事業活動報告 No.3
公益社団法人 私立大学情報教育協会
情報セキュリティに対する取り組み状況を体系的に把握し、問題点や課題を発見して改善に取り組めるようにするため、加盟大学・短期大学へ情報セキュリティの自己点検・評価についてアンケート調査を実施しました。
各大学から回答いただいた点検・評価結果を本協会として整理し、どのような点が改善されていないのか、どのような点に留意して災害や事故等の対応に備えなければいけないのか、大学全体の傾向を解析しましたので、以下の通り紹介します。
<配点について>
|
本チェックリストの方法で対応 | 5点 |
|
本チェックリスト以外の方法での対応 | 5点 |
|
一部(部門・項目)対応している | 4点 |
|
具体的に計画している | 3点 |
|
必要性を感じており、これからの課題 | 1点 |
|
必要性を感じていない | 0点 |
| 1.情報資産の把握 | (平均点) | 参考値(全体) | |||||||
| (1)情報資産の目録作成 | 大学全体 (167大学) |
併設短大 (52短大) |
短大法人 (2短大) |
短大全体 (54短大) |
全体 (221) |
2012年度 (175) |
2011年度 (178) |
2010年度 (227) |
|
| 情報資産の作成者、入手先が明確になっているか。 | 3.4 | 3.3 | 4.0 | 3.4 | 3.4 | 3.3 | 3.2 | 3.1 | |
| 情報資産の管理部署・管理責任者は明確になっているか。 | 3.7 | 3.6 | 4.0 | 3.6 | 3.7 | 3.7 | 3.6 | 3.5 | |
| 情報資産の保存場所・保存形態が明確になっているか。 |
3.6 | 3.6 | 4.0 | 3.6 | 3.6 | 3.6 | 3.4 | 3.4 | |
| 情報資産の主な利用目的が記載されているか。 |
3.2 | 3.1 | 4.0 | 3.1 | 3.2 | 3.1 | 3.0 | 2.8 | |
| 情報資産の公開対象が明確になっているか。 | 3.2 | 3.2 | 3.5 | 3.2 | 3.2 | 3.1 | 3.0 | 2.8 | |
| (2)情報資産の重要度 |
大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 情報資産の内容について組織的な重み付けがなされているか。 |
2.7 | 3.1 | 4.0 | 3.1 | 2.8 | 2.7 | 2.6 | 2.4 | |
| 情報資産の重要度の指標について適切な基準が設定されているか。 | 2.5 | 2.9 | 4.0 | 2.9 | 2.6 | 2.5 | 2.4 | 2.2 | |
| (3)情報資産の管理・運用 |
大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 情報資産の種類に応じて、物理的、電磁的アクセス権の設定がなされているか。 |
4.1 | 4.1 | 4.5 | 4.1 | 4.1 | 4.1 | 4.0 | 3.8 | |
| 適切な時期に情報資産の棚卸しが行われており、変更の履歴が保存されているか。 |
3.1 | 3.2 | 3.0 | 3.2 | 3.1 | 3.1 | 3.1 | 2.8 | |
| 情報資産の重要度に合わせて作成、保管、修正、廃棄、公開の手順が定められているか。 | 2.9 | 3.1 | 4.0 | 3.1 | 3.0 | 3.0 | 2.8 | 2.6 | |
| (4)リスク分析・対応 |
大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 情報資産のリスク評価基準が明確になっているか。 |
2.1 | 2.1 | 4.0 | 2.1 | 2.1 | 2.0 | 2.0 | 1.8 | |
| リスク別にどのような対策をとるべきかの指針が整理されているか。 | 2.1 | 2.0 | 4.0 | 2.0 | 2.1 | 2.0 | 2.0 | 1.8 | |
| 2.組織的対応 | |||||||||
| (1)意思決定 | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 経営責任の一部として、情報セキュリティの最高責任者を決めているか。 |
