1. 3. 1 業務の内容
京都大学の情報セキュリティの質を高めるため,啓発活動,広報活動,情報セキュリティ対策に関する支援活動 を行うとともに,学内・学外の情報セキュリティに関する連絡窓口になっている.また,全学の情報セキュリティ に関する委員会(全学情報セキュリティ委員会,全学情報セキュリティ委員会常置委員会,全学情報セキュリティ 幹事会,情報ネットワーク危機管理委員会,情報ネットワーク倫理委員会)の事務的支援を行っている.一方,学 内のネットワーク利用者,管理者に対して,情報セキュリティに関する情報の提供および支援,啓発活動を行って いる.
1. 3. 2 業務の体制
情報セキュリティ対策室は,室長(技術専門員),技術専門職員1名(2011年12月より),再雇用技術職員1名,
および,2010年度より配置された,情報環境機構IT企画室 教授1名(学術情報メディアセンター 連携研究部 門 情報セキュリティ分野 兼務)の支援を受けて業務を行っている.
情報環境機構運営委員会の下に,情報セキュリティ対策室運営委員会が設けられ,業務に関する必要な事項を毎 月審議している.同委員会の構成員は,学術情報メディアセンター教員,情報環境機構教員,情報部職員および,
他部局の意見を取り入れるために複数の研究科教員から成っている.
1. 3. 3 業務の状況
情報セキュリティ対策に関する窓口として,文部科学省など政府機関からの調査の回答および通達を学内に伝達 するなどの業務を行っている.さらに,情報ネットワーク危機管理委員会の指示により,セキュリティ監視装置
(IDS:不正アクセス検知装置)の運用・監視を行い,学外機関へセキュリティ侵害を引き起こす通信を観測した場合,
当該機器を運用・管理する部局に対して安全確認の依頼を行うとともに情報ネットワーク危機管理委員会へ報告し ている.また,セキュリティ侵害の状況により同委員会の指示による通信遮断および遮断解除を実施している.こ のような学内外から侵害を受けた機器の管理者に対しては,その対処方法に関する情報提供などの支援活動を行っ ている.
2011年度は,2011年7月に「情報セキュリティ実施手順書(雛形)」を作成・配布し全部局の情報セキュリティ 実施手順書策定への協力を行った.また,同月に「情報セキュリティ対策現状調査」のための調査票を全部局に配 布し,「京都大学情報セキュリティ対策基準」に係る各部局の現状の把握につとめた.なお,この調査をもとに情 報セキュリティ監査の対象部局の選定に利用した.2012年2月に「KUINSに接続する無線LANアクセスポイン ト設置のガイドライン」を,2012年3月には「無線LANの利用に関するQ&A集」を公開した.
不正アクセスなどの発生状況 2011年度は,情報ネットワーク危機管理委員会の指示により通信遮断4件,遮断 解除4件を実施した.2009年1月から不正アクセス検知装置(以下,IDSという)を更新した.当初はIDSの習 熟度が低く成果が得られなかったが,2010年度よりIDSの監視業務を業者委託し,業者に対して監視内容等の指 示を行うことで,IDSによる監視業務が軌道に乗るようになった.IDSによる警報から56件の安全確認依頼を行い,
その内の半数以上が委託業者からの通報であり一定の成果が得られている.
2007年度から2009年度には当時の情報セキュリティ対策室担当教員が研究目的のウイルス感染検知機器を設置 し,学外から学内のサーバなどに辞書攻撃やWebアプリケーションなどの攻撃を常時観測した.その観測結果を もとに,学外からの攻撃による遮断処置を行うことができた.しかしながら,2010年度より教員の人事異動にと もない当該機器が撤去され,学外からの攻撃に迅速な対応ができない状況にある.このため,今後どのような対応 が可能かについての検討が必要と考えている.
表1.3.1に不正アクセスなどの発生状況を示す.
