Comments
Description
Transcript
学校及び教育センターにおける 情報セキュリティの現状報告について
学校及び教育センターにおける 情報セキュリティの現状報告について (総括の部) 目 次 1. 情報セキュリティの現状調査について ............................... 2 1.1. 調査目的..................................................................................................................... 2 1.1.1. 調査の背景.......................................................... 2 1.1.2. 今回の調査の目的と狙い.............................................. 2 1.2. 調査対象..................................................................................................................... 3 1.3. 調査期間と調査方法 .................................................................................................. 3 1.4. アンケート回収率 ...................................................................................................... 3 1.5. 訪問インタビュー記録............................................................................................... 4 1.6. 総括に関する分析手順............................................................................................... 5 1.6.1. 調査分析に利用した情報セキュリティ基準.............................. 5 1.6.2. 調査分析の網羅性の確保.............................................. 5 1.6.3. 調査分析の基軸...................................................... 5 1.6.4. 教育センターのインタビュー記録結果の取り扱い........................ 5 1.6.5. 総括所見及び今後の施策.............................................. 6 1.6.6. インタビュー記録についての留意事項.................................. 6 2. 学校における情報セキュリティ現状調査総括 ......................... 7 2.1. 学校に関する調査結果総括 ....................................................................................... 7 2.1.1. 学校アンケートへの回答から見て取れる学校セキュリティの傾向 .......... 7 2.1.2. 学校情報セキュリティへの総合所見と今後の施策....................... 12 3. 教育センターにおける情報セキュリティ現状調査総括 ................ 16 3.1. 教育センターに関するアンケート調査結果総括..................................................... 16 3.1.1. 教育センターへの回答から見て取れる教育センターセキュリティの傾向 ... 16 3.1.2. 教育センター情報セキュリティへの総合所見と今後の施策 ............... 22 3.1.3. 教育センターの運営パターンと特色................................... 25 4. 付録 ISMS「管理目的」抜粋 ......................................... 27 1 1. 情報セキュリティの現状調査について 1.1. 調査目的 1.1.1. 調査の背景 平成 15 年 10 月に経済産業省が策定した「情報セキュリティ総合戦略」では、国民の セキュリティリテラシーの向上施策として「義務教育段階からのセキュリティリテラ シー教育の実践」を求めている。セキュリティ意識(セキュリティ文化)を身につけ られる環境を整備するにあたって、教育現場がどの程度相応しい環境を有しているの か、相応しくないならば、どのような整備が行われるべきかが検討される必要がある。 しかしながら教育現場のセキュリティ環境についての実態調査は、かつて実施された ことがなく、十分な検討材料がないのが現状である 第3章 戦略実現のための具体的施策 3.2.2企業・個人における事前予防策 (3)セキュリティリテラシーの向上 ②義務教育段階からのセキュリティリテラシー教育の実践 義務教育の段階からセキュリティリテラシーに関する内容を学習カリキュラムに 組み込み、子供がネット社会の一員となるための基礎的素養としてセキュリティ 意識(セキュリティ文化)を身につけられる環境を整備するよう、検討を進める。 その際、IT リテラシーの内容の一部として盛り込む他に、「知らない人について いかない」 「道路に急に飛び出さない」といった一般的な安全教育や安全保障教育 の一部として盛り込むことが必要である。 【情報セキュリティ総合戦略より】 1.1.2. 今回の調査の目的と狙い こうした背景から、「情報セキュリティ総合戦略」が求める義務教育段階でセキュリ ティ意識(セキュリティ文化)を身につけられる環境整備を推し進めて行くにあたっ て、今後、継続的に整備状況を評価するためにも小中高等学校におけるインターネッ トやコンピュータの利用環境と都道府県及び政令指定都市教育センターが行ってい る学校関係のネットワーク管理業務を対象とした「学校における情報セキュリティの 実態に関する定点観測」が行えるフレームワークを構築する必要がある。フレーム ワークの構築に際しては、定点観測としての定期的な調査が実施可能か、可能とすれ ばどのような調査が適切かを模索するための予備的な調査が不可欠であり、今回の調 査は、教育現場におけるセキュリティ上の喫緊の課題を明らかにするとともに、将来 の定点観測を可能とするための実態調査のあり方を目的として行った。 2 1.2. 調査対象 全国の小中高等学校 206 校と、 都道府県及び政令指定都市の 59 ヶ所の教育センター を対象に、郵送とインターネットを活用した回答手段を併用したアンケートと関係者 へのインタビュー調査を実施した。 