3.7 | 3.6 | 5.0 | 3.6 | 3.7 | 3.7 | 3.6 | 3.3 | |
| 情報セキュリティに関して専門に検討する組織が設定されているか。 |
3.7 | 3.5 | 4.5 | 3.5 | 3.6 | 3.6 | 3.6 | 3.3 | |
| 組織単位で情報セキュリティの責任者を決定しているか。 | 3.5 | 3.5 | 4.0 | 3.6 | 3.5 | 3.5 | 3.6 | 3.2 | |
| (2)運用体制 | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 組織単位で情報セキュリティに取り組む体制(企画、実行、評価・改善)が確保できているか。 |
3.1 | 3.2 | 4.0 | 3.2 | 3.2 | 3.2 | 3.1 | 2.9 | |
| 情報セキュリティに関する学内外の障害・事故状況を的確に把握し、改善につなげているか。 |
3.7 | 3.7 | 5.0 | 3.7 | 3.7 | 3.7 | 3.6 | 3.5 | |
| ソフトウェアのライセンス管理体制が確立されており、知的財産権を侵害していないか。 | 4.2 |
4.3 | 5.0 | 4.3 | 4.2 | 4.2 | 4.1 | 4.0 | |
| (3)監査体制 | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 意思決定の機能(報告・連絡・相談)が正常に働いているかを点検する仕組みがあるか。 |
2.7 | 2.6 | 2.0 | 2.6 | 2.7 | 2.7 | 2.5 | 2.4 | |
| 意思決定内容が適切になされているか、学内外の専門家による評価の仕組みがあるか。 | 2.3 |
2.3 | 2.0 | 2.3 | 2.3 | 2.3 | 2.1 | 2.0 | |
| 組織単位での情報セキュリティの実施状況を点検・評価し、改善する体制が確保できているか。 | 2.6 | 2.5 | 3.5 | 2.6 | 2.6 | 2.5 | 2.5 | 2.3 | |
| 点検・評価は、実績データに基づき継続的に実施され、その結果がフィードバックされ改善に活かされているか。 | 2.4 | 2.3 | 3.5 | 2.4 | 2.4 | 2.3 | 2.4 | 2.1 | |
| (4)情報セキュリティポリシー | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 情報セキュリティポリシーが策定できているか。 |
3.7 |
3.4 | 5.0 | 3.5 | 3.6 | 3.7 | 3.6 | 3.4 | |
| 情報セキュリティポリシーには、「目的」、「基本方針」、「適用者」、「利用者の義務・責任」を定めているか。 |
3.6 | 3.2 | 5.0 | 3.3 | 3.5 | 3.6 | 3.5 | 3.3 | |
| 情報セキュリティポリシーが公開され、学内関係者に周知徹底されているか。 | 3.3 | 2.9 | 5.0 | 3.0 | 3.2 | 3.4 | 3.3 | 3.0 | |
| (5)情報セキュリティポリシーの対策基準 | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 組織的セキュリティ、人的セキュリティ、技術的セキュリティ、物理的セキュリティについての遵守事項、PDCAサイクルを意識した運用が明確化されているか。 | 2.9 | 2.7 | 4.0 | 2.8 | 2.9 | 2.9 | 2.8 | 2.6 | |
| 対策基準が公開され、学内関係者に周知徹底されているか。学外関係者としての関連業者等に業務や情報システムの運用管理を委託する際、情報セキュリティポリシーに基づいた適切な契約がなされているか。 | 3.0 | 2.7 | 4.0 | 2.8 | 3.0 | 2.9 | 3.0 | 2.7 | |
| (6)情報セキュリティポリシーの実施手順 | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 対策基準で定められた内容が、各構成員の行動指針としてガイドライン化されているか。 |
