1.9.1 業務内容について
学内の情報セキュリティを高めるため,啓発活動,広報活動,情報セキュリティ対策に対する支援活動を行う.
学内,学外の情報セキュリティに関する連絡窓口を行なっている.また,全学の情報セキュリティに関する委員 会(全学情報セキュリティ委員会,全学情報セキュリティ幹事会,情報ネットワーク危機管理委員会,情報ネット ワーク倫理委員会)の事務的支援を行なうとともに,全学情報セキュリティ幹事会の下に構成されている「自己 点検・監査対応小委員会」,「情報セキュリティポリシー及び規定見直し小委員会」,「情報倫理関連小委員会」の 事務的支援も行っている.一方,学内のネットワーク利用者,管理者に対して,情報セキュリティに関する情報の 提供及び支援,啓発活動を行っている.
1.9.2 業務の体制について
室長(技術専門員)1名,技術専門職員1名の体制で業務を行っていたが,2007年8月から技術専門職員1名 が加わり3名で情報セキュリティ対策室の業務を行っている.学術情報メディアセンターネットワーク研究部門教 員の支援を受けて業務を行っている.情報環境機構運営委員会の下に,情報セキュリティ対策室運営委員会が設 けられ(2007年9月1日発足),情報セキュリティ対策室が行う業務に関し必要な事項を毎月審議している.情 報セキュリティ対策室運営委員会委員の構成は,学術情報メディアセンター教員及び情報環境部であるが,他部 局の意見を取り入れるために機構構成員以外の委員を人選中である.
1.9.3 業務の状況について
情報セキュリティ対策に関する窓口として,文部科学省からの通達の学内への伝達,調査の回答を行っている.
情報ネットワーク危機管理委員会の指示により,不正アクセス検知装置の運用・監視を行い,他機関へのセキュ リティ侵害を引き起こす通信を観測した機器については当該機器の安全を確認するよう依頼するとともに,情報 ネットワーク危機管理委員会に報告している.また,侵害を受けた機器の対処法についての情報提供などの支援 活動を行っている. 2007年度は,情報ネットワーク危機管理委員会による通信遮断13件,遮断解除11件(2007 年度以前の遮断を含む)を実施した.セキュリティ監視装置による警報から安全確認依頼(40件), KUINSのウイ ルスチェックサーバの情報によるウイルス感染の確認依頼(4件)を行なった.
ウイルス感染確認依頼件数は2005年度(56件)に比較して2006年5件,2007年4件に減少した.また,これ らのうち,33件の不正アクセス報告書の提出を受け,情報ネットワーク危機管理委員会に報告した.
表1.9.1:不正アクセス等の発生状況
年度 2001 2002 2003 2004 2005 2006 2007 危機管理委員会による通信遮断件数 44 49 54 12 31 23 13 安全確認依頼件数 — — — — 106 40 40 ウイルス感染確認任依頼件数 — — — — 56 5 4 不正アクセス報告書提出件数 — — — — 90 49 33 学外からの攻撃の遮断件数 — — — — — — 210
学外から学内のサーバ等に対し,辞書攻撃やWebアプリケーション等への攻撃を観測したものについては攻撃 を一定期間遮断する措置を平成19年4月頃から試行的に,7月から本格的に開始した.本措置は7月以降だけで 210件に達している.この外部からの攻撃を遮断することにより,学内のサーバ等への侵害が減少するものと期待 している.
次に情報セキュリティ対策室が支援した活動の概要を示す.
全学情報セキュリティ委員会を2007年7月31日に開催し,情報資産利用のためのルールに反する行為に対処 するための情報ネットワーク倫理委員会の設置(2007年10月1日発足)を決定した.
情報ネットワーク倫理委員会を設置するために情報セキュリティ対策に関する規程の一部改正,情報ネットワー ク倫理委員会要項の制定,情報資産利用のためのルールの一部を改正した.この結果,情報資産利用のためのルー ルに反する行為に対応する体制が整備された.
情報セキュリティポリシーの見直し及び情報セキュリティ監査体制を検討するため,全学情報セキュリティ幹事 会を2007年11月27日に開催した.
情報セキュリティ向上のための啓発活動として,本学の教職員を対象とした情報セキュリティ講習会入門編(2007 年9月12日実施)の開催及び本学のネットワーク管理者,セキュリティ担当者を対象に情報セキュリティ講習会 を開催(2007月3月10日実施)するとともに,新任者研修の中で情報セキュリティに関する講義を行なっている.
2004年度の本学の大学評価委員会により学生向け情報セキュリティ教育が不十分と評価されたため, 2005年度より 高等教育研究開発推進機構全学共通教育システム委員会作成の情報倫理教育用教材作成に協力し情報セキュリティ 関係情報の情報を提供するとともに,オンラインで情報セキュリティや情報倫理について自習ができるe-learning システムを導入した.
このe-learningシステムの教材は,市販の情報倫理に関する教材と情報環境機構で開発した京都大学情報セキュ
リティの2種類で構成される.情報セキュリティe-Learningシステムは,2007年4月から試験運用を行い,2007 年7月31日から正式運用を開始した.運用当初は情報環境機構教育用コンピュータシステムの利用コードによる 認証方式のみとしていたが,利用コードを保持していない教職員への利用促進を図るため,学術情報メディアセン ターのネットワーク研究部門及び情報環境部電子事務局推進室の協力の下に,2007年10月22日から全学グルー プウェア(Notes/domino)のシングルサイオンによる認証を可能とした.これにより教職員は,全学グループウェ アにログインすれば,クリックするだけで情報セキュリティe-Learningが受講できるようになった.