1.3. 調査期間と調査方法 アンケートは、平成 16 年 2 月 1 日∼平成 16 年 2 月 20 日に配付し実施した。 訪問インタビューは、平成 16 年 2 月 17 日∼平成 16 年 3 月 12 日に訪問し実施した。 尚、訪問インタビューは、アンケートへの回答を補完するため、アンケートで行って いる質問内容に基づいて、1 ヶ所あたり 1.5 時間のインタビューを実施した。 インタビューについて 学校 小学校 4 ヶ所(3 校の教員を交えての座談会を含む) 高等学校 1 ヶ所 教育センター 都道府県及び政令指定都市 8 ヶ所 事例紹介 都道府県及び政令指定都市以外の教育センター2 ヶ所 1.4. アンケート回収率 配付数 回収数 回収率 206 校 99 48% ・ 全項目未記入で回収されたものが 1 部あり、これを 除いた回収数とした。 ・ 数校の養護学校は、小学校に含めて集計した。 内訳 小学校:56 中学校:31 高等学校:12 59 センター 41 3 69% 1.5. 訪問インタビュー記録 以下、インタビュー訪問先一覧を掲載する。 学校 訪問先 日時 I 県立 I 商業高等学校 平成 16 年 2 月 27 日 16:30∼18:00 J 県教育センター(3 名の教員との座談会) 平成 16 年 3 月 12 日 14:00∼15:30 K 県 N 町立 A 小学校 平成 16 年 3 月 12 日 18:45∼19:30 都道府県及び政令指定都市の教育センター関係 訪問先 日時 A 県立教育センター 平成 16 年 2 月 17 日 10:30∼12:00 B 市教育委員会 平成 16 年 2 月 17 日 14:00∼15:30 C 市教育委員会 平成 16 年 2 月 23 日 11:00∼12:30 D 県教育センター 平成 16 年 2 月 23 日 14:00∼15:30 E 県教育センター 平成 16 年 2 月 26 日 15:00∼16:30 F 市教育センター 平成 16 年 2 月 27 日 G 県教育センター 平成 16 年 2 月 27 日 14:30∼16:00 H 県教育センター 平成 16 年 3 月 12 日 18:00∼18:45 9:30∼11:00 その他の教育委員会の事例紹介 訪問先 日時 M 市教育委員会 平成 16 年 2 月 23 日 19:00∼20:30 N 市教育委員会 平成 16 年 3 月 12 日 16:00∼17:30 4 1.6. 総括に関する分析手順 1.6.1. 調査分析に利用した情報セキュリティ基準 実態調査項目の網羅性を保証するため情報セキュリティ対策の国際標準と目され る「ISMS 認証基準(Ver.2.0)」(以下、 「ISMS」と表記)を参考にアンケートならびにイ ンタビュー項目の作成を行った。 1.6.2. 調査分析の網羅性の確保 本書では、ISMS の「附属書(詳細管理策)」の第 3 章∼第 12 章(以下、 「ISMS の章」 と表記)までの第 10 章のうち、「10.システムの開発及び保守」以外について ISMS の観点で総括的な分析を実施した。尚、ISMS の章のうち第 10 章を除く ISMS の管理 目的を抜粋として「付録」に掲載する。 1.6.3. 調査分析の基軸 ISMS の観点で、アンケート回答から見て取れる学校及び教育センターの情報セ キュリティの傾向についての分析を行った。また、インタビュー記録をもとに、 アンケート回答の補完として掲載した。但し、教育センターのインタビュー記録 については、次項の取り扱いを本書で行っている。 1.6.4. 教育センターのインタビュー記録結果の取り扱い インタビューは、システム管理業務、ネットワーク管理業務におけるセキュリティ 対策を中心に実施した。教育センターについては、学校ネットワークのセンター業 務を民間業者へ委託を行う「委託先の管理者の立場」と「学校ネットワークの管理者 の立場」の2つの立場がある。したがって「委託先の管理者」として行っているセキュ リティ対策に関するインタビューと、 「学校ネットワークの管理者」として行ってい るセキュリティ対策に関するインタビュー結果を区分して総括した。 「委託先の管理者の立場」のインタビュー記録は、教育センターのアンケートの 補完として掲載した。 「学校ネットワークの管理者」についてのインタビュー記録は、 インタビュー先の教育センターが管轄学校とのネットワークをすべて接続し管理し ていることから、システム管理業務、ネットワーク管理業務に関する影響の大きさ を考慮し、インタビュー記録で分析を行った。 教育センターへのインタ 委託先の管理者の立場(A) ビュー 学校ネットワークの管理者の立場(B) 5 図解例 教育センター (A) システム(サーバ) ¾ サーバの設置場所 R ¾ サーバの運用 ¾ ネットワーク ¾学 校 側 の ネ ッ ト (B) ワーク境界 ¾ 学校側コンピュー タの修正プログラ 学校 ム ( 以 下 、「 修 正 R システム(サーバ、端末) パッチ」という) の適用 1.6.5. 総括所見及び今後の施策 学校及び教育センターのアンケートの総括所見は、ISMS の観点に基づき記載した。 さらに、総括所見に基づき、最初に必要と考えられる今後の施策を記載した。 尚、教育センターの「学校ネットワークの管理者」としてのインタビュー記録結果 の総括所見及び今後の施策の記載についても ISMS の観点で記載したが、前項の理由 に基づき別立てでの構成を図っている。 1.6.6. インタビュー記録についての留意事項 インタビュー記録については、インタビューを行った教育センターや学校の情報 セキュリティ上の脆弱点も掲載しているために、個別の名称はすべて匿名にしてい る。 6 2. 学校における情報セキュリティ現状調査総括 2.1. 学校に関する調査結果総括 2.1.1. 学校アンケートへの回答から見て取れる学校セキュリティの傾向 アンケート項目に対応する、ISMS の章を示した上で「学校における現状報告につ いて(アンケートの部)」の回答集計結果の要約を記載した。また、参考として ISMS が求める詳細管理策が想定している脅威を、主な脅威として記載した。 ISMS の章 アンケート 項目 回答集計結果から見て取れる傾向 主な 脅威 遵守違 3.情報セ 情報セキュ 学校組織として公式なものであり、周知されている割 キ ュ リ リティポリ 合は、21%ある。さらに情報セキュリティポリシーは、 反 ティ基本 シーの策定 現在策定中と検討中を含めと 81%になる。一方、策定 方針 はされていても十分周知されていない、または公式な ものとして運用されていない割合が 28%あり、策定が 行われても実際に運用されない事態も想定される。 【インタビュー記録からの傾向】 情報セキュリティポリシーは、市全体が同一のものを 使用している、保管しているだけで使用していない、 コンピュータを学校に導入した時の説明資料として配 付された程度などの意見があった。これらの結果から、 市として同一情報セキュリティポリシーの利用してい る。あるいは、コンピュータ利用の説明資料など、学 校の実状を踏まえた情報セキュリティポリシーになっ ていないことが伺える。 4.