11
情報保護研修会 (情報セキュリティ・個人情報保護研修会) 平成28年10月27日木曜日 医学研究院 c-csirt 伊勢川直久 mc_csirt
情報保護研修会(情報セキュリティ・個人情報保護研修会)
平成28年10月27日木曜日医学研究院 c-csirt 伊勢川直久
mc_csirt
本日の内容
●
学内から入手可能な情報を元にします。
https://gakunai.jm.chiba-u.jp/gakujutsu/joho/skensyu/indes.html
●
悪意のプログラム等による被害実態について
●
大学によるネットワーク管理実態について
※
各自が行うソフトウェア管理について
<各自が意識を高めることが最も重要です>
平成28年4月19日開催第一回情報セキュリティ・個人情報保護研修会資料から
資料1 情報安全管理規程の一部改正及びこれらの関連規則等の制定について(4/19)資料2 新しい管理体制(平成28年4月以降)(4/19)資料3 情報安全管理規程(H23/4/1,最近改定H28/4/1)資料4 情報安全管理規程の一部改正について(4/19)資料5 個人情報管理規程の一部改正について(4/19)資料6 情報資産の管理及び取扱いに関する細則(4/1)資料7 情報システムの安全管理等に関する細則(4/1)資料8 学生の成績評価に関する手順書策定のためのガイドライン(H27/2/26)資料9 情報安全管理体制の確認について(4/8) ◎ 情報セキュリティインシデント発生時における緊急連絡先資料10 本学における情報セキュリティインシデント発生時のエスカレーションフロー(4/19)資料11 C−CSIRT ( Chiba University – Cyber Security Incident Response Team )資料12 個別に設置している無線LANアクセスポイントの管理について(4/19) ◎ 個別無線LANアクセスポイント利用届兼設定確認表資料13 部局ホームページの設置・管理について(4/19)資料14 情報セキュリティにおける部局内研修の実施について(4/19) ・ 情報セキュリティにおける部局内研修実施計画表及び実施報告書資料15 情報セキュリティにおける部局内研修実施報告(各部局提出資料>欠席者対応を含む)資料16 主要ソフトウェアのサポート終了期限(2016年2月18日更新)資料17 Adobe社Flash Player の学内利用の制限等について(H27/11/12) ◎ Adobe Flash Player 利用届(部局宛)
資料1〜7情報安全管理+個人情報保護=「情報保護管理」
情報保護管理 情報公開
情報資産 保有個人情報個人情報 保有個人情報
総括情報保護管理責任者 (CISO)
部局情報保護管理責任者(部局長):教育研究各部局事務(部)長:事務系
部局情報保護管理者
情報システム責任者
情報保護担当者(利用者)
保有個人情報の開示,利用停止,訂正等
情報公開・個人情報保護委員会
資料9情報安全管理体制の確認
● 研究室内で誰に問い合わせるか決めておく。
● 次に,部局の誰に訊くか。
● 西千葉に届出は、
総務係やmc_csirt?
インシデント発生
資料10(一部改変)
無線LAN利用届
● 無線LANは情報漏洩,悪意の第三者の侵入の原因になりやすいですので,届出制です。
● 無届で利用は不可
資料17 Adobe Flash Player等禁止
● Adobe Flash Player 利用禁止
利用する場合は部局に届出● ブラウザの「オートコンプリート機能」禁止
サイトパスワード保存の禁止● ホームページ操作の制限
サイト更新端末のIP制限等管理
某部局の事故後対応
リスク特定● 情報資産については格付けを行い,取扱制限を必要とする場合は,その内容を明示する
リスク回避● 要機密情報(個人情報)を記録したもの(電子媒体,紙)は持ち出さない● 携帯型パソコン及びUSBメモリ等への保存禁止,ネットワーク接続機器について適切な設定● 個人情報は常に暗号化● 個人情報をため込まないで,適宜削除● 個人情報とその他の情報の分別管理● 学生成績評価については,部局手順書を遵守
許可● 要機密情報(個人情報)の持ち出しには,部局長の許可が必要
話題● http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/
国民のための情報セキュリティサイト(2016/8/17)
● http://www.mext.go.jp/component/a_menu/education/detail/__icsFiles/afieldfile/2016/08/09/1375325_02_1.pdf
教育情報セキュリティのための緊急提言(案)(2016/8/12)
● http://www.jinji.go.jp/kisya/1609/1202000_H12shokushoku68.htm
人事院「懲戒処分の指針について」(2016/9/30)
悪意のプログラム等による被害実態について● https://www.ipa.go.jp/security/vuln/10threats2016.html
● 情報セキュリティ10大脅威 2016
1.「標的型攻撃による情報流出」2位
2.「内部不正による情報漏洩とそれに伴う業務停止」8位
3.「ウェブサービスからの個人情報の窃取」4位
4.「サービス妨害攻撃によるサービスの停止」
5.「ウェブサイトの改竄」6位
6.「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」10位
7.「ランサムウェアを使った詐欺・恐喝」3位
8.「インターネットバンキングやクレジットカード情報の不正利用」1位
