1. 3 情報セキュリティ対策室

1. 3 情報セキュリティ対策室

1. 3. 1  業務の内容

 京都大学の情報セキュリティの質を高めるため，啓発活動，広報活動，情報セキュリティ対策に関する支援活動 を行うとともに，学内・学外の情報セキュリティに関する連絡窓口になっている．また，全学の情報セキュリティ に関する委員会（全学情報セキュリティ委員会，全学情報セキュリティ委員会常置委員会，全学情報セキュリティ 幹事会，情報ネットワーク危機管理委員会，情報ネットワーク倫理委員会）の事務的支援を行っている．一方，学 内のネットワーク利用者，管理者に対して，情報セキュリティに関する情報の提供および支援，啓発活動を行って いる．

1. 3. 2 業務の体制

 情報セキュリティ対策室は，室長（技術専門員），技術専門職員1名（2012年12月末まで），再雇用技術職員1名，

および，2010年度より配置された，情報環境機構IT企画室 教授1名（2013年1月末まで．その後，学術情報メ ディアセンター教授1名が支援）の支援を受けて業務を行っている．

 情報環境機構運営委員会の下に，情報セキュリティ対策室運営委員会が設けられ，業務に関する必要な事項を毎 月審議している．同委員会の構成員は，学術情報メディアセンター教員，情報環境機構教員，情報部職員および，

他部局の意見を取り入れるために複数の研究科教員から成っている．

1. 3. 3  業務の状況

 情報セキュリティ対策に関する窓口として，文部科学省など政府機関からの調査の回答および通達を学内に伝達 するなどの業務を行っている．さらに情報ネットワーク危機管理委員会の指示により，セキュリティ監視装置（IDS： 不正アクセス検知装置）の運用・監視を行い，学外機関へ（から）セキュリティ侵害を引き起こす通信を観測した 場合，当該機器を運用・管理する部局に対して安全確認の依頼を行うとともに情報ネットワーク危機管理委員会へ 報告している．また，セキュリティ侵害の状況により同委員会の指示による通信遮断および遮断解除を実施してい る．このような学内外から侵害を受けた機器の管理者に対しては，その対処方法に関する情報提供などの支援活動 を行っている．

 情報セキュリティ対策室運営委員会のもと，2012年度は，2012年7月に「情報セキュリティポリシー実施手順 書（雛形）」に「KUINSに接続する無線LANアクセスポイント設置のガイドライン」にもとづく事項を追加する こと，および字句の修正をほどこした「情報セキュリティポリシー実施手順書（雛形）第二版」を作成し全学に配 布し，部局の情報セキュリティポリシー実施手順書策定への協力を行った．また，本雛形を配布した後，日を置い て実施手順策定状況に関する報告を求めたところ，全部局の内5部局が2013年度第2四半期までに完成がずれ込 むと報告を受けている．なお，2013年度も引き続き，情報セキュリティポリシー実施手順書作成状況を確認する ことになっている．

 また，情報セキュリティポリシーの見直しとして，2001年に情報ネットワーク危機管理委員会が策定した「コ ンピュータ不正アクセス対応連絡要領」について，本学の情報セキュリティポリシー策定前のものであったので，

情報セキュリティポリシーにもとづいたことを明記，情報セキュリティポリシーで定義された用語へ統一，および 新たなセキュリティインシデントに対応できるように改定案を作成し，全学情報セキュリティ委員会常置委員会で 審議・修正を行った．その後，全学情報セキュリティ委員会で審議され全学情報セキュリティ委員会名で制定された．

不正アクセスなどの発生状況 2012年度は，情報ネットワーク危機管理委員会の指示により通信遮断10件，遮断 解除6件を実施した．

 2009年1月から不正アクセス検知装置（以下，IDS という）を更新し，2010年度よりIDSの監視業務を業者委 託した．業者に対して監視内容等の指示を行うことで，IDSによる監視業務が軌道に乗るようになった．情報ネッ トワーク危機管理委員会からセキュリティインシデントの疑いについて安全確認の依頼は110件で，その内94件 がIDS監視業務委託業者からの通報であり，業務委託の成果が得られている．