39 1. 3 情報セキュリティ対策室
情報セキュリティ対策室の支援活動 2010年10月1日に最高情報セキュリティ責任者に情報環境機構長,情報セ キュリティ実施責任者に情報部長(当時,情報環境部長)が総長指名された.2011年度の全学情報セキュリティ 委員会は2011年11月8日に開催され,「全学情報システムの情報セキュリティ対策」については,全学情報セキュ リティ委員会常置委員会(以下,常置委員会という)が行うこととし,インシデント対応の実務は情報環境機構部 局情報セキュリティ委員会が対応することが承認された.「常置委員会要項の改正」については,「全学情報システ ムの情報セキュリティ対策に関する事項」の追加と,講習会だけでなく,e-Learningも含めた情報セキュリティ全 般に係る講習に関して柔軟な策定計画を行うようにすることの改正が承認された.また,「KUINSに接続する無線 LANアクセスポイント設置のガイドライン(案)」について審議され,本案について部局の意見を募集し,その意 見をもとに本案を修正したのち,常置委員会で審議し2011年度中に実施することになった.
2011年の常置委員会は,2011年7月13日,2011年9月26日および2012年2月8日に開催され,「情報セキュ リティポリシー実施手順書(雛形)(案)の配布」,「情報セキュリティe-Learningの拡充」,「KUINSに接続する無 線LANアクセスポイント設置のガイドライン(案)」,「全学情報システムのセキュリティ対策」について審議し,
2月8日の本委員会で「KUINSに接続する無線LANアクセスポイント設置のガイドライン(案)」を承認し同日 付けで全学に通知した.
情報セキュリティ向上のための啓発活動として,本学の教職員を対象とした情報環境機構講習会において情報セ キュリティ関連の講義を行った.本講習会は2011年4月7日,4月21日,10月6日に開催された.講義の内容は,
遠隔会議システムを利用して吉田地区から宇治,熊取,および桂へ中継配信した.
その他に,新規採用教職員についても研修会などの機会を利用して,情報セキュリティ関連の講義を行うことで,
本学の情報セキュリティ対応について周知に務めた.
2011年度に実施した情報セキュリティに関する講習会の実施状況を表1.3.2に示す.
情報セキュリティe-Learning 2004年度の本学の大学評価委員会により学生向け情報セキュリティ教育が不十分 と評価されたため,2005年度より高等教育研究開発推進機構全学共通教育システム委員会の情報倫理教育用教材 作成に協力し情報セキュリティ関係の情報を提供するとともに,オンラインで情報セキュリティや情報倫理につい て自習ができる情報セキュリティe-Learningシステムを導入した.
この情報セキュリティe-Learningシステムの教材は,情報環境機構で開発した京都大学情報セキュリティと市販 の情報倫理に関する教材の2種類で構成されている.情報セキュリティe-Learningシステムは,2007年4月から 試験運用を行い,2007年7月31日から正式運用を開始した.運用当初は情報環境機構教育用コンピュータシステ ムの利用コード(ECS-ID)による認証方式のみとしていたが,ECS-IDを有していない教職員への利用促進を図る ため,学術情報メディアセンターネットワーク研究部門および情報部電子事務局推進掛の協力の下に,2007年10 月22日から京都大学教職員グループウェアのシングルサイオンによる認証を可能とした.これにより教職員は,
全学グループウェアにログインすれば,情報セキュリティe-Learningが受講できるようになった.
