中小私立大学における情報セキュリティ対策に関する一考察

中小私立大学 にお ける

情報 セキュ リテ ィ対策 に関す る一考察

佐 伯 勇

Study of lnformation Security Management

in Small and Medium―

sized University

SAEKI Isamu

Abstract: For the last decade, Japanese government has provided basic guiding principles necessary for managing the information security. However, the information security managements do no function enough at many small and medium―sized universitics. In this paper, I analyze the cause why this kind of manage― ment fails in many universities.On the basis of this result,I introduce an effective casc and describc how to develop security policy gradually.

は

じ

め

に

大学 の情報化進展 に ともない

,教

育 ・研 究 ・事務業 務 の多 くが コンピュー タや情報 ネ ッ トワー クに よって 支 え られ る ようになった。大学業務 にお ける情報 ネ ッ トワー クシステム依存度の高 ま りに比例 して

,情

報 セ キュ リテ イ事故の発生確 率 と影響が 日増 しに大 き くな っている。個人情報保護 な ど情報管理の厳格化が叫 ば れ る中

,大

学 として も情報 セキュ リテ イを高め なけれ ば

_,社

会 的信用 を失 いかね ない時代 となった。 日本では

,内

閣の高度情報通信社会推進本部 の情報 セキュ リテ イ対 策推 進室 が

,2000年

に「情報 セ キ ュ リテ イポ リシーに関す るガイ ドライ ン」1)を策定 し

,情

報 セキュ リテ イを担保す るため に必要 となる政府 関連 機 関の情報 セキュ リテ イポ リシーに関す る基本 的 な考 え方 ・策定 ・運用及 び見直 し方法 のガイ ドライ ンを示 した。各省庁 な どは この ガイ ドライ ンを踏 まえ

,情

報 セ キ ュ リテ イポ リシー を策定 した。 そ の後 も

,2005

年 には内閣官房 の情報 セキ ュ リテ イセ ンター (NISC) と

,高

度情報通信社 会推 進戦略本 部 (IT戦略本 部) の情報 セキュ リテ イ政策会議が設置 され

,官

民 にお け る統一的 ・横 断的 な情報 セキュ リテ イ対策の推進が図 られてい る。 内閣の動 きを受 けて国立大学では

,全

国共 同利用大 型計算機 セ ンター長会議 の もとに「大学の情報 セキュ リテ イポ リシー に関す る研 究会 」 が発足 し

,2002年

には「大学 におけるセキュ リテ イポ リシーの考 え方」" が ま とめ られ た。

2007年

には

,国

立情報 学研 究所 の 「国立大学法 人等 にお ける情報 セキュ リテ イポ リシー 策定作業部会」 と電子情報通信学会 の「ネ ッ トワー ク 運用 ガイ ドライ ン検討 ワーキ ンググループ」が 「高等 教育機 関の情報 セキュ リテ イ対策のためのサ ンプル規 程集」のを公開 した。 これ らの報告書 をもとに して

,国

公立大学 の情報 セキュ リテ イ対策 は急速 に進 んだ。 私立大学 では

,私

立大学情報教育協会 のネ ッ トワー ク研究委員会の もとに不正侵入対策小委員会が設置 さ れ

,2002年

に「提 言 私 立大 学 向 け ネ ッ トワー クセ キュ リテ イポ リシー」4)がまとめ られた。 この10年間の 間 に

,情

報 セ キ ュ リテ イ対 策 を行 う ため に必要 な基礎 的情報 は整備 されて きたが

,一

部 の 大規模私立大学 にお ける先進 的事例 を除 くと

,効

果 的 な情報 セキュ リテ イ対策 を行 ってい る私立大学 はそ う 多 くは ない。私 立大学情報教 育協 会 の平成

20年

度私 立大学情報環境基本調査 (中間集計結果

)に

よれば, セキュ リテ イポ リシー を策定 し対策 を実施 してい る と

72 回答 した私立大学 は

26%に

留 まってい る。 さ らに, 対 策済み と回答 した

26%の

大学 の 中には

,セ

キ ュ リ テ イポ リシー を策定 した ものの

,PDCAサ

イクルが機 能せず に実質的 な効果が得 られていない大学 も含 まれ てい る と推測 される。 中小 の私立大学 ではなぜ情報 セキュ リテ イ対策が進 まないのか