情報セキュリティe-Learningの受講促進のための活動として2007年10月から毎月,該当部局毎の受講率を載せ た文書で利用促進のお願いを部局に送付している.また,e-Learningシステムの利用方法や操作方法の説明を充 実させるため,受講案内のポスター作成,操作マニュアルの整備を行うと共にPukiWikiを用いたウェブページの FAQを構築し,利用者からの良くある質問の掲載やメンテナンス等の運用情報,講習会情報を複数の担当者で速 やかに掲載できるようにした.なお,1人1台のパソコンが実現不可能な組織は,受講率が極端に低いことから,
その対応として,情報セキュリティe-Learningの内容の集中講義を表1.9.2のように34回開催し,801名に講義を 行うことで受講率の向上が達成できた.
表1.9.2:情報セキュリティe-Learning集中講義
実施日 講義回数
2008年1月10日 6 2008年1月16日 5 2008年1月17日 6 2008年1月18日 6 2008年2月13日 6 2008年2月14日 5
ネットワーク環境の悪い遠隔地でも情報セキュリティe-Learningを受講できるようにして欲しいという要望に応 えるため,京都大学情報セキュリティの教材についてはCDによる提供も行い,13名の受講者があった.
情報セキュリティe-Learningの受講状況は,図1.9.1に示すように運用開始の1ヶ月間では700名弱の受講者数 であったが,全学グループウェア(Notes/domino)の認証システムによるシングルサイオン及び利用促進の依頼等 の効果によって2008年3月末では6900名以上に増加した.
部局へ促進依頼文書を送付することの効果としては,図1.9.2の折れ線グラフが示すように教育用システム,全 学グループウェアとも受講促進依頼後に受講数が上昇しており,依頼することの効果を実証している.全学グルー プウェア(Notes/domino)からの利用を行う前の教職員の受講数は2007年10月17日では386名,学生の受講数
図1.9.1:情報セキュリティe-Learning利用数の推移
図1.9.2:情報セキュリティe-Learning利用状況(促進依頼文書送付後の変化)
は679名であったが2008年3月末では教職員で4266名,学生で2640名と大幅に増加した.なお,学生の受講率 が低いため,情報リテラシ教育のシラバス内に受講を条件とするように明記する等の受講促進策を考え,高等教育 研究開発推進機構全学共通教育システム委員会の協力を得た.また,新年度の新入生向けのガイダンス及び新入 生向けの情報環境機構教育用コンピュータの利用コード講習会に「京都大学における情報セキュリティポリシー について」,「情報セキュリティe-Learningの受講について」のパンフレットを作成し,配布することで情報セキュ リティポリシーの周知徹底と情報セキュリティe-Learningの受講促進を図るよう計画している.
1.9.4 業務改善の取組み状況について
中期計画項番258 「情報システムの情報資産保護のため管理区域を指定する等,物理的セキュリティ対策を講 じる.」に対する取り組みとして,情報システムや情報資産の管理区域を定めた情報セキュリティポリシー実施手 順書の運用,併せて情報セキュリティポリシー見直しWGで,国立情報学研究所の「高等教育機関の情報セキュリ ティ対策のためのサンプル規程集」に基づいて政府統一基準を睨んだ情報セキュリティポリシー見直しの検討を 開始した.
中期計画項番259 「学内者による外部への不正なアクセスを防止するための技術的対策を講じるとともに,罰則 規定を定める.」に対する取り組みとして,全学情報セキュリティ委員会の下で罰則規定の制定,情報倫理委員会の 設置を検討した結果,「京都大学の情報セキュリティ対策に関する規程」,「京都大学情報資産利用のためのルール」
改正及び「京都大学情報ネットワーク倫理委員会要項」を策定することにより京都大学情報ネットワーク倫理委 員会を設置した.情報ネットワーク倫理委員会を10月と11月に開催し,情報倫理に関する緊急時対応の申し合わ せ事項及び連絡体制の検討を行った.情報ネットワーク倫理委員会を設置することで情報ネットワーク危機管理 委員会では対応が難しい人権侵害・著作権侵害に対応する体制が整備された.
中期計画項番260 「情報セキュリティに関する責任者,権限,範囲の明確化,『基本方針』等情報セキュリティポ リシーの周知のための教育及び啓発活動の実施.」に対する取り組みでは次の表1.9.3に示す活動を行うとともに,
情報セキュリティ・情報倫理について,ネットワーク経由で自習できるe-Learningシステムの運用を開始した.
表1.9.3:セキュリティ対策に関する講習会等実施状況
名称 内容 開催日 出席者数
情報セキュリティ に関する講義
初任者研修の中で情報セキュリティに関する講義 4月,9月 24 情報セキュリティ
講習会(入門)
対象:本学の教職員
会場:吉田,桂,宇治,熊取地区
・情報セキュリティセミナー2007基礎コース(講師:IPA)
・情報セキュリティe-Learningの説明
9月12日 71
情報セキュリティ 講習会
対象:本学部局のネットワーク管理者,情報システム管理者,
セキュリティ担当者
会場:吉田,桂,宇治,熊取地区
・政府機関統一基準対応版の大学情報セキュリティ対策 サンプル規程集への対応について(上原准教授)
・ネットワークセキュリティの現状(折田特任助教)
3月10日 50
e-Learningの受講者は,運用開始の1ヶ月間では700名弱の受講者数であったが,2008年3月末では6900名以 上に増加した.構成員数全体からすると受講数をもっと増加させることは当然であるが,5人に一人程度は,情報 セキュリティの知識を理解している人が作れたという点で,見渡せば誰かが知っている人が周りにいる状態となっ たということで一定の評価ができると考えている.