学内LANについての情報セキュリティガイドライン
1.ねらい
近年の情報化の進展に伴い、研究・教育活動においてコンピュータやネットワークの利用は欠かせないものとなっている。ネットワークの利用においてはウイルス感染、不正アクセス等の様々な脅威が存在し、利用者のパスワードの管理不備(紛失等)や不注意(例えば見知らぬ相手からの勧誘メールにのる)により、思わぬ事件や事故、法律違反に巻き込まれる等、無意識のうちにセキュリティを侵害する場合もある。学内LANの利用者はこれらの重要性を十分認識しなければならない。
本ガイドラインは、「愛知淑徳大学情報セキュリティポリシー」に基づいて定められ、学内LANを利用するにあたって、情報セキュリティ対策上の遵守事項を整理したものである。学内LAN利用者はこのガイドラインの趣旨を十分に理解し、遵守した上で良識に基づいて利用しなければならない。
2.学内LANについて
2.1 学内LANとは
学内LANは、研究・教育のために利用できる学内施設内に敷設されたネットワークシステムであり、次に定める基幹ネットワークと支線ネットワークから構成される。
基幹ネットワークは、学内の各建物間およびインターネットへ接続するLANケーブル、ルータ・ハブ等の通信機器、サーバ等の管理機器およびそれらに関わるソフトウェアで構成される。
支線ネットワークは、基幹ネットワークに接続された学内施設内のLANケーブル、ネットワーク機器、その管理機器およびそれらに関わるソフトウェアで構成される。
2.2 責任者
学内LANの管理・運用は、情報システム支援部が担当し、その責任者は情報システム支援部長とする。また、学内にあるコンピュータ施設内のネットワークに関しては、その施設責任者が責任を負う。
なお、新規ネットワークの構築等は、情報システム支援部と協議のうえ進める。
2.3 学内LANの利用について
学内LANは、教職員および本学の定める手続きに従って利用資格を取得した学生が利用することができる。利用者は、ネットワーク利用のための最低限度の活動規範を心得ていなければならない。活動規範と言っても難しいことではない。ネットワーク上であっても普通の社会生活と同様に社会の一員としての良識に従った利用を守らなければならないということである。
例えば、利用者には、情報通信のための電子メールや情報入手のためのWWWなどの利用が認められている。電子メールの送受信内容やWWWで得た他人の情報に対しては、社会生活と同じく通信の秘密とプライバシーの保護を遵守しなければならない。
また、利用者はインターネット等を利用して、レポートやWebページなどさまざまな資料・情報を容易に作成することができる。他人が作成した図・写真・文章・ロゴ・音源・プログラムなどの情報の適切な利用に配慮し、著作権その他を尊重しなければならない。
3.セキュリティについての対応策
3.1 ウイルス対策
学内LANシステムを円滑に運用するためには、これを支えるコンピュータシステムの安全性が不可欠であり、システムのセキュリティにとって最大の脅威は、コンピュータウイルスである。
利用者がインターネット等で情報を受信する場合、情報の提供者・発信者が良心的であるとは限らない。利用者は、コンピュータウイルスの危険性を意識して、適切な行動をとることが求められる。
ウイルス感染によって引き起こされる電子データ改ざんや電子データ破壊に対応するため、外部記録装置(CD-R/RW、USBメモリ、外部ハードディスク等)への保存等、常時電子データのバックアップを実施しておく。
受信メールに添付されたファイルや、インターネットからダウンロードしたファイル等を開く前に、ウイルス対策ソフトによる検査を実行する。ウイルス感染の可能性のあるファイルを扱う時は、マクロ機能の自動実行は行わない。
メールの本文に記載できるものを添付ファイルにしない。
ウイルス発見時・感染時には、情報システム支援部に報告しなければならない。
3.2 不正アクセス
使用する権限を与えられていないコンピュータに対して不正な接続を試みたり、実際にそのコンピュータに侵入する不正アクセスを防ぐには、以下の点に注意する必要がある。
1)パスワードおよびユーザID管理
コンピュータやネットワーク利用のために発行されたユーザIDとパスワードは、本人のみが利用できる。他人のユーザIDを用いて利用してはならない。
パスワードは適宜、変更する。
パスワードは数字のみ、英字のみではなく、記号や大文字小文字を組み合わせる。
パスワードはユーザIDと同じものや、名前、電話番号、誕生日などを避ける。