表1.3.1:不正アクセスなどの発生状況
年度 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011
安全確認調査依頼件数 − − − − 106 40 40 53 56 110 59
部局,外部機関による不正アクセス発見件数 2 11
危機管理委員会による通信遮断件数 44 49 54 12 31 23 13 10 9 8 4 ウイルス感染確認任依頼件数(IP数) − − − − 56 5 4 439 220 11 2 不正アクセス報告書提出件数 − − − − 90 49 33 234 114 33 7
安全確認報告書提出件数 35 27
上記に該当しないセキュリティ上の問題に
対応した件数 1
学外からの攻撃の遮断件数 − − − − − − 210 344 203 − − 業務委託↑ 開始 対策室設置↑ ウィルス感染
検知機器設置
また,情報セキュリティe-Learningシステムの利用方法や操作方法の説明を充実させるため,受講案内のポスター 作成,操作マニュアルの整備を行うと共にホームページにFAQを構築し,利用者からの質問・回答の掲載やメン テナンスなどの運用情報,講習会情報を複数の担当者で速やかに掲載できるようにした.
情報セキュリティe-Learningの受講促進のための活動として2007年10月から,毎月該当部局毎の受講率を掲載 した文書で受講の促進を働きかけ,さらに2009年1月から情報セキュリティe-Learning受講修了者の名簿を所属 部局に送付することになった.
情報セキュリティe-Learningの学習支援システムを2009年1月7日よりINTERNET NAVIGWAREからMoodle に変更した.これによって操作が簡易になるとともにセッション制御のトラブルが無くなったことなど,操作に関 する質問や苦情がほとんどなくなった.
2011年度に新しい情報セキュリティe-Learningの教材を開発した.この教材は,国立情報学研究所の研究プロジェ クトで作成された「情報システム利用規程とセキュリティ」と「情報セキュリティ教育(格付け編)」の二つの教 材を譲り受け,本学の情報セキュリティポリシーに則った内容に修正・追加したものである.新しい教材は「情報 システム利用規則とセキュリティ」と「京都大学の情報格付けについて」の2教材で,常置委員会で審議された修 正意見を反映し承認されたものである.2つの教材の英語版については,センター長裁量経費を利用して日英翻訳 した.
2012年度からの情報セキュリティe-Learningは,新規開発した2教材と従来から利用している市販の情報倫理 教材を利用した形態に移行することになった.2012年度からの情報セキュリティe-Learning教材は表1.3.3のよう になる予定である.同時に,学習支援システムをMoodleからSakaiに変更することになった.
これは,京都大学のすべてのe-Learning教材を統合的に運用することを目的に発足した,情報環境機構サイバー ラーニングスペースタスクフォースが運用する学習支援システムを情報セキュリティ対策室が一利用者となって使 用するものである.
表1.3.2:情報セキュリティに関する講習会の実施状況(2011 年度)
名 称 内 容 開催日 参加者数
平成23年度看護部 新規採用者オリエンテー ション
対象:付属病院新規採用看護師 会場:稲盛ホール
・京都大学の情報セキュリティの心得(力武教授)
4月1日 118
情報環境機構講習会 対象:新採用教職員
会場:総合研究4号館2階共通3講義室
・京都大学の情報セキュリティの心得(力武教授)
4月7日 27
平成23 年度新採職員
職員育成プログラム
対象:新採用事務職員 会場:本部棟大会議室
・京都大学の情報セキュリティについて(伊藤室長)
4月14日 27
情報環境機構講習会 対象:新採用教職員
会場:学術情報メディアセンター南館2 階202 講義室
・京都大学の情報セキュリティの心得(力武教授)
4月21日 42
平成23年度
第1回新規採用教員研修会
対象:新採用教員 会場:百周年記念ホール
・情報セキュリティについて(伊藤室長)
5月17日 263
情報環境機構講習会 対象:新採用教職員
会場:学術情報メディアセンター南館2階202講義室
・情報セキュリティ対策の心得(力武教授)
10月6日 24
平成23年度
第2回新規採用教員研修会
対象:新採用教員 会場:百周年記念ホール
・情報セキュリティについて(伊藤室長)
10月18日 143
平成23年度新採職員 職員育成プログラム
対象:新採用事務職員
会場:附属図書館3 階ライブラリーホール
・大学の情報セキュリティについて(伊藤室長)
12月1日 13