,対

策 を実施 しようと した大学が なぜ 頓挫 して しまうのか。本稿 では

,ま

ず これ らの要 因 を分析 す る。 さらにこの結果 を踏 まえて

,中

小 の私立大学で 効果 的 な情報 セキュ リテ イ対策 を講 じるための指針 を 提案す る。

1

情 報 セ キ ュ リ テ イ リ ス ク の 特 徴 防災や防犯な ど大学が取 り組 むべ きリスク管理の中 で

,情

報 セキュ リテ イリス クは

,日

々新 しい脅威が生 まれ るため リス ク低減が大変困難であ る とい う特徴が あ る。 その理 由 を次 に

3点

示す。 1。

1.新

しい攻撃手法の登場 ウイルス

,ワ

ーム

_,ボ

ッ トネ ッ ト

,ス

パ イウェア, フ ィッシ ング

,不

正 ア クセス

,DoS攻

撃

,DNSキ

ヤ ッシュポ イズニ ング

,SQLイ

ンジ ェ クシ ョンな ど攻 撃手法が 日々高度化

,多

様化 している。 これ らの攻撃 に よ リコンピュー タシステムの管理者権 限が乗 っ取 ら れ

,不

正行為が行 われ る事例が後 を絶 たない。 また こ れ らの攻撃 を自動的 に行 うツールが インター ネ ッ ト上 で流 通 してお り

,誰

で も比較 的容易 に入手 可 能 で あ る。 1。

2.新

しい ソフ トウェアやサー ビスの登場 利便性 の高い ソフ トウェアやサー ビスが次 々 と登場 し

,使

用方法 を誤 った場合の リス クの存在 を理解せず にユ ーザーが使用 して情報漏 えい事故 に至 るケースが 多発 してい る。た とえば

,匿

名性 の高い状態 で フ ァイ ル を交換 で きる

Peer to Pcer(P2P)フ

アイル交換 ソ フ トウェア

,イ

ンターネ ッ ト上の地図に個人的 な情報 を保存 じ公開可能 なGoogle Maps,イ ンター ネ ッ ト上 で 文書 な どを作 成 ・保 存 じ公 開可 能 な Google Apps な どを使用 し事故 に発展 した例がある。 1。

3.新

しいハ ー ドウェアの登場

USBメ

モ リ

,各

種 メモ リカー ド

,超

小 型 パ ー ソナ ル コ ンピュー タな ど可搬型記録媒体 の低価格化 と大容 量化が進み

,膨

大 なデー タを誰 もが手軽 に学外 に持 ち 甲南 女子大学研 究紀 要 第46号 人間科学編 (2010年 3月) 出せ る よ うになって きた。 これ らの媒 体 の紛 失

,盗

難

,廃

棄 ミスな どに よる情報漏 えい事故が後 を絶 たな い。

このように

,情

報セキュリテイリスクは日々急速に

拡大 し続ける特徴を持ち

,ど

のような対策を講 じたと

しても決 してなくならないものと覚悟すべ きである。

2

情 報 セ キ ュ リテ イ リス クの管理 方法

前節 で述べ た とお り

,情

報 セキュ リテ イリス クは ど の ような対策 を講 じて も根絶 で きない し

,時

間の経過 とともに増大 してい くとい う特徴 を有す る。 しか し, 情報 セキュ リテ イリス クをゼ ロに近づ けることは不可 能で はない。そのため に必要 な リス ク管理方法 を次 に

4点

示す。 2。

1.リ

ス ク分析 リス ク分析 とは

,保

護 すべ き情報 資 産 を明 らか に し

,そ

れ らの情報 資産 に対す る リス クを評価す ること であ る。世の中で広 く用い られている リスク評価方法 で あ るGMITS(ISO/1EC TR 13335 guideline for the

management of IT security)で は

,リ

ス ク値 を次式 で定 義 す る。 リス ク値

=資

産価 値 ×脅 威 の程 度 ×脅成 の頻 度 × 脆 弱性 の程 度 組 織 内 の全 部 局 が利 用 す る情 報 資 産 を洗 い 出 して リ ス ク評 価 を行 い