組織の 情報セキュ 責任者とともに担当者も正式に決められている割合が 遵守違 セキュリ リティに関 61%ある。一方、担当者は存在するが、責任者が不明 反 ティ する責任者 確な学校の割合も 30%に上る。また責任者及び担当者 と担当者 とも不明確な割合も、7%になる。 【インタビュー記録からの傾向】 校内のネットワークを担当する部署の権限と責任が明 確になっていないとの意見や、担当者が教育を行って も、自分の業務に関係しなければ情報セキュリティに 「関心」を示さない教職員には、意味をなさないとの意 7 ISMS の章 アンケート 項目 回答集計結果から見て取れる傾向 主な 脅威 見を伺っている。 ネットワーク及びシステム管理を行っていた担当教員 が異動した場合、ネットワーク図などのシステム関係 文書の整備が適切に行われていないと、新任の担当者 の負担及び緊急時の対応が適切に行うことができない との意見を伺っている。 情報セキュ 対策費(予算)については、「かなり厳しい」と「なし」 遵守違 リティ対策 の割合は、53%になる。厳しいがやりくりできると回 費(予算) 答した割合は、15%にとどまっている。「十分」と回 反 答している学校は 5%しかない。 【インタビュー記録からの傾向】 学校運営予算が厳しく、費用の捻出が行えないために、 十分な措置が講じられない。手間と時間を掛けて行っ ているとの意見を伺っている。 5.資産の 成績記録な 重要な紙情報については、81%がルールに基づき保管 紛失、 分類及び どの重要な している。 漏えい 管理 紙情報の保 管 教職員の CD 電子媒体の持ち込み、持ち出しは自由に行える、気に や フ ロ ッ したことはないとの回答を合わせると 87%にも上る。 ピーディス 【インタビュー記録からの傾向】 クなどの電 生徒の個人情報については、電子媒体などの取り扱い 子媒体の利 は決められているが、遵守しているかは、担当の教諭 用 によるとの意見を伺っている。 6.人的セ 情報セキュ 49%の学校で教職員、児童への教育が行われている。 遵守違 キ ュ リ リティに関 「教職員だけや児童・生徒だけ行っている」を含める 反 ティ する教育 と 83%になる。一方、16%が教職員、児童への教育を 実施していない。 【教育センターアンケートで学校に最も望む要望につ いての質問を行っている。このアンケート項目で顕著 な事項として、学校の教職員への情報セキュリティ教 育の充実、または実施を要望している割合が、66%に 上る結果となっている。】 【インタビュー記録からの傾向】 8 ISMS の章 アンケート 項目 回答集計結果から見て取れる傾向 主な 脅威 担当クラスを持ち、システム管理を行うことについて は、情報セキュリティの知識ベースでも十分ではない ために、適切な情報セキュリティ対策を行うことは困 難になるとの意見を伺っている。 情報セキュ コンピュータウイルスの感染経験は、40%ある。 リティ事故 該当な し の経験 遵守違 教職員が使 学校でシステム管理者が、支給されているコンピュー 用している タのソフトウェアの更新を 36%の割合で行っている。 反 コンピュー 【インタビュー記録からの傾向】 タのソフト 放課後や授業の空き時間にクライアントコンピュータ ウェア の保守などを行うことは考えているが、実際にはやり 切れていないとの意見を伺っている。また、山間部の 学校の意見として、通信インフラで ADSL が利用できな いために、INS 回線を利用しているとの意見を伺って いる。このために、修正パッチの適用時のダウンロー ド時間が非常に掛かるために、教育用コンピュータを 自宅に持ち込み、これらの作業を行ったこともあると の意見を伺っている。 7.物理的 教職員の使 私物コンピュータの持ち込みの割合は、95%ある。高 コ ン 及び環境 用している 等学校では、ほぼ全校で私物のコンピュータが使用さ ピュー 的セキュ コンピュー れている。 タウイ リティ タ 【インタビュー記録からの傾向】 ルス感 インタビューしたすべての学校で、教職員が業務利用 染 目的で、私物のコンピュータの持ち込みを行っている ために、持ち出し時に、情報漏えいのリスクがある。 *生徒による私物パソコンの持ち込みも行われている 現状がある。 生徒の私物コンピュータの持ち込みに備えて、教職員 の IP アドレスは、固定 IP アドレスを利用しているが、 固定 IP アドレスが盗用されれば、生徒による教職員セ グメントに接続が行われるリスクがある。 コンピュー 学校で 49%がデータ消去を行い、40%がデータを消去 タの処分 せずに処分している。 9 漏えい ISMS の章 アンケート 回答集計結果から見て取れる傾向 項目 主な 脅威 8.通信及 ネットワー ボランタリーベースで行っている割合は、20%ある。 び運用管 クや LAN の設 メーカーやベンターに任せている割合も 37%になる。 クセス 理 定変更作業 ホームペー 学校長または教頭の許可を受けて、コンテンツの変更 ジの内容の を行っている割合は、54%ある。担当者単独での判断 作成、変更手 している割合も 18%ある。 不正ア 改ざん 続き 教職員が、維 外部公開用ホームページの作成は、49%の学校で教職 システ 持管理して 員が行っている。 ム停止 電子媒体の 電子記録媒体の保管については、31%が個人任せに 紛失、 保管場所 なっている。 漏えい いるサーバ 【インタビュー記録からの傾向】 学校での電子媒体の利用については、今後、紛失や漏 えいを懸念している意見を伺っている。 電子媒体の 学校でデータ消去をしないまま電子記録媒体の処分が 処分 33%の割合で行われている。 コンピュー 正規に導入されたパソコンに対するコンピュータウイ コ タウイルス ルス対策は、88%が行っている。部分的に行っている ピュー 対策ソフト と回答した学校を合わせると 98%になる。 タウイ ウェアの導 【インタビュー記録からの傾向】 ルス感 入 オペレーティングシステムなどの修正パッチの適用が 染 ン 適切に行われていないために、コンピュータウイルス 感染が発生しやすい状況、業務利用目的の私物コン ピュータの場合、個別にコンピュータウイルス検知ソ フトウェアが利用されている状況、学校の担当者にシ ステム管理者権限が与えられていないために、感染時、 速やかな対応ができない状況、コンピュータウイルス 検知ソフトウェアが導入されていないコンピュータが 持ち込みで利用されている状況などを意見として伺っ ている。 9.アクセ 教職員が使 教職員のパスワードは、別々のものを使用し、定期変 なりす ス制御 用している 更をしている割合は 7%と少ない。同一パスワードの まし コンピュー 共用や、定期変更をしていない割合が 93%に上る。 10 ISMS の章 アンケート 項目 回答集計結果から見て取れる傾向 タ の パ ス 【インタビュー記録からの傾向】 ワードの管 学校ホームページのコンテンツの更新を行うための 理 アップロード用の ID とパスワードは、学校に「表」とし 主な 脅威 て配付されているために、公開されている状況を意見 として伺っている。 児童・生徒が 児童・生徒のパスワードは、別々のものを使用し、定 使用してい 期的に変更している割合は、19%と少ない。