月31日)
この規程は,平成27年4月1日から施行する。
附則(平成27年12月8日)
この規程は,平成27年12月8日から施行する。
附則(平成29年1月30日)
この規程は,平成29年1月30日から施行する。
附則(平成31年1月25日)
この規程は,平成31年1月25日から施行する。
附則(令和4年3月25日)
1 この規程は,令和4年3月25日から施行する。
2 この規程の施行の際,整備済み又は整備中の情報システムであって,この規程に定められた事項を満たしていないものに限り,当該事項について,適用を猶予する。この場合において,技術責任者は,可能な限り早期に要件を満たすことができるよう努めるとともに,必要に応じて情報セキュリティを確保するための代替手段を講じなければならない。