,リ

ス クの 大 きい もの か ら順 に

,回

避

,最

適化

,移

転

,保

有 とい う対応 を取 る よう分類す る。 2。

2.全

組織的 な情報 セキュ リテ ィ委 員会 の運営 セキュ リテ イポ リシーを策定 し円滑 な運用 を行 うた め には

,図

1に 示す ような情報 セキュ リテ イ委員会 を 構 成 して対応す る必要があ る。 ただ し

,図

中の職名 は 大学 の組織形態 に よって異 なる可能性があ る。 情報 セキュ リテ イ委員会 は

,全

学 の情報 セキュ リテ イに関 して

,基

本 的 なセキュ リテ イポ リシーの策定, 重 要事 項 の決定

,対

外 的 な対応 な どを行 う。 た とえ ば

,セ

キュ リテ イポ リシーの策定 と改訂

,セ

キュ リテ イポ リシー遵守の励行 と違反 に対す る措置

,教

育研 究 活動 にお けるネ ッ トワー ク利用 ルールの制定

,学

内の 他 の機構 との調整

,外

部 との折衝 な どが主 な任務 であ

佐 伯 勇:中小私立大学 における情報セキュリテ イ対策に関する一考察 る。 また

,各

責任者 に対 して情報 セキュ リテ イに関す る教育 を行 うとともに

,一

般 の利用者 に幅広 く初心者 教育 を行 う。 全学総括責任者であ る委員長 は

,予

算 と人事 の権 限 お よび責任 を有す る学長

,副

学長 あ るい は理事 に相 当 す る者が望 ま しい。全学総括責任者 は

,い

わゆる最高 情報責任者

(CIO)の

役 割 となる。 図

1で

は

,各

部局 責任者 と部局技術責任者 を含 む大規模 な委員会 を学 内 に1つ設置す る場合 を示 しているが

,大

規模大学 で は 部 局 ご とに委員 会 を設 け る二段構 成 とす る こ と もあ る。学 内外組織 との交渉 は委員長が

,事

故発生 時の緊 急対応 は全学実施責任者が担 当す る。 情報 セキュ リテ イ対策 には

,情

報 システム技術 や対 処方法 の専 門的 な知識 と経験 を必要 とす るため

,実

施 規程 の策定 ・導入か ら運用

,評

価

,見

直 しまで専 門的 な助言 を行 う専 門家 を活用す ることが重要であ る。全 学総括責任者が情報 システムに関す る専 門的な知識 と 経験 を持つ ため専 門家 の助言 を必要 と しない ような特 殊 な場合 を除 き

,情

報 セキュ リテ イア ドバ イザ ー を置 く必要が あ る。 さらに

,情

報 セキュ リテ イ委員会 とは 独立 した情報 セキュ リテ イ監査責任者がセキュ リテ イ 対策実施状況 の監査 を行 うが

,既

に学 内に内部監査室 な どの監査組織が設置 されている場合 は兼務 させ るこ とも可能であ る。 2。

3.セ

キュ リテ ィポ リシーの策定 セキユ リテ イポ リシーは

,大

学が所有す るネ ッ トワ ー ク とネ ッ トワー ク上 の情報資産のセキュ リテ イ対策 について

,大

学が総合 して体系 的かつ具体 的 に取 りま とめた ものであ る。 どの ような情報資産 を どの ような 脅威 か ら どうよ うに守 るのか とい う基 本 的 な考 え方 や

,セ

キュ リテ イを確保す るための体制 ・組織 ・運用 を示す規定である。セキユ リテ イポ リシーの文書構 成 には特 に決 ま りがあるわけではないが

,図

2に

示す と お り

,セ

キユ リテ イに対す る基本方針

,対

策基準

,実

施手順 で構 成す る こ とが多い。 基本方針 は法律 でい う憲法 に相 当す る ものであ り, 大学 と しての情報 セキュ リテ イに関す る考 え方や方針 を示 した ものである。基本方針 は学内外 に積極 的 に公 開 し