同一パス る ワードの共用や、変更していない割合が 81%に上る。 コ ン ピュータの パスワード の管理 教職員や児 パスワードを秘密にすることや漏えいした場合の危険 童・生徒にパ 性についての周知は、94%の割合で学校の教職員、児 スワードを 童・生徒に指導が行われている。 秘密にする ことについ ての周知・指 導 教育用イン コンテンツフィルタリングを実施している割合は、 有害情 ターネット 81%になる。 報の閲 覧 のコンテン ツフィルタ リングの利 用 11.事業継 専任兼任を 情報システムを管理または運用している教職員数は、 システ 続管理 問わず情報 28%が 1 名。特に、小中学校に多い。73%の学校が 2 ム停止 システムを 名以下の体制で、少ない教職員で役割を担っているこ 管理または とがわかる。 運用してい 【インタビュー記録からの傾向】 る担当者の システムを管理する担当者は、権限も責任も十分では 数 なく、ボランタリーベースでシステムの管理をしてい る。また、これらのことに精通している者も校内に少 ない。このために、教育センターでの長期研修期間中 も校内のシステムのヘルプを行っている状況や、1 名 11 ISMS の章 アンケート 回答集計結果から見て取れる傾向 項目 主な 脅威 の担当者だけの場合、当該担当者の長期欠席などが発 生すると教育のコンピュータ利用が行えなくなる懸念 があることを意見として伺っている。 12.適合性 ソフトウェ ソフトウェアのライセンス管理の割合は、79%の学校 遵守違 アのライセ で行われている。 反 ネットワー 定期的、あるいは一度でも実施したい学校は、83%あ 不正ア ク不正侵入 る。 クセス 検査 【インタビュー記録からの傾向】 ンス管理 教育センターでのサーバ入れ替え作業時、システム作 業のミスがあったことが発覚した。教育センターのシ ステム設定ミスにより、校内に開示が制限されている はずの情報が校外に開示されるといった実態があった ことの意見を伺っている。 情報セキュ 定期的、あるいは一度でも実施したい学校は、87%あ 遵守違 リティ監査 る。 反 【インタビュー記録からの傾向】 学校の「教員用ガイドライン」では、私物コンピュータ の持ち込みは禁止しているが、ネットワーク接続先の 教育センターでは、手続きを踏めば許可して接続が行 えるとの回答を得ている。遵守事項に矛盾があること が伺える。 2.1.2. 学校情報セキュリティへの総合所見と今後の施策 「ISMS の章」別に前項に掲載した傾向をもとに総括所見を掲載し、必要となる施策を 掲載する。 ISMS の章 総括所見 今後の施策 3.情報セ 情報セキュリティポリシーは、策定さ ① 現状の情報セキュリティポリ キ ュ リ れ公式なものになっているが、周知が シーがどのように利用されてい ティ基本 確実に行われないために、浸透せず、 るのか、あるいは規律としての拘 方針 遵守されないリスクがある。 束力を持つものかを調査する。 4.組織の ボランタリーベースでの色合いが強 ② 情報セキュリティポリシーに責 セキュリ く、責任者や担当者などの権限と責任 任者と担当者の権限と責任がど ティ が確立していないために、校内での情 のように明記されているのか、 そ 12 ISMS の章 総括所見 今後の施策 報セキュリティ事項の啓発活動や事 の内容の実行可能性と十分性に 故発生時の対応が不明瞭になるリス ついて調査する。 クがある。 ③ ①と②の調査を踏まえて、 情報セ キュリティリティポリシーの類 型化を試みるとともにそれぞれ の類型の長所、 短所について分析 を行う。 5.資産の 児童や生徒の個人情報については、ど ① 私物のパソコンの持ち込み数量 分類及び こまでを秘密として管理するのか明 管理 確ではない。成績情報や健康診断情報 ② 私物のパソコンを利用しないで などの具体的な情報の取り扱い基準 済む環境を構築するための必要 がないために、教員一人ひとりの判断 数量を調査する。 と利用目的を調査する。 にゆだねられている。適切な情報の取 り扱いが徹底できないことに起因す る情報漏えいのリスクがある。 校内でコンピュータを使用し、これら の作成情報を、自分の電子媒体に記録 し自宅で業務を行っている。電子媒体 の管理が適切に行われない場合、児 童・生徒の個人情報漏えいのリスクが ある。 6.人的セ 校内で行う教職員への情報セキュリ キ ュ リ ティ教育は、朝礼などで連絡的に行う ティ ことが多く、さらに、「4.組織のセキュ ② 教職員に必要な情報セキュリ リティ」に掲載した責任者や担当者の ティの基本的知識などの理解状 権限と責任が不明確な状況と、自分の 況の調査をする。 業務に関係しなければ「関心」を示さ ない教職員もいるために、教育を行っ ても、その重要性が浸透しない状況が 伺える。 ① 学校長や教頭の情報セキュリ ティに対する意識調査をする。 ③ ①と②を踏まえて、 これらの調査 をレベル評価する。 ④ ネットワークとシステム管理を 担当する教職員に、 これらの業務 を行う場合の不安事項や必要事 項を調査する。 ⑤ 児童・生徒への情報セキュリティ と情報モラルの意識と理解度を 調査する。 13 ISMS の章 総括所見 今後の施策 ⑥ 児童・生徒への情報セキュリティ と情報モラルに関する教材を提 供する。 7.物理的 私物のコンピュータの持ち込みが行 及び環境 われている。日常の中で、校内情報を 的セキュ 持ち出し、自宅などで業務を行ってい ② 私物のパソコンを利用しないで リティ るために、情報漏えいのリスクがあ 済む環境を構築するための必要 る。 数量を調査する。 8.通信及 私物のコンピュータの持ち込みが多 び運用管 いために、組織的なコンピュータウイ 理 ルス対策が実施できていない。 ネットワークへの接続については、コ ンピュータウィルスチェックを求め ① 私物のパソコンの持ち込み数量 と利用目的を調査する。 ① 私物のパソコンの持ち込み数量 と利用目的を調査する。 ② 私物のパソコンを利用しないで 済む環境を構築するための必要 数量を調査する。 ているが、持ち込みを行っている教員 に依存しているために、コンピュータ ウイルス対策が適切に実施できてい ない。 電子媒体の保管について 33%が個人 任せ、処分についても 33%がデータ を残して廃棄しているために、情報漏 えいのリスクがある。 通信インフラの整備が遅れている地 域では、オペレーティングシステムの 修正パッチの適用について、ダウン ロード時間が掛かりすぎるために、適 切に実施できないという実状がある。 9.アクセ ス制御 教職員のパスワード、児童・生徒のパ ① 運用委託先から学校のネット スワードは、アンケート結果からも、 ワークに対する侵入検査を行い、 ほとんど変更していない、同一のパス ネットワークセキュリティ上の ワードを共用しているなどの回答結 脆弱性について調査する。 果になっているために、ID とパスワー ② 運用委託先のアクセスログの解 ドの管理が適切でないことが伺える。 析を行い、 運用委託先から提出さ このために、なりすましなどのリスク れている作業報告書などの妥当 14 ISMS の章 総括所見 今後の施策 性について調査する。 がある。 