本講習会は、情報セキュリティの危機管理能力の強化を推進するため、大学の教職員を対象に、情報の管理と運用対策の専門知識、情報管理の技術の普及を開催趣旨とし、8月27日、28日の2日間にわたり学習院大学目白キャンパスで開催した。当協会非加盟の大学・短期大学からも参加を募集し、69名(52大学、2短期大学)の参加があった。
今年度の講習会では、情報の創造・発信拠点として、社会的責任を遂行する重要な責務を担っている大学等において個人情報の流出、USBメモリの紛失、不正アクセスによる情報の持ち出しなどの事故・事件の発生が後を絶たない状況を受け、情報管理の重要性と危機意識を周知徹底し、構成員が適切に対応できることを目指し、情報セキュリティ担当部門として対応すべき戦略を模索することを狙いとした。講習会は、本協会が作成した「情報セキュリティ対策チェックリスト」の結果を基に、インシデント対応演習とその事後対応に関する課題を探り、その解決策を提言できる能力を身につける「情報セキュリティ技術部門コース」と、受講者間の情報交換やグループディスカッションを通して、情報セキュリティガバナンスのあり方や情報漏えい対策について探求し、情報セキュリティ対策のアクションプランについて検討する「情報セキュリティマネジメントコース」で構成した。
大学の教育・研究活動ならびに管理運営活動等は情報機器やネットワークによる情報システム機能に大きく依拠している。このため、ひとたび情報セキュリティに対する事故が生じると、大学運営そのものに多大な支障が生じることが想定される。全体会では、構成員一人ひとりの情報セキュリティに対する意識改革の重要性と方策、組織全体のセキュリティマネジメントの中で情報部門の果たす役割について模索していくことに関連して、二つの講演を行った。
1つ目は、濱中正邦氏(青山学院大学事務局長)から「情報セキュリティへの対応を如何に教職員に徹底するか」と題して、情報セキュリティに関する事故が絶対に発生しないことを保証することは難しいという前提から、「事故を発生させない予防策」と「万が一事故が発生した場合の対応策」を目指して、構成員の“意識”改革と意識を“行動”に変える周辺環境の整備に重点を置いた青山学院大学の事例が紹介された。単なる規程としての情報セキュリティポリシーから組織文化に根付く「生きたポリシー」に近づけるためには「構成員全員の協力(No Audience All Player)」が必要との観点から、「コミュニケーションを重視した活動推進」、「コラボレーションを重視した体制作り」に重点を置き、教職員の身近にある情報資産調査、情報の発生から廃棄までのライフサイクル全体にわたる情報セキュリティマネジメントについて実例を交えて報告された。
二つ目は、矢藤邦治氏(近畿大学総合情報システム部)から「コンピュータウィルス感染事故発生時の対応とその後の防止対策等についての事例」と題して、近畿大学において発生したフィルス感染の事例を紹介された。USBメモリを感染媒体として発生したウィルス感染が、ウィルス対策ソフトが導入されていたにもかかわらず3日間の間に全体のPCの24%に蔓延したことについて、ウィルス定義ファイルの更新タイミングやWindowsUpdateの重要性を指摘され、この感染事故に対処するために費やした人件費や、その後の再発防止策、利用者一人ひとりのセキュリティに対する意識向上の重要性などについて具体例を交えて報告された。
全体会の後、参加者は二つのコースに分かれて実習やディスカッションを行った。
本コースでは、大学のネットワーク管理やシステム管理に携わる部門において、マネジメント層の方針に基づき事前対策や事後対応に関するルールや体制の案を作成する役割が必要となっていることに鑑み、本協会が作成した「情報セキュリティ対策チェックリスト」の結果を基に、インシデント対応演習とその事後対応についてシミュレーションを行って課題を探り、解決策を提言できる能力を身につけることを目標として、以下のような実習を行った。
平成22年度「情報セキュリティ対策の自己点検・評価チェックリスト」の結果を基に、大学の置かれているセキュリティ状況について概観し、情報資産目録のモデルによるリスク評価を学習した。
前半は「インシデント対応概説」を講義し、基本的な対応知識を確認した。後半は、大学から教員や学生のアカウント情報が漏洩したという想定で、インシデント対応演習を行った。具体的には、教員や学生へのヒアリングのロールプレイやメールシステムのログ解析を通して、情報漏洩のルートの推測などを行って、インシデント報告書にまとめた。
インシデント対応演習で情報漏洩やなりすましなどのインシデントの原因と推測された問題点から、「不要アカウントの整理・管理」や「PCの処分」に注目し、受講生の所属する大学の状況を分析した。また、対応策のデモンストレーションやディスカッションを通して、再発防止のための大学への提言書を作成した。
クラウドコンピューティングによるメールや教育支援システムの運用について、セキュリティの観点から事例紹介を行った。また、受講生の作成したインシデント報告書や提言書について講評を行い、体制やルールの見直しについて方向性を議論した。最後に、情報漏洩防止という観点で先進的な運用事例として、専修大学の事例を紹介した。
本コース実施の結果、本コースの到達目標を達成することができ、クラウドの使用はサービス水準の合意の難しさや運用面での困難があることなどから、問題のない範囲に使用が限定されることを確認した。
本コースでは、情報セキュリティ部門として取り組むべき課題を整理・確認した上で、対応すべき取り組みの内容・手法および課題について共通理解を形成し、大学全体の問題として対応が展開されるよう、情報管理の徹底に関する政策や構成員への意識付け、罰則の設定などの提案を情報センター等の部署から大学執行部へ働きかけられるマネジメント力の強化を目指すことを目標として以下の講習を行った。
情報セキュリティポリシー作成の意義、規定すべき主な内容、規程を運用する際の留意点について、大学および企業から事例を紹介された。
(1) 大学における事例
同志社大学における情報セキュリティポリシー策定の事例として、1)基本方針、対策基準、実施手順の策定についての具体的な検討内容、2)ポリシーは理解し易いものとすること、3)外部に公開することの重要性などについて、正木卓氏(同志社大学研究開発推進機構研究開発推進室長)より紹介された。
(2)企業における事例
企業における情報セキュリティ対策の取組みとして、1)企業におけるリスクマネジメント、2)社内のセキュリティマネジメント、3)仮想環境でのセキュリティ要件、4)民間企業と学校法人のセキュリティマネジメントについて、原田典明氏(日本電気株式会社プラットフォームマーケティング戦略本部シニアマネージャー)より紹介された。
本協会の「情報セキュリティ対策の自己点検・評価チェックリスト」の回答結果を基に1)セキュリティ対策への取り組み方の傾向分析、2)対応が遅れているセキュリティ対応項目の洗い出し、3)先進的に取り組んでいる大学の事例紹介を行い、上述の分析結果を題材とし、受講者によるグループディスカッションを通じて、取り組みに必要な課題の洗い出し・優先度の確認、PDCAサイクルによるセキュリティマネジメントの在り方を確認した。
「情報漏えい対策の推進」を話題に、情報セキュリティ対策を推進するための具体的な施策と大学執行部への関与の在り方について、グループディスカッションを行い、議論の結果を、1)情報セキュリティに対する意識向上、2)人的対応への課題、3)安易な情報持ち出しへの警鐘、4)情報セキュリティポリシー策定とPDCAサイクルの実現、5)大学執行部への関与のあり方について整理し、アクションプランとしてまとめた。
本コース実施の結果、グループごとに得られた知見に関して参加者全体での共有が図られた。