 2012年度において，情報環境機構のホスティング・ホームページサービスを利用している情報機器のセキュリ ティインシデントが発生し，ホスティング・ホームページサービス利用者への安全確認依頼が行われたが，情報環 境機構のサービス担当への連絡遅れが生じた．これについて，情報ネットワーク危機管理委員会より，連絡体制の 整備，利用者と情報環境機構の責任分界点の明確化，ホスティング・ホームページサービス利用者への周知を求め られ，これについて汎用コンピュータシステム運用委員会および情報セキュリティ対策室運営委員会の両者で改善 を行った．なお，本件について，「ホスティング・ホームページサービス利用規約」および「コンピュータ不正ア クセス対応連絡要領」の付属文書に明確に記述した．

 最近の10年間の不正アクセスなどの発生状況を表1.3.1に示す．

情報セキュリティ対策室の支援活動 2012年10月1日に最高情報セキュリティ責任者が情報環境機構長から総務・

企画・情報環境担当理事に変更になり，情報セキュリティ実施責任者に情報環境機構長が総長指名された．

 2012年度の全学情報セキュリティ委員会は2013年2月5日に開催され，「コンピュータ不正アクセス対応連絡 要領」の改訂，「脆弱性診断の定期的な実施に関する報告の依頼」について審議され了承された．

 全学情報セキュリティ委員会常置委員会（以下，常置委員会という）は，2012年7月26日，2013年1月23日 に開催され，「脆弱性診断の定期的な実施に関する報告の依頼について」，「e-Learningシステム及び教材について」，

「情報セキュリティポリシーの見直しについて」などが審議された．また，2112年10月1日より著作権法の一部 が改正されたので，「著作権法改正にともなう注意喚起」を日本語・英語による全学周知をすることになった．

 情報セキュリティ向上のための啓発活動として，本学の教職員を対象とした情報環境機構講習会において情報セ キュリティ関連の講義を行った．本講習会は2012年4月13日，4月27日，10月10日に開催された．講義の内容 は，遠隔会議システムを利用して吉田地区から宇治，熊取，および桂へ中継配信した．

 その他に，新規採用教職員についても研修会などの機会を利用して，情報セキュリティ関連の講義を行うことで，

本学の情報セキュリティ対応について周知に務めた．

 2012年度に実施した情報セキュリティに関する講習会の実施状況を表1.3.2に示す．

情報セキュリティe-Learning 2004年度の本学の大学評価委員会により学生向け情報セキュリティ教育が不十分 と評価されたため，2005年度より高等教育研究開発推進機構全学共通教育システム委員会の情報倫理教育用教材 作成に協力し情報セキュリティ関係の情報を提供するとともに，オンラインで情報セキュリティや情報倫理につい て自習ができる情報セキュリティe-Learningシステムを導入した．情報セキュリティe-Learningシステムは，2007 年4月から試験運用を行い，2007年7月31日から正式運用を開始した．

年度 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

依  頼

安全確認調査依頼件数 − − 106 40 40 53 56 110 59 110

通報 IDS監視委託業者 108 48 94

部局または学外 2 11 16

内 容

ウイルス感染疑い確認依頼 − − 56 5 4 439 220 11 2 39

P2P通信疑い確認依頼 82 41 47

その他の確認依頼 17 16 24

報告 安全確認報告書提出件数 35 27 41

不正アクセス報告書提出件数 − − 90 49 33 234 114 33 7 31 その他 危機管理委員会による通信遮断 54 12 31 23 13 10 9 8 4 10