教育委員会の管轄学校内で「表」とし ③ 運用委託先の情報セキュリティ て配付されているために、パスワード ポリシーの内容と遵守状況を調 の秘密が維持されていない。このため 査する。 に、不正アクセスやホームページの改 ざんリスクがある。 ④ システム上あらゆる実行権限が 付与されているシステム管理者 権限が付与されたユーザーID の 取扱いが適切に行われているか、 使用されているパスワードが脆 弱なものでないか調査する。 11.事業継 続管理 校内での担当者が非常に少ないため ① 情報システム担当教職員がシス に、異動などにより、後任者が適切に テム保守など、 作業に費やしてい システム管理を行えないケースや、担 る時間とその作業内容について 当者が長期入院した場合に、システム 実態を把握する。 故障などが発生すると、コンピュータ を利用した授業などに支障をきたす 場合がある。 12.適合性 教育センターのサーバで、学校別にア ① 運用委託先から学校のネット クセス制限を行い、情報を利用、管理 ワークに対する侵入検査を行い、 しているシステムについて、教育セン ネットワークセキュリティ上の ターのシステム作業時の設定ミスに 脆弱性について調査する。 より、開示制限すべき情報が誤って、 ② 運用委託先のアクセスログの解 開示された状態で放置されるリスク 析を行い、 運用委託先から提出さ がある。 れている作業報告書などの妥当 県の方針と学校のガイドラインなど 性について調査する。 の遵守事項に矛盾がある。また、学校 ③ 運用委託先の情報セキュリティ のガイドラインでは私物のコン ポリシーの内容と遵守状況を調 ピュータの持ち込みを禁止している 査する。 が校内に情報コンセントもあるため ④ システム上あらゆる実行権限が に、接続が可能な状況になっている。 付与されているシステム管理者 何を遵守すべきかが不明瞭になる。 権限が付与されたユーザーID の 取扱いが適切に行われているか、 使用されているパスワードが脆 弱なものでないか調査する。 15 3. 教育センターにおける情報セキュリティ現状調査総括 3.1. 教育センターに関するアンケート調査結果総括 3.1.1. 教育センターへの回答から見て取れる教育センターセキュリティの傾向 アンケート項目に対応する、ISMS の章を示した上で「教育センターにおける現状 報告について(アンケートの部)」の回答集計結果の要約を記載した。また、参考と して ISMS が求める詳細管理策が想定している脅威を、主な脅威として記載した。 委託先の管理者 ISMS の章 アンケート 項目 回答集計結果から見て取れる傾向 主な 脅威 3.情報セ 情報セキュ 情報セキュリティポリシーの策定及び周知は、56%あ 遵守違 キ ュ リ リティポリ り、策定を検討、または策定中を含めると割合が 95% 反 ティ基本 シー に上る。かなり浸透していることが伺える。 4.組織の 情報セキュ 情報セキュリティの役割がある委員会、責任者、また 遵守違 セキュリ リティの組 は専門組織が存在する割合は、95%に上る。かなり体 反 ティ 織 制が整備されていることが伺える。 情報システ 基本契約のみは 70%ある。まだ、別立ての覚書などに ムの委託先 より詳細な機密契約を締結する契約行為の割合は、少 との情報の なく 15%しかない。 方針 漏えい 取り扱いに 関する機密 保持 情報システ 委託先の情報の取り扱い、あるいは委託要員自体のア 不正ア ムの委託先 クセスログは一度も点検をしたことはない。または過 クセス の 情 報 セ 去に点検したことがあるが現在は実施していない割合 キュリティ は、41%ある。但し、定期的に実施している割合も、 調査 15%と少ない。 【インタビュー記録からの傾向】 教育センター訪問先 8 センターのうち、6 センターで アクセスログなど、委託先要員が実施した業務記録の 調査を行っていない。 5.資産の 情報の取り 文書の機密情報の取り扱いについては、組織全体の文 16 漏えい ISMS の章 分類及び アンケート 回答集計結果から見て取れる傾向 項目 扱い 管理 主な 脅威 書管理規程などに準拠し、「秘、公開」などのルールも 存在し 63%が行っている。反対に、ルールがない割合 も、20%ある。 6.人的セ 情報セキュ 情報セキュリティ教育を定期、不定期で行っている割 遵守違 キ ュ リ リティ教育 合は、78%ある。定期に行っている割合は 20%に留ま 反 ティ り、実施したことがない割合も 13%ある。 情報セキュ コンピュータウイルスの感染経験は、49%ある。 リティ事故 し の経験 センターで 該当な 学校の教職員への情報セキュリティ教育の充実、また 考えた場合、 は実施を要望している割合は、66%ある。 遵守違 反 学校に最も 検討してい ただきたい 事項 職員が使用 クライアントコンピュータの脆弱性解消などの改善 コ ン しているコ は、98%で行われている。 ピュー ンピュータ タウイ の ソ フ ト ルス感 ウ ェ ア の 染 アップデー ト 情報セキュ 情報セキュリティ事件を起こした職員について、処分 遵守違 リティ事件 規定が定められていない、今まで情報セキュリティ事 反 を起こした 件・事故を経験していないため検討もしていない、を 職員の処分 合わせると割合は、53%になる。 7.物理的 主要なサー サーバ室の入室制限を実施している割合は、100%であ 及び環境 バ室への入 る。 的セキュ 退室 リティ コンピュー コンピュータを処分する場合には、ルールも決められ、 漏えい タの処分 情報を消去して行う割合が 83%ある。 職員の使用 私物のコンピュータの持ち込みは、48%ある。 侵入 コ ン しているコ ピュー ンピュータ タウイ 17 ISMS の章 アンケート 項目 回答集計結果から見て取れる傾向 主な 脅威 ルス感 染 漏えい 8.通信及 コンピュー コンピュータウイルス検知ソフトウェアの導入の割合 コ ン び運用管 タウイルス は、98%ある。かなり対策が行われている。 ピュー 理 対策 【インタビュー記録からの傾向】 タウイ 教育センター全般でかなり対策が行われている。 ルス感 学校からの 学校からの電子メールによるコンピュータウイルス感 染 電子メール 染の経験の割合は、21%ある。 によるコン ピュータウ イルスに感 染 電子メール 電子メールの利用ガイドなどがあり、周知されている 電 子 の利用 割合は、50%ある。反面、ルールもなく自由に利用で メール きる割合も 28%に上る。 ID 【インタビュー記録からの傾向】 不正利 Web メールを提供しているセンターから、Web メールの 用 の 利用者を管理しきれていないとの意見を伺った。問題 として次の事項が挙げられる。 Web メールを提供しているが、利用者 ID が異動により、 転入先の学校へ届けられないことにより、当センター として管理できていない状態になっている。県立教育 センターの場合、市町村立学校の教員の異動と Web メール利用者の管理方法が確立していない。このため に ID 管理の不備により、不正なメール利用が行われる リスクがある。 電子媒体の 電子媒体の管理は、個人任せの割合は 28%ある。 保管場所 紛失、 漏えい 電子媒体の 電子媒体を処分する場合、情報を消去して実施してい 処分 る割合は、90%ある。