,学

内向けにはポ リシーの周知徹底

,学

外 向 けに は信頼感 を与 える役割 を持つ。 対 策基準 は基本方針 を具体化 し

,シ

ステムの利用形 態や脅威 な どに よって対策 を考 えやすい ように分類 し た うえで

,そ

れぞれについて遵守すべ き規定 を記述 し た ものである。攻撃 に有利 な情報が漏 えいす る可能性 が あるため

,対

策基準 はその規定が必要 な構 成員 にの み公 開すべ きである。 実施 手順 は対 策基 準 を現場 レベ ルで実 施 す る た め に

,学

生

,教

員

,職

員

,シ

ステム管理者 な ど対象者 ご とに内容 を抜 き出 し説明 した ものである。実施手順 に 関 して も基 本 的 には公へ の公 開 を避 け るべ きで あ る が

,仮

に第三者 に見 られた場合 で も問題が生 じない よ う記述 内容 に配慮 してお く必要が あ る。 2。

4.PDCAサ

イ クルの実施

PDCAは

,plan_Do―Check―

Actの

略 で

,品

質 改 善 や

環 境 マ ネ ジメ ン トで よ く知 られ た手 法 で あ る。 セ キ ュ リテ イ対策 は一度行 った ら終 わ りとい うもので はな く

,セ

キュリテイ環境の変化 に応 じて常に見直 しと改 善が求め られる。図 3に

,情

報セキュリテイ対策で行 わ れ る PDCAサ イ ク ル の 一 例 を 示 す 。 Planで セ キ ユ リテ イポ リシー を策定 して 目標 を達成す るための計画 を立 て

,Doで

対 策 を導 入 して教 育 ・運 用 し

,Check

で監査 して対策が計画通 り行 われて当初 の 目標 を達成 基 本方針 本学としての情報セキュリティに関する考え方や方針 l 技術的セキュリティ 百 人的セキュリティ II 物理的セキ_4重電 [学

生向ナⅡ 教員向ナ

l 図

2

セ キユ リテ イポ リシーの構 成モデル 情幸ロセキュリティ委 員会 セキュリティ アドバイザー 圭学誌括責E者{委員長: 理事、学長、冨1学長 セキュリティ 監査責l■者 圭学実施責任者 蒔急対応志□i :増理課長 理 事会、評議会 書F局技術責任者 各部局鴻 の選出者 書口局技術 担 当者 現場担当牧職員 利用者 教職員、学生 図

1

情報 セ キュ リテ イ委員会 の例

74 図

3 PDCAサ

イクル して い るか を確 認 し

,Actで

評 価 結 果 を も とに業 務 の 改 善 を行 う。 こ の 段 階 で

PDCAサ

イ ク ル が

1回

転 し

,見

直 しと改 善 の結 果 に基 づ い て新 しいサ イ クル に 入 る こ とに な る。

3

私 立 大 学 に お け る 情 報 セ キ ュ リテ イ対 策 状 況 前節 で示 したセキュ リテ イ対策 は

,大

学 トップの強 力 な リー ダー シ ップの もとに全構 成員の協力が得 られ なければ決 して成功 しない。企業 と比較 して統治能力 の低 い私立大学 では対策 を行いに くいはずだが