2.8 | 2.7 | 4.0 | 2.7 | 2.8 | 2.8 | 2.8 | 2.7 | |
| 組織単位で実施手順を点検・評価し、改善する仕組みができているか。 |
2.3 | 2.3 | 3.5 | 2.3 | 2.3 | 2.4 | 2.4 | 2.2 | |
| 危機管理のための実施マニュアルを作成しているか。 | 2.7 | 2.8 | 4.0 | 2.8 | 2.7 | 2.6 | 2.6 | 2.4 | |
| 3.人的対応 | |||||||||
| (1)構成員の把握 | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 大学の情報資産に接する教員、職員、学生、関連業者等、構成員の範囲を明確にしているか。 |
4.1 | 4.2 | 5.0 | 4.2 | 4.1 | 4.1 | 4.1 | 4.0 | |
| (2)職務責任 | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 構成員に対して、セキュリティに対する問題意識を職務責任の中で明確にしているか。 |
3.5 | 3.4 | 4.5 | 3.5 | 3.5 | 3.5 | 3.5 | 3.5 | |
| (3)機密保持 | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 構成員である間および構成員でなくなった後の機密保持の取り扱いを適切に定めているか。 | 3.7 | 3.9 | 5.0 | 3.9 | 3.8 | 3.6 | 3.5 | 3.3 | |
| (4)情報の利用 | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 各構成員が利用できる情報の所在と利用できる対象者が明確になっているか。 |
3.9 | 3.8 | 5.0 | 3.8 | 3.9 | 3.9 | 3.9 | 3.8 | |
| 身分変更があった場合のアクセス権の設定・制限・緩和・削除が適切に行われているか。 | 4.3 | 4.3 | 5.0 | 4.4 | 4.3 | 4.3 | 4.3 | 4.2 | |
| (5)罰則規定 | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 構成員が情報セキュリティポリシーに違反した場合の罰則が規定されているか。 | 3.0 | 3.0 | 4.0 | 3.0 | 3.0 | 3.0 | 3.1 | 2.9 | |
| (6)情報資産の引継ぎ | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 人事異動、休職、退職等に対応した情報資産の引継ぎが適切(明文化、報告等)になされているか。 |
3.3 | 3.5 | 3.5 | 3.5 | 3.4 | 3.5 | 3.4 | 3.2 | |
| (7)情報セキュリティ教育 | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 情報セキュリティポリシーに従った教育がすべての構成員(学長などの役職者を含む)に適切に実施されているか。 |
2.7 | 2.6 | 4.5 | 2.7 | 2.7 | 2.6 | 2.7 | 2.7 | |
| 情報セキュリティ教育は定期的に実施され、参加を促す工夫がなされているか。 |
2.7 | 2.3 | 3.5 | 2.3 | 2.6 | 2.6 | 2.4 | 2.4 | |
| 過去の事故事例を共有し、情報セキュリティ教育などに活用しているか。 | 2.9 | 2.4 | 4.0 | 2.5 | 2.8 | 2.6 | 2.6 | 2.4 | |
| (8)事故対応と報告義務 | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 事故の連絡体制、事故処理の責任体制が確立されているか。 |
3.6 | 3.7 | 4.5 | 3.7 | 3.6 | 3.5 | 3.5 | 3.5 | |
| 重大な事故が発生した場合、警察や報道関係への対応体制及びマニュアルが整備されているか。 |
2.9 | 3.1 | 4.0 | 3.1 | 3.0 | 2.9 | 2.7 | 2.7 | |
