国立大学法人秋田大学情報セキュリティポリシーの運用に伴って
「秋田大学工学資源学部の構成員が行うこと」
ネットワークに接続しているパソコン等の情報機器を使用する場合,使用者は被害者にも加害者にもなり得ます。このため,セキュリティを維持し,被害に遭わないようにしなければなりません。さらに,被害に遭ったとしてもその程度を最小限にすること,並びに生じた問題に迅速に対応可能な体制を確立することが肝要です。
「国立大学法人秋田大学情報セキュリティポリシー」の運用開始に伴い,秋田大学工学資源学部の構成員は日常的に以下のようなことを実施する必要があります。何卒,セキュリティの維持にご協力下さい。
「国立大学法人秋田大学工学資源学部情報セキュリティポリシー実施手順書」は,“学内ネットワークに接続されている,又は,接続する可能性のあるパソコン等の情報機器に格納されている電子化された情報”を対象としています。このため,フロッピーディスク等のリムーバブル記憶装置により管理しているデータは,本実施手順書の対象外となります。
データの重要性は以下に示すように4段階に分類します。
重要性T 非公開情報のうち「秘密」のデータを含むものや,セキュリティ侵害が社会へ重大な影響を及ぼすもの,秋田大学の運営を根幹から揺るがすことになるデータをいう。重要性Tに分類されるデータには,学生情報,成績情報(学務関係)等がある。
重要性U 重要性T以外の全ての非公開情報で,セキュリティ侵害が社会に及ぼす影響は軽微であるが,秋田大学の運営に大きな弊害が生ずることになるデータをいう。重要性Uに分類されるデータには,教官個人情報,外部機関関連情報(共同研究,委員),学部や学科等で使用しているサーバ内のユーザ情報,個人情報等がある。
重要性V 公開情報のうち,秋田大学の運営上重要なデータを含むものであり,セキュリティ侵害が社会に対して与える影響は小さいが,秋田大学あるいは学部の運営に弊害を及ぼすデータをいう。重要性Vに分類されるデータには学部や学科等のWebサイトで使用している情報等がある。
重要性W 上記以外の情報で,セキュリティ侵害がほとんど影響を及ぼさないデータをいう。
セキュリティを維持するため,秋田大学工学資源学部の構成員は以下のことに留意する必要があります。
重要性T及び重要性Uに該当するデータは,情報機器を学内ネットワークから切り離した状態,すなわちスタンドアロンの状態で使用することが推奨されます。
重要性T及び重要性Uに該当するデータは,学内ネットワークに接続した情報機器に保存するのではなく,フロッピーディスク等のリムーバブル記憶装置を用いて管理することが望まれます。
作成した文章ファイル等はソフトウェアの機能を利用してパスワードを設定しデータの暗号化処理等を施してセキュリティの維持に努める必要があります。
使用している情報機器のOSの更新情報に注意し,新しく発表されたパッチを速やかに適用する必要があります。
アンチウィルス・ソフトウェア(ワクチン・ソフト)を使用している情報機器にインストールするとともに,パターンファイルの更新作業を適切に行う必要があります。
保有する情報機器や情報が侵害されないようにするため,規定の様式に従って以下の対策を講じる必要があります。
パスワードを定期的に変更すること。
不在時にはロック機能を作動させ,情報機器の使用を制限すること。
情報機器やフロッピーディスク等の記録メディアの保管場所は施錠する等して管理すること。
その他,規定の報告書のチェック項目を確認して実施に努めること。
さらに,セキュリティレベルを向上させるため,秋田大学工学資源学部の構成員は以下のことを行う必要があります。
学内ネットワークに接続した情報機器に格納されたデータを分類し,さらに重要性T〜Vのデータについては規定の様式でデータ管理責任者に申請します。なお,フロッピーディスク等のリムーバブル記憶装置を用いて管理しているデータの申請は不要です。また,研究論文等個人の責任で管理すべきであると判断されるデータの申請も不要です。申請するとき,重要性が同等であり,統一的に管理可能なデータは同一データと見なして取り扱って下さい。
学内ネットワークに接続している情報機器のセキュリティ状況を規定の様式で報告し,許可番号を得ます。
情報機器を学外へ持ち出す場合,その状況を各自が記録し保存します。様式は自由ですが,必要に応じて持ち出しの事実を確認する場合があります。
関係者以外がサーバを使用する場合,管理者はその状況を記録し保存します。様式は自由ですが,必要に応じて事実を確認する場合があります。
重要なデータのバックアップに努め,その状況を報告します。
情報機器を廃棄する場合はデータの漏洩防止に努め,破棄の状況を報告します。
セキュリティに関する講習会や説明会に積極的に参加します。
情報機器や情報に対する侵害や漏洩が認められた場合,定められた連絡体制に従って速やかに連絡します。また,指示に従って対応策を講じる必要があります。
セキュリティ上の監査や自己診断および改善の要請があった場合,それに応じる必要があります。
セキュリティ運用上の問題点や疑問などを指摘することができます。
以上のようにして,各自の日常の努力によりセキュリティレベルを向上させることができます。また,ポリシーに規定される組織上の立場によって,責任と実施すべき作業の範囲が異なります。詳細については,「国立大学法人秋田大学情報セキュリティポリシー」および「国立大学法人秋田大学工学資源学部情報セキュリティポリシー実施手順書」をご参考下さい。