パスワードはメモをしない。メモしなければ覚えられないものは不適切である。
2)コンピュータ管理
OS、アプリケーションは、最新のセキュリティパッチを適用する。
使用中のコンピュータから一定時間離れる場合は、ログオフまたはシャットダウンなどにより、第三者の操作から保護しなければならない。
3)情報管理
重要な情報は、パスワード、暗号化等の対策を図る。
メールを送信する場合は相手先を限定し、宛先を十分に確認する。
重要な情報を記録した紙、磁気媒体等は、安全な場所に保管する。
ファイルのバックアップを随時行い、その磁気媒体等を安全な場所に保管する。
重要なファイルは、盗用、改ざん、削除等されないように厳重に管理する。
重要な情報を記録した紙、磁気媒体等を廃棄する場合は、内容が漏洩しない方法で行う。
4)報告義務
コンピュータ・ネットワークを利用中に不正アクセスの痕跡(見知らぬファイルがある、起動しないプログラムが動いている)などを発見した場合は、情報システム支援部に報告しなければならない。
.3 物理的セキュリティに関する対策
1)管理者
サーバ機器等は、関係者以外の立ち入りを制限し、入退室の記録が残される環境で設置する。
無停電電源装置を設置することが望ましい。
サーバ機器に記録されるデータは、定期的にバックアップしなければならない。
2)利用者
ネットワークのケーブル類、コンピュータ機器および電源等の設備を壊さない。
ネットワークやコンピュータ機器およびその部品を、勝手に持ち帰らない。
管理権限のないコンピュータに無断でソフトウェアをインストールしたり、コンピュータや導入されているソフトウェアの設定を変更しない。
研究室等で学内LANに接続する場合は、情報システム支援部に対し、利用者の氏名、利用場所、接続機器構成(コンピュータ、サーバ、プリンタなど)とOSを届け出る必要がある。また、機器の追加・変更が生じた場合は速やかに届け出る。
コンピュータやメディアを廃棄する際は、情報漏洩に注意する。
教職員は、研究室や事務室が不在となる場合には、施錠するなど部外者の侵入を防がなくてはならない。
3.4 人的セキュリティに関する対策
1)管理者
学内LANの利用資格を明確に定めなければならない。
利用資格を有する者以外に、ユーザIDを発行してはならない。また、利用資格を失った利用者のユーザIDは、直ちに削除されなければならない。
利用者のユーザIDを管理権限のない第三者に漏洩してはならない。また、いかなる場合にも利用者からパスワードを聞きだしてはならない。
2)利用者
利用資格のない情報システムおよび許可されていない情報にアクセスしたり、アクセスを試みたりしてはならない。
サーバ室等には、許可なく立ち入らない。
学内LAN管理者から情報セキュリティの維持管理のために協力を依頼された場合には従わなければならない。
3.5 技術的セキュリティに関する対策
1)管理者
学内LANの構築にあたっては、事務系、研究・教育系といった目的の異なるネットワークが混在しないように配慮しなければならない。また、長久手キャンパスと星が丘キャンパス間において円滑なネットワーク運用が行えるよう構築しなければならない。
ファイアウォールおよび侵入検知システム、その他必要と思われるセキュリティ機器を導入・運用し、外部からの脅威や内部から外部への攻撃に対処しなければならない。
運用されるポートは、必要最小限にとどめ、不要なポートは使用しない。
機器に情報セキュリティ上の脆弱性が発見された場合には、直ちにハードウエア・ソフトウエアの更新または設定変更などの対策を行う。
2)利用者
ウイルス感染を検査し、感染したウイルスを駆除するため、ウイルス対策ソフトをインストールする。また、最新のウイルスに対応した定義ファイルに常時更新する。
OSおよびソフトウェアの脆弱性を突いたウイルス感染防止のため、最新のパッチを適用する。
出所や内容が不明なファイルをダウンロードしてはならない。
4.留意事項
学内LANの利用にあたって、本ガイドラインを遵守しない場合は、コンピュータやネットワークの利用を禁止する場合がある。さらに悪質な場合には、愛知淑徳大学学則もしくは就業規則に則り処罰の対象になる場合がある。
5.例外事項
本ガイドラインで定められていない事項は、情報システム支援部長が判断する。
6.関連規程・内規等
学内LANの利用については、以下の規程、内規等によって別途定め、詳細な実施手順はこれらに従うものとする。
愛知淑徳大学 学内LAN利用規程
附則
このガイドラインは、平成18年4月1日から施行する。
このガイドラインは、平成21年10月1日から施行する。