| 事故対応に対するトレーニングを定期的に実施しているか。 |
1.8 | 1.6 | 3.0 | 1.7 | 1.8 | 1.8 | 1.7 | 1.7 | |
| 情報資産の管理者及び利用者が情報セキュリティに関する問題点を発見した場合、疑わしい状況を察知した場合の緊急連絡先が周知されているか。 | 3.1 | 3.0 | 3.0 | 3.0 | 3.1 | 3.0 | 2.9 | 3.0 | |
| 4.技術的・物理的対応 | |||||||||
| (1)ネットワーク | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| ファイアウォールを導入し、ポリシーに基づきログ管理や通信の状況を定期的に点検しているか。 |
4.6 | 4.5 | 5.0 | 4.5 | 4.6 | 4.6 | 4.6 | 4.6 | |
| 検知対象の情報を日々更新し、ログの保存・解析を行っているか。 | 4.2 | 3.9 | 5.0 | 4.0 | 4.1 | 4.1 | 4.1 | 4.1 | |
| 組織が管理するネットワークを把握し、トラフィック監視を行っているか。 | 4.5 | 4.2 | 5.0 | 4.2 | 4.4 | 4.5 | 4.4 | 4.3 | |
| 業務・研究・教育など用途ごとにネットワークを分離しているか。 | 4.7 | 4.8 | 5.0 | 4.8 | 4.7 | 4.8 | 4.7 | 4.7 | |
| セキュリティ対策のなされていない無線LANのアクセスポイントはないか。 | 4.5 | 4.3 | 5.0 | 4.4 | 4.4 | 4.3 | 4.2 | 4.3 | |
| ユーザ認証なしでだれでも利用できる情報コンセント等はないか。 | 4.3 | 4.0 | 5.0 | 4.1 | 4.3 | 4.3 | 4.1 | 4.1 | |
| ルータやスイッチなどのアクセスコントロールや時刻同期を行っているか。 | 4.7 | 4.5 | 5.0 | 4.5 | 4.6 | 4.6 | 4.6 | 4.5 | |
| (2)サーバ | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| OSやサーバのソフトウェアは信頼できるバージョンを使用し、必要に応じてアップデートを行っているか。 | 4.7 | 4.4 | 4.5 | 4.4 | 4.6 | 4.7 | 4.6 | 4.6 | |
| サーバの稼動状況や利用者ごとのアクセス状況を把握し、正確な時刻設定のもと、ログの保存と解析を行っているか。 |
4.4 | 4.3 | 5.0 | 4.3 | 4.4 | 4.5 | 4.4 | 4.2 | |
| 不要なサービスやポート、アカウント等が稼動していないか。 |
4.7 | 4.5 | 5.0 | 4.5 | 4.6 | 4.7 | 4.6 | 4.7 | |
| 定期的な監査を行い、セキュリティの基準を満たしていないサーバがないかチェックしているか。 |
3.8 | 3.5 | 4.5 | 3.5 | 3.7 | 4.0 | 3.8 | 3.9 | |
| セキュリティホールとなるようなソフトウェアへの対策を行っているか。 |
4.5 | 4.1 | 5.0 | 4.1 | 4.4 | 4.5 | 4.4 | 4.4 | |
| 障害発生時の復旧に備えて、バックアップをとっているか。 |
4.7 | 4.5 | 5.0 | 4.5 | 4.7 | 4.7 | 4.7 | 4.7 | |
| 施錠された安全な場所に設置し、入退室者の記録をとっているか。 |
4.3 | 3.8 | 4.5 | 3.9 | 4.2 | 4.3 | 4.1 | 4.2 | |
| 廃棄する際に、情報資産が流出しないよう、手順や履歴の管理を行っているか。 |
4.4 | 4.2 | 4.5 | 4.2 | 4.3 | 4.3 | 4.2 | 4.1 | |
| パスワードを定期的に変更し、容易に推測できないものとなっているか。 |
3.9 | 3.5 | 5.0 | 3.5 | 3.8 | 3.9 | 3.7 | 3.8 | |
| 不正侵入対策として、学外から管理者権限でサーバにログインできないようになっているか。 |