但し、ルールとしては決められ 漏えい ていない割合も 70%になる。 9.アクセ センター内 ベンターなどが行う割合は、40%ある。ケースバイケー 不正ア ス制御 に設置して スによるベンターなどのかかわりを合わせると割合が クセス 18 ISMS の章 アンケート 回答集計結果から見て取れる傾向 項目 あるサーバ 主な 脅威 83%になる。 の管理 システム管 システム管理者権限 ID のパスワードは、定期的に変更 理者権限 ID している割合は、28%ある。但し、一度も変更してい のパスワー ない割合も 23%ある。 ド 【インタビュー記録からの傾向】 システム管理者権限 ID のパスワードは変更していな い、不定期に変更しているとの回答が大半を占めた。 職員のパソ 職員が定期的に変更していない、または変更したこと なりす コンのパス がない、に同一パスワードの共用を合わせると 74%で まし ワード管理 パスワードの定期的変更が行われていない。 フ ァ イ ア ログの定期的チェック、またはアラート機能の利用の 不正ア ウォール(ま 割合は、96%ある。かなりログ監視が行われている。 クセス コンテンツ コンテンツフィルタリングの割合は、91%ある。かな 有害情 フィルタリ り、コンテンツフィルタリングが利用されている。 報の閲 たはルータ のフィルタ リング)のロ グの保存 覧 ングの利用 11.事業継 システムを システム管理をする専門の要員数が 1 名以上 9 名以下 システ 続管理 管理あるい の割合は、86%ある。 ム停止 ソフトウェ ソフトウェアのライセンス管理の割合は、90%ある。 遵守違 アのライセ かなり行われている。 反 ネットワー 定期的、あるいは一度でも実施したい割合は、90%あ 不正ア ク不正侵入 る。 クセス 検査 【インタビュー記録からの傾向】 は運用して いる専門の 担当者数 12.適合性 ンス管理 ネットワークの委託先による自己点検的な検査を実施 している教育センターは、2 センターあり、第三者に よる検査を実施しているセンターが、1 センター存在 19 ISMS の章 アンケート 回答集計結果から見て取れる傾向 項目 主な 脅威 した。 情報セキュ 定期的、あるいは一度でも実施したい割合は、90%あ 遵守違 リティ監査 る。 反 学校ネットワークの管理者 主な ISMS の章 インタビュー内容 インタビュー記録からの傾向 3.情報セ 学校への情報セ 「システム運用要綱」、 「学校ネットワーク利用規 遵守違 キ ュ リ キュリティポリ 程」と呼ぶものが、情報セキュリティポリシーで 反 ティ基本 シー策定支援 あるとする回答もあった。情報セキュリティポリ 脅威 シーとされているものが、パソコンやネットワー 方針 クを対象とした限定的なものである可能性が高 いことが伺える。 「学校への情報セキュリティポリシー策定支援 はどのようにしていますか」との質問に対して は、多くが、「管轄している学校へ情報セキュリ ティポリシーを教育委員会長名で通達している」 と回答している。これらのことから、教育委員会 単位で見た場合、同じ情報セキュリティポリシー が共用されていると考えられる。 5.資産の 生徒などの個人情 個人情報の持ち出しは禁止しているが、個人情報 分類及び 報の取り扱い の分類や範囲、取り扱いの基準が決められている 漏えい わけではないため、個々の教職員の考え方に基づ 管理 いて行われているのが現状になっている。 6.人的セ 管轄する学校での 【コンピュータウイルス感染】 遵守違 キ ュ リ セキュリティ事 教育センターでは、私物パソコンからの持ち込み 反 ティ 件・事故 によって感染が発生する例が多いとの回答を得 ている。 【車上荒らしによる私物パソコンの盗難】 自宅の帰り道に、私物のノートパソコンが盗難に 遭ったとの報告が教育センターに行われている。 【掲示板荒らし】 学校からの掲示板へのいたずら書きについて、外 部の掲示板管理者からのクレームにより、発覚し 20 ISMS の章 インタビュー内容 インタビュー記録からの傾向 主な 脅威 ていることがほとんどである。発覚した事例は、 氷山の一角と考えられる。 中学生が自分のホームページを作成し、クラス内 のことを掲載し問題になったことが学校から教 育センターに報告として行われている。 【ポートスキャン】 アンケート結果でも、56%の回答で学校からの ポートスキャン行為があるとの回答を得ている。 授業でもポートスキャンツールを利用する場合 があるとの回答を得ている。 学校に支給してい 教育センターのソフトウェア導入制限は、著作権 コ ン るコンピュータの 侵害への対応として、学校に支給しているコン ピュー ソフトウェアの ピュータへのソフトウェアの導入制限している タウイ アップデート 場合や、ソフトウェアの導入制限を厳しく設定し ルス感 ていないなどまちまちの状況がある。 染 不正ア クセス 7.物理的 職員の使用してい インタビュー記録の事例紹介も含み、すべての教 コ ン 及び環境 るコンピュータ 育センターで学校に私物コンピュータがあるこ ピュー 的セキュ とを認めている。 タウイ リティ *生徒が私物パソコンを校内に持ち込むことがあ ルス感 るとの意見を伺っている。台数的には、多くない 染 と見受けられるが、もし、教員用のネットワーク 漏えい に不正に接続が行われた場合、成績情報の漏えい だけでなく、改ざんが行われることも想定され る。 8.通信及 管轄している学校 コンピュータ感染の発生原因については、新たな コ ン び運用管 でのコンピュータ ウイルスでない場合、主に、私物パソコンや電子 ピュー 理 ウイルス感染状況 媒体により感染が発生しているとの意見を伺っ タウイ ている。 ルス感 染 9.アクセ 教職員が使用して パスワードの失念が多いとの回答を得ている。パ なりす ス制御 いるパソコンのパ スワードの重要性については、教育も行っている まし スワードの管理 が、浸透していない状況があることが伺える。 21 ISMS の章 インタビュー内容 主な インタビュー記録からの傾向 脅威 学校の Web へのコンテンツアップロードについ て、担当者が変更になっても、パスワードがその まま利用されているとの回答があった。 11.事業継 システムを管理し ネットワーク及びシステム管理について担当ク システ 続管理 ている学校現場で ラスを持つ教諭が、兼務を行っているために、作 ム停止 の担当者の負担 業負荷から、システム更新などを拒むケースがあ るとの意見を伺っている。 3.1.2. 教育センター情報セキュリティへの総合所見と今後の施策 「ISMS の章」別に前項に掲載した傾向をもとに総括所見を掲載し、必要となる施策を 掲載する。 委託先の管理者 ISMS の章 総括所見 今後の施策 4.組織の すべての教育センターで民間業者へ ① 運用委託先から学校のネット セキュリ 業務を委託している。定期報告や定例 ワークに対する侵入検査を行い、 ティ 会も行われている。委託先に対する信 ネットワークセキュリティ上の 頼を基本に運用が行われているため 脆弱性について調査する。 