その他の問題に対応した件数 1

学外からの攻撃の遮断件数 210 344 203

表1.3.1：不正アクセスなどの発生状況

業務委託↑ 開始 対策室設置↑ ウィルス感染

検知機器設置

41 1. 3 情報セキュリティ対策室

 運用当初は情報環境機構教育用コンピュータシステムの利用コード（ECS-ID）による認証方式のみとしていた が，ECS-IDを有していない教職員への利用促進を図るため，学術情報メディアセンターネットワーク研究部門お よび情報部電子事務局推進掛の協力の下に，2007年10月22日から京都大学教職員グループウェアのシングルサ イオンによる認証を可能とした．これにより教職員は，全学グループウェアにログインすれば，情報セキュリティ

e-Learningが受講できるようになった．

 また，情報セキュリティe-Learningシステムの利用方法や操作方法の説明を充実させるため，受講案内のポスター 作成，操作マニュアルの整備を行うと共にホームページにFAQを構築し，利用者からの質問・回答の掲載やメン テナンスなどの運用情報，講習会情報を複数の担当者で速やかに掲載できるようにした．

 情報セキュリティe-Learningの受講促進のための活動として2007年10月から，毎月該当部局毎の受講率を掲載 した文書で受講の促進を働きかけ，さらに2009年1月から情報セキュリティe-Learning受講修了者の名簿を所属 部局に送付することになった．

 2011年度に新しい情報セキュリティe-Learningの教材を開発した．この教材は，国立情報学研究所（以下，NII）

の研究プロジェクトで作成された「情報システム利用規程とセキュリティ」と「情報セキュリティ教育（格付け編）」

の二つの教材を譲り受け，本学の情報セキュリティポリシーに則った内容に修正・追加したものである．新しい教 材は「情報システム利用規則とセキュリティ」と「京都大学の情報格付けについて」の2 教材で，常置委員会で審 議された修正意見を反映し承認されたものである．2つの教材の英語版については，センター長裁量経費を利用し て日英翻訳した．

 2012年度からの情報セキュリティe-Learningは，新規開発した2教材と従来から利用している市販の情報倫理 教材を利用した形態に移行した．一方，NIIで日本語，英語，韓国語，中国語に対応した学生向け情報倫理教材「り んりん姫」が開発され全国から利用できる運用が開始された機会を捉えて，2013年度から，本学のe-Learningの 学生教材を「INFOSS情報倫理」から「りんりん姫」に移行するとともに，本学で開発した「情報システム利用規 則とセキュリティ」，「京都大学の情報格付けについて」の2教材もNIIのe-Learningサービスに移行することになっ た．なお，移行に際して本学開発の2教材の修了テストの問題を追加・更新することになった．

表1.3.2：情報セキュリティに関する講習会の実施状況（2012年度）

名 称 内  容 開催日 参加者数

平成24年度 新採用看護師研修

対象：附属病院新規採用看護師 会場：臨床第1講堂

・京都大学の情報セキュリティの心得（力武教授）

4月4日 138

平成24年度 新採職員研修

対象：新採用事務職員 会場：本部棟大会議室

・京都大学の情報セキュリティ（伊藤室長）

4月5日 45

情報環境機構講習会

対象：新採用教職員

会場：学術情報メディアセンター南館

・京都大学の情報セキュリティの心得（力武教授）

4月13日 63

情報環境機構講習会

対象：新採用教職員

会場：学術情報メディアセンター南館

・京都大学の情報セキュリティの心得（力武教授）

4月27日 18

平成24年度

第1回新規採用教員研修会

対象：新採用教員

会場：京都教育文化センター

・情報セキュリティについて（伊藤室長）

5月22日 311

平成24年度

新採職員研修（後期）

対象：新採用事務職員 会場：本部棟大会議室

・京都大学の情報セキュリティ（伊藤室長）

9月6日 23

情報環境機構講習会

対象：新採用教職員

会場：学術情報メディアセンター南館

・情報セキュリティ対策の心得（力武教授）

10月10日 33

平成24年度

第2回新規採用教員研修会

対象：新採用教員 会場：百周年記念ホール

・情報セキュリティについて（伊藤室長）

10月31日 163