4.6 | 4.5 | 5.0 | 4.5 | 4.6 | 4.7 | 4.5 | 4.6 | |
| Webサーバ上のコンテンツに対するアクセス権などを適切に設定しているか。 |
4.8 | 4.6 | 5.0 | 4.6 | 4.7 | 4.7 | 4.7 | 4.7 | |
| Webアプリケーションに対する脆弱性対策(XSS,SQLインジェクション等)を行っているか。 |
4.5 | 4.4 | 5.0 | 4.4 | 4.5 | 4.4 | 4.3 | 4.3 | |
| 重要な情報を取り扱う場合は暗号化を行っているか。 |
4.4 | 4.1 | 4.0 | 4.1 | 4.3 | 4.4 | 4.4 | 4.3 | |
| 公開している情報が本当に正しいものなのか定期的にチェックしているか。 |
3.5 | 3.7 | 5.0 | 3.7 | 3.6 | 3.6 | 3.5 | 3.6 | |
| 迷惑メール対策(ウィルス対策、spam対策、オープンリレー対策等)をしているか。 | 4.9 | 4.7 | 5.0 | 4.7 | 4.8 | 4.8 | 4.8 | 4.8 | |
| ネームサーバのデータベースが適切に管理されているか。 |
4.9 | 4.7 | 5.0 | 4.7 | 4.8 | 4.8 | 4.8 | 4.8 | |
| ファイルサーバへのアクセス権を適切に設定しているか。 | 4.9 | 4.7 | 5.0 | 4.7 | 4.8 | 4.8 | 4.8 | 4.8 | |
| (3)クライアント |
大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 悪意のあるソフトウェア対策を行っているか。 |
4.7 | 4.5 | 5.0 | 4.5 | 4.6 | 4.6 | 4.6 | 4.5 | |
| OSやソフトウェアは信頼できるバージョンを使用し、必要に応じてアップデートを行っているか。 |
4.5 | 4.3 | 5.0 | 4.4 | 4.5 | 4.5 | 4.5 | 4.4 | |
| 不要なサービスやポート、アカウント等が稼動していないか。 |
4.3 | 4.1 | 5.0 | 4.1 | 4.3 | 4.4 | 4.2 | 4.2 | |
| 正確な時刻設定のもと、利用者のログの保存と解析を行っているか。 |
4.0 | 3.9 | 4.5 | 4.0 | 4.0 | 4.1 | 4.0 | 3.9 | |
| 障害発生時の復旧に備えて、バックアップをとっているか。 | 4.1 | 4.0 | 5.0 | 4.1 | 4.1 | 4.1 | 4.0 | 3.9 | |
| 部外者が容易に立ち入らないような監視体制と盗難防止策を講じているか。 |
4.1 | 3.7 | 5.0 | 3.7 | 4.0 | 4.0 | 3.9 | 3.9 | |
| 廃棄あるいは返却する際に、情報資産が流出しないよう、手順や履歴の管理を行っているか。 | 4.3 | 4.0 | 5.0 | 4.0 | 4.2 | 4.3 | 4.1 | 4.0 | |
| (4)情報媒体の管理 | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 情報媒体(USBメモリやハードディスクドライブ、ノートパソコン等)の持ち出しや持ち込みについて基準を設けているか。 |
3.2 | 3.2 | 4.5 | 3.2 | 3.2 | 3.2 | 3.0 | 2.9 | |
| 情報媒体はパスワード設定や暗号化等の紛失・盗難対策を講じているか。 | 3.1 | 3.2 | 4.5 | 3.2 | 3.1 | 3.2 | 3.0 | 2.9 | |
| (5)情報施設・設備の管理 | 大学全体 | 併設短大 | 短大法人 | 短大全体 | 全体 | 2012年度 | 2011年度 | 2010年度 | |
| 地震や火災等、施設に対する安全管理対策はできているか。 | 3.9 | 3.8 | 5.0 | 3.9 | 3.9 | 3.9 | 3.7 | 3.5 | |
| 電源や空調の安定運用、盗難防止等、設備や機器等に対する安全対策はできているか。 | 4.2 | 3.9 | 5.0 | 4.0 | 4.1 | 4.2 | 4.1 | 4.1 | |