,実

際 は どの ような状況であろ うか。 私立大学情報教育協会では

,大

学 の情報 セキュ リテ イ対策 の 自己点検 ・評価 の ツー ル と して

,2009年

に 情 報 セ キ ュ リテ ィ対 策 チ ェ ック リス ト (案)'を 公 開 し

,平

成

21年

度大学情報 セキュ リテ イ研究講 習 会 に おいて

,講

習会参加大学の 自己評価 を集計 した。情報 セキュ リテ イ対策チ ェ ックリス ト (案

)は

,情

報 資産 の把握

,組

織 的対応

,人

的対応

,技

術 的 ・物理的対応 の

4分

野 か ら構 成 され

,そ

れぞれの分野 に用意 された 詳細 な設間 にそれぞれ

6点

満点で回答す る形式 となっ てい る。1∼

3点

は「で きてい ない」

,4点

は「一部 で きてい る」

,5∼ 6点

は「で きてい る」 とい う評価 に対 応 す る。調査の対 象 は全 国

42私

立大学 と

4私

立 短期 大学 である。集計結果 については

,現

在 の ところ当 日 会場 で配布 された中間報告 で しか公表 されていないた め

_,本

稿 で は各項 目の平均値 をさらに各分野で単純平 均 した値 を求め表1に記 した。 表1から

,全

ての分野 において 自己評価が

4を

下 回 っていることが分か る。 これは

,大

半の私立大学 にお いて

,情

報 セキュ リテ イ対策が十分 に実施 されていな い ことを示 している。 さらに

,講

習会会場 での議論や 報告 な どで は

,対

策 を実施 してい る と回答 した大学 で も,「 作 ったルール を覚 え きれない」「講習会 を して も 人間科学編 (2010年 3月) 表

1

情報セキュリテ イ対策チェックリス ト自己評価 分 野 平均値 情報 資産の把握 3.05 組織 的対応 3.29 人的対応 技術 的 。物理 的対応 3.20 人が集 まらない」 といった問題点が多 く指摘 されてい た。つ ま り

,経

営 陣の リー ダー シ ップや学 内の理解が 十分 に得 られない中

,先

進 的 な大学 では政府や大学業 界団体 の定めた基準 を参照 してセキュ リテ イポ リシー の策定が進め られたのだが

,立

派 なセキュ リテ イポ リ シー を策定す る こ とに注力 した結 果

PDCAサ

イ クル が 回 らず

,ポ

リシーが絵 に描 いた餅状態 になっている と推測 されるのである。

4

中 小 私 立 大 学 に お け る 効 果 的 な事 例 全 国の私立大学 の多 くが効果的なセキュ リテ イ対策 を取 れない中

,理

工系学部の ない

3学

部構 成で入学定 員800名弱 の

X大

学 の取 り組 みが

,多

くの大学 の参 考 になる と思 われ るので ここで紹介 してお きたい。 な お

,X大

学 の取組状 況 は

30分

程 度の聞 き取 りで入手 した情報であ り

,今

後詳細 な情報 を調査 したい と考 え てい る。 ここでは

_,取

り組みのポ イ ン トのみ示 してお く。 (ア

)将

来的 にはセ キュ リテ イポ リシーが必要 だ と 感 じてい るが

,現

在 は作 成せず。 (イ

)そ

の代 わ りに

,セ

キ ュ リテ イ宣言 を学長 名 で

Webに

掲載。 (ウ

)学

長 を委員長 とす る全学 的 な情報 セキュ リテ イ委員会 を設置。(年 1回程度開催。) (工

)4名

程 度で構 成す る小 委 員会 を設 置。最新情 報 の収集や教育 を担 当。 (オ

)絶

対 に守 るべ き 10カ 条 を

A4-枚

で作 成 。 (暗黙 の ルールの明文化。各種機 関が作 成 して い るルールや これ までの事故事例 を参考 に主観 自勺に半J[断。) (力

)教

職員 には講習会

,学

生 にはオ リエ ンテー シ ョンで説明。 (キ

)事

故が発生す るたびに学長 に報告 し

,小

委 員 会で協議。迅速 な対応が難 しいため情報 セキュ リテ イ委員会 には事後報告。 (ク

)発

生 した事故 や他大学 の事 故事例 を もとにル 甲南女子大学研究紀要第 46号

P[基

軋辮、〕

η

〔

概

喘

l[破

・

I

t[利

悧蒻認〕

J

―ルの項 目を徐 々に追加。

X大

学 は

,セ

キ ユ リテ イポ リシー は作 る もの で は な くて育 て る ものである との考 えの もと

,PDCAサ

イ クル を回す ことを最優先 に

,誰

で も理解 し守 ることが で きるルール を定めて対策 を講 じてい る。 しか し

,こ

の程度の対策で も

,社

会 的責任や リス ク低減の観点か ら何 も しない よ りは るか に有効 だ と考 えてい る。

X

大学 の担 当者 は次の ように語 っていた。 「現場 の教 職員 か ら反対 の声 が 出 る ようなルー ル は 定 めてはい けない。今 後 も情報 セキュ リテ イ事故 は発 生 し続 けるので