委託先の作業内容の確認やアクセス ② 運用委託先のアクセスログの解 ログのチェックについては、ほとんど 析を行い、 運用委託先から提出さ 行われていない。情報漏えい事件の大 れている作業報告書などの妥当 半が委託先の従業員による情報の持 性について調査する。 ち出しであることから同様の情報漏 えいリスクがあると考えられる。 委託先要員にシステム管理者権限を 12.適合性 ③ 運用委託先の情報セキュリティ ポリシーの内容と遵守状況を調 査する。 利用させている場合、パスワードの管 ④ システム上あらゆる実行権限が 理が適切に行われていないことが伺 付与されているシステム管理者 える。このために、システム管理者権 権限が付与されたユーザーID の 限が不正に使用されるリスクがある。 取扱いが適切に行われているか、 ネットワークの脆弱性診断を行っても、 使用されているパスワードが脆 管理は、委託先に任されたままになって 弱なものでないか調査する。 いる懸念があるために、セキュリティ ホールが放置されるリスクがある。 学校ネットワークの管理者 22 ISMS の章 総括所見 今後の施策 5.資産の 生徒の個人情報や秘密情報の取り扱 ① 私物のパソコンの持ち込み数量と 分類及び いについて、規則が明確にされていな 管理 いために、学校側の個別の判断で情報 の取り扱いが行われている。 利用目的を調査する。 ② 私物のパソコンを利用しないで済 む環境を構築するための必要数量 を調査する。 6.人的セ 生徒などによる外部の掲示板へのい ① 学校長や教頭の情報セキュリティ キ ュ リ たずら書き、中学生が自分でホーム ティ ページを作成し、クラス情報などを掲 ② 教職員に必要な情報セキュリティ 載している事件が発生している。児 の基本的知識などの理解状況の調 童・生徒への情報モラル教育の不徹底 査をする。 に対する意識調査をする。 からプライバシーの侵害や名誉毀損 ③ ①と②を踏まえて、これらの調査 といった問題を引き起こすリスクが ある。 をレベル評価する。 ④ ネットワークとシステム管理を担 ポートスキャンツールが授業などで 当する教職員に、これらの業務を 利用されている。不正アクセスへの転 行う場合の不安事項や必要事項を 用も可能なツールの利用基準や保管 調査する。 規則がないために、不正アクセスのリ スクがある。 ⑤ 児童・生徒への情報セキュリティ と情報モラルの意識と理解度を調 査する。 ⑥ 児童・生徒への情報セキュリティ と情報モラルに関する教材を提供 する。 学校側にシステム管理者権限が付与 ① 情報システム担当教職員がシステ されておらずソフトウェアの導入制 ム保守など、作業に費やしている 限が行われている場合がある。セキュ 時間とその作業内容について実態 リティ上望ましい対策の一つではあ を把握する。 るが、学校側コンピュータのオペレー ティングシステムに対する修正パッ チの適用まで、教育センターで行う必 要があることから、教育センター側の スタッフだけでは対処できない状況 もある。このために、セキュリティ ホールが放置されるリスクがある。 7.物理的 教員にコンピュータが支給されてい 及び環境 ないことが多く、私物のコンピュータ 23 ① 私物のパソコンの持ち込み数量と 利用目的を調査する。 ISMS の章 総括所見 今後の施策 的セキュ 利用により業務が行われている。この ② 私物のパソコンを利用しないで済 リティ ために、コンピュータウイルス対策を む環境を構築するための必要数量 教育センター側で徹底して行っても、 を調査する。 私物のコンピュータが校内ネット ワークに接続されることでコン ピュータウイルスに感染するリスク がある。また、私物のコンピュータを 教員が持ち帰り、自宅で業務を行って いるために、情報漏えいのリスクがあ る。 9.アクセ ス制御 ホームページの更新については、ID、 ① 運用委託先から学校のネットワー パスワードを付与している場合、教員 クに対する侵入検査を行い、ネッ の異動が発生しても、前任者のパス トワークセキュリティ上の脆弱性 ワードがそのまま利用されている。こ について調査する。 のために、ID、パスワードが盗用され ② 運用委託先のアクセスログの解析 ることによるホームページの改ざん を行い、運用委託先から提出され リスクがある。 ている作業報告書などの妥当性に 教育センターで発行している教員へ ついて調査する。 のパスワードの取り扱いが徹底され ③ 運用委託先の情報セキュリティポ ていないために、多くの ID 付与者に リシーの内容と遵守状況を調査す パスワードの失念が生じている。 る。 ④ システム上あらゆる実行権限が付 与されているシステム管理者権限 が付与されたユーザーID の取扱い が適切に行われているか、使用さ れているパスワードが脆弱なもの でないか調査する。 11.事業継 続管理 教員は、担任を持ち、児童・生徒の指 ① 情報システム担当教職員がシステ 導、部活動などの本来業務以外にこれ ム保守など、作業に費やしている らのシステム管理業務を行っている 時間とその作業内容について実態 ことが多く、教育に支障をきたす場合 を把握する。 がある。情報教育の実施などで新たな システム導入が必要になる場合や、シ ステムの入れ替えなどの更新作業が 負担となっており作業を拒むあるい 24 ISMS の章 総括所見 今後の施策 は作業の遅延が発生する場合がある。 3.1.3. 教育センターの運営パターンと特色 今回の調査で、インタビュー対象とした教育センターが運営するネットワークの類型に ついて分析し、情報セキュリティの観点からそれぞれの特色について記載した。 セ ン ター サーバ室 サーバの運 管轄する学校 校内ネットワー 学校側コンピュー の設置の 用 のネットワー クへのアクセス タの修正パッチの ク接続 境界 適用 場所 A 県立 本 セ ン 委託要員の 県立学校すべ コンピュータウ 学校側の責任で行 教育セ ター内 常駐 て イルスのパター う。 ンファイル配付 ンター サーバまで B 市教 第 3 セク 育委員 ター先 すべて委託 市立学校すべ 校内のプロキシ 学校側の責任で行 て サーバまで う。 市立学校すべ 校内のルータま ソフトウェアの導 て で 入制限 県立学校すべ 校内のファイア ソフトウェアの導 て、市町村の学 ウォールまで 入制限 会 C 市教 委託先の 育委員 建物 すべて委託 会 D 県教 委託先の 育セン 建物 すべて委託 校もある。 ター E 県教 本 セ ン 委託先要員 県立学校すべ 校内のファイア 教員による実施、 育セン ター内 が週 2 日常駐 て、市町村の学 ウォールまで またはベンダーに よる実施 校もある。 ター F 市教 委託先の 育セン 建物 すべて委託 市立学校すべ 校内のルータま 学校側の責任で行 て で う。 ター G 県教 本 セ ン 委託先 2 社の 県立学校すべ 校内のクライア 学校側の責任で行 育セン ター内 要員が常駐 て、市町村の学 ントコンピュー う。 校もある。 タの IP アドレス ター まで 25 セ ン ター サーバ室 サーバの運 管轄する学校 校内ネットワー 学校側コンピュー の設置の 用 のネットワー クへのアクセス タの修正パッチの ク接続 境界 適用 県立学校すべ 校内のスイッチ 学校側の責任で行 て まで う。 