,事

故 のたびに少 しずつ ルールを追加 してい く。 この ようなパ ッチ ワー ク的 な対応 を繰 り返 してい る と

,学

内で抜本 的な対策 を求める声が高 まっ て くる可能性がある。その ような空気 が生 まれて初 め て

,セ

キュ リテ イポ リシー を定め本格 的 に情報 セキュ リテ イ対策 を実施す ることがで きるのではないか。」 大学の ような比較的統治能力の低い組織では

,大

学 構成員が情報セキユリテイ対策の必要性 を強 く実感 じ なければ

,ト

ップダウンアプローチが必要な全学的危 機管理体制は実現で きない。最初 は誰 もが反対 しない 最少ルールを定めて

PDCAサ

イクルを回 し続 け

,構

成員の意識が高 まるのを待つ という手法は

,多

くの中 小私立大学で も大いに参考にで きるのではないだろう か。 情報セキュリテイ対策に関する情報や コンサルティ ングサービスがあふれる中

,一

部の先進的な中小私立 大学は身の丈 を遥かに超 えたセキュリテイポリシーを 策定 して

PDCAサ

イクル を回す ことがで きず

,対

策 が頓挫 しているようである。情報セキュリテイポリシ ーは作 るものではな く育てるものである。最初は構成 75 員 が物 足 りな く感 じる ほ どの簡 単 なル ー ル作 りか ら始 め

,PDCAサ

イ クルの 中で セ キ ユ リテ イポ リシー を育 て て い くこ とが最 も効 果 的 な ア プ ローチ とな る 中小 私 立 大 学 が 多 い の で は な い か 。 今 後 は

,X大

学 の 事 例 を詳細 に調 べ

,ス

ム ー ズ に情 報 セ キ ュ リテ イ対 策 を講 じるポ イ ン トを さ らに整 理 して い きた い。 参 考 文 献

1)情

報セキュ リテ イ対策推進室,2000,『 情報セキユ リ テイポ リシーに関す るガイ ドライン』,http://wwwokan― tciogoojpttp/iブ Security/taisaku/guidelineohtml.

2)大

学の情報 セキユ リテ イポ リシーに関す る研究会, 2002,『 大 学 にお け るセ キ ユ リテ イポ リシー の 考 え 方』, http:〃www 2.itc.nagoya― u.acojp/security― policy/ tousin.htinl.

3)国

立情 報学研 究所 国立 大 学 法 人等 にお け る情 報 セ キ ュ リテ イポ リシー策 定作 業 部 会

,電

子情 報 通 信 学 会 ネ ッ トワー ク運 用 ガ イ ドラ イ ン検 討WG,2007,『高 等 教 育機 関 の情 報 セ キ ュ リテ イ対 策 の ため のサ ンプ ル 規程集』,http:〃www.nii.acjp/csi/sp/。

4)社

団法 人私 立大 学情 報教 育協 会,2002,『提 言 私 立 大 学 向 け ネ ッ トワー クセ キ ユ リテ イポ リシー』,http:// wwwojuce.jp/LINKノreport/netsec 2002.pdf.

5)社

団法 人私立大学情 報教 育協 会,2009,『情 報 セ キ ュ リテ イ対策チ ェ ック リス ト(案)』,http:〃Www.jucejp/scc /checklist 20094uCe_sec_listopdf。

6)土

居 範 久 監 修

,独

立 行 政 法 人 情 報 処 理 推 進 機 構, 2009,『 情報 セ キュ リテ イ教 本 改訂版 組織 の情 報 セ キュ リテ イ対 策実践 の手引 き』

,実

教 出版.

7)独

立行 政法 人情報処理推進機構,2009,『情 報 セ キ ュ リテ イ読本 改訂版

IT時

代 の危機 管理入 門』

,実

教 出 版.

8)畠

中伸 敏 編著,2008,『情 報 セ キ ュ リテ イの ため の リ スク分析 。評価』,日科技連出版社.

9)佐

伯勇,2007,『 大学における情報ネットワークセキ ュリテイ』

,甲

南女子大学研究紀要人間科学編,Vol。44, pp。69-73. 佐伯

勇 :中 小 私立大学 にお ける情報 セキュ リテ イ対策 に関す る一考察 め ま