場所 H 県教 第 3 セク 育セン ター先 すべて委託 ター 特記事 センター 完全なアウ すべてのネッ クライアントパ 学校に任せる場 項 内にサー トソーシン トワーク利用 ソコンまで把握 合、確実に更新が バがある グの場合、職 をセンター側 する場合、ルール 行われているか定 場合、職員 員による委 で把握できる。 と し て 監 視 す る 期的にチェックす による委 託業務監視 ことを定める必 る必要がある。 託者の監 が行いにく 要がある。 ソフトウェアの導 視が行い い状況にな 入制限を行ってい やすい面 る。 る場合、教育セン ターによる更新方 がある。 法を検討する必要 がある。 26 4. 付録 ISMS「管理目的」抜粋 管理目的は、ISMS の付属書「詳細管理策」からの抜粋になり、主な例示は、管理目的 の参考例として掲載する。 ISMS の章 管理目的 主な例示 3.情報セ 3.(1) キュリティ 情報セキュリティ基本方針 リシーの策定、承認、 基本方針 管理目的:情報セキュリティのための経営陣の指 周知、見直しが行わ 針及び支持を規定するため。 れている。 ¾ 情報セキュリティポ 4.組織のセ 4.(1)情報セキュリティ基盤 ¾ セキュリティの組織 キュリティ 管理目的:組織内の情報セキュリティを管理する 体制があり、責任者、 ため。 担当者が決められて 4.(2)第三者によるアクセスのセキュリティ いる。 管理目的:第三者によってアクセスされる組織の ¾ セキュリティの必要 情報処理設備及び情報資産のセキュリティを維持 事項を含めて、委託 するため。 契約が締結されてい 4.(3)外部委託 る。 管理目的:情報処理の責任を別の組織に外部委託 した場合における情報セキュリティを維持するた め。 5.資産の分 5.(1)資産に対する責任 ¾ 情報資産の重要性や 類及び管理 管理目的:組織の資産の適切な保護を維持するた 取り扱いが定められ め。 ている。 5.(2)情報の分類 管理目的:情報資産の適切なレベルでの保護を確 実にするため。 6.人的セ 6.(1)職務定義及び雇用におけるセキュリティ キュリティ 管理目的:人による誤り、盗難、不正行為、又は設 育を計画的に実施す 備の誤用のリスクを軽減するため。 る。 6.(2)利用者の訓練 ¾ 情報セキュリティ教 ¾ セキュリティ事件・事 管理目的:情報セキュリティの脅威及び懸念に対 故の記録の保管が行 する利用者の認識を確実なものとし、通常の仕事 われている。 の中で利用者が組織のセキュリティ基本方針を維 持して行くことを確実にするため。 27 ISMS の章 管理目的 主な例示 6.(3)セキュリティ事件・事故及び誤動作への対 処 管理目的:セキュリティ事件・事故及び誤動作によ る損害を最小限に抑えるため、並びにそのような 事件・事故を監視してそれらから学習するため。 7.物理的及 7.(1)セキュリティが保たれた領域 び環境的セ 管理目的:業務施設及び業務情報に対する認可さ を実施している。 キュリティ れていない物理的なアクセス、損傷及び妨害を防 ¾ 情報、ソフトウェア、 ¾ サーバ室の入室制限 止するため。 装置などの持ち出し 7.(2)装置のセキュリティ が定められている。 管理目的:資産の損失、損傷又は劣化、及び業務活 動に対する妨害を防止するため。 7.(3)その他の管理策 ¾ 機器の保守を定期的 に実施している。 ¾ 機器の廃棄方法が定 管理目的:情報及び情報処理設備の損傷又は盗難 められている。 を防止するため。 8.通信及び 8.(1)運用手順及び責任 ¾ 運用記録が保管され 運用管理 管理目的:情報処理設備の正確、かつ、セキュリ ティを保った運用を確実にするため。 ている。 ¾ 操作マニュアルの変 8.(2)システムの計画作成及び受入れ 更履歴が作成されて 管理目的:システム故障のリスクを最小限に抑え いる。 るため。 ¾ MO などの電子媒体の 8.(3)悪意のあるソフトウェアからの保護 取り扱いが定められ 管理目的:ソフトウェア及び情報の完全性を、悪意 ている。 のあるソフトウェアによる被害から保護するた ¾ コンピュータウイル め。 ス対策が行われてい 8.(4)システムの維持管理 る。 管理目的:情報処理及び通信サービスの完全性及 び可用性を維持するため。 8.(5)ネットワークの管理 管理目的:ネットワークにおける情報の保護、及び ネットワークを支える基盤の保護を確実にするた め。 8.(6)媒体の取扱い及びセキュリティ 管理目的:財産に対する損害及び事業活動に対す る妨害を回避するため。 28 ISMS の章 管理目的 主な例示 8.(7)情報及びソフトウェアの交換 管理目的:組織間で交換される情報の紛失、改ざん 又は誤用を防止するため。 9.アクセス 9.(1)アクセス制御に関する業務上の要求事項 ¾ システムへのアクセ 制御 管理目的:情報へのアクセスを制御するため。 ス制限が行われてい 9.(2)利用者のアクセス管理 る。 管理目的:情報システムへのアクセス権が、適切に ¾ ID とパスワード管理 認可され、割り当てられ、維持されていることを が行われている。 確実にするため。 ¾ ネットワーク分離が、 9.(3)利用者の責任 アクセス制御に基づ 管理目的:認可されていない利用者のアクセスを き行われている。 防止するため。 ルータのフィルタリ 9.(4)ネットワークのアクセス制御 ングの設定が行われ 管理目的:ネットワークを介したサービスの保護 ている。 のため。 ¾ ログの監視が行われ 9.(5)オペレーティングシステムのアクセス制御 管理目的:認可されていないコンピュータアクセ ている。 ¾ リモートアクセスの スを防止するため。 手順が定められてい 9.(6)業務用ソフトウェアのアクセス制御 る。 管理目的:情報システムが保有する情報への認可 されていないアクセスを防止するため。 9.(7)システムアクセス及びシステム使用状況の 監視 管理目的:認可されていない活動を検出するため。 9.(8)移動型計算処理及び遠隔作業 管理目的:移動型計算処理(mobile computing)及 び遠隔作業(teleworking)の設備を用いる時の情 報セキュリティを確実にするため。 11 . 事 業 継 11.(1)事業継続管理の種々の面 ¾ 災害時の業務継続計 続管理 管理目的:事業活動の中断に対処するとともに、重 画が定められてい 大な障害又は災害の影響から重要な業務手続を保 る。 護するため 12.適合性 12.(1)法的要求事項への適合 管理目的:刑法及び民法、その他の法令、規制又は 契約上の義務、並びにセキュリティ上の要求事項 29 ¾ 著作権などの法的遵 守が行われている。 ¾ システム監査への留 ISMS の章 管理目的 主な例示 に対する違反を避けるため。 意事項が定められて 12.(2)セキュリティ基本方針及び技術適合のレ いる。 ビュー ¾ ネットワーク侵入検 管理目的:組織のセキュリティ基本方針及び標準 査が手順に基づき行 類へのシステムの適合を確実にするため。 われている。 12.(3)システム監査の考慮事項 管理目的:システム監査手続の有効性を最大限に すること、及びシステム監査手続への/からの干 渉を最小限にするため。 以上 30