高等教育機関の情報セキュリティ対策のためのサンプル規程集

Similar documents

プライバシーマーク付与適格性審査業務基本規程改廃履歴版数制定改定日改訂箇所改訂理由備考年 8 月 26 日初版制定年 7 月 1 日 JIPDEC プライバシーマーク制度基本

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安

岡山県警察用航空機の運用等に関する訓令

る第三者機関情報保護関係認証プライバシーマーク ISO27001 ISMS TRUSTe 等の写しを同封のうえ持参又は郵送とする但し郵送による場合は書留郵便とし同日同時刻必着とする提出場所は上

<4D F736F F D D3188C091538AC7979D8B4B92F F292B98CF092CA81698A94816A2E646F63>

通知カードと個人番号カードの違い 2 通知カード ( 紙 )/H27.10 個人番号カード (ICカード)/H28.1 様式 (おもて) (うら) 作成交付主な記載事項全国 ( 外国人含む)に郵送で配布希望者に交

高松市緊急輸送道路沿道建築物耐震改修等事業補助金交付要綱（案）

<4D F736F F D20D8BDB8CFC8BCDED2DDC482A882E682D1BADDCCDFD7B2B1DDBD8B4B92F E646F63>

学校法人日本医科大学利益相反マネジメント規程

<4D F736F F D C689D789B582B581698AAE90AC92CA926D816A2E646F63>

4 承認コミュニティ組織は市長若しくはその委任を受けた者又は監査委員の監査に応じなければならない ( 状況報告 ) 第 7 条承認コミュニティ組織は市長が必要と認めるときは交付金事業の遂行の

私立大学等研究設備整備費等補助金（私立大学等

独立行政法人国立病院機構呉医療センター医療機器安全管理規程

4 参加資格要件本提案への参加予定者は以下の条件を全て満たすこと 1 地方自治法施行令 ( 昭和 22 年政令第 16 号 ) 第 167 条の4 第 1 項各号の規定に該当しない者であること 2 会社

独立行政法人国立病院機構

第二章政府機関の情報セキュリティ対策のための基本指針 (リスク評価 ) 第三条各府省庁は別に定める政府機関の情報セキュリティ対策における政府機関統一管理基準及び政府機関統一技術

参考様式再就者から依頼等を受けた場合の届出公平委員会委員長様年月日地方公務員法 ( 昭和 25 年法律第 261 号 ) 第 38 条の2 第 7 項規定に基づき下記のとおり届出をしますこの

慶應義塾利益相反対処規程

ができます 4. 対象取引の範囲第 1 項のポイント付与の具体的な条件対象取引自体の条件は各加盟店が定めます 5.ポイントサービスの利用終了その他いかなる理由によっても付与されたポイントを換金すること

●電力自由化推進法案

（別紙３）保険会社向けの総合的な監督指針の一部を改正する（案）

<4D F736F F D A94BD837D836C B4B92F62E646F6378>

ーただお課長を表示するものとする ( 第三者に対する許諾 ) 第 4 条甲は第三者に対して本契約において乙に与えた許諾と同一又は類似の許諾をすることができるこの場合において乙は甲に対して当

<4D F736F F D C482C682EA817A89BA90BF8E7793B1834B A4F8D91906C8DDE8A A>

2 役員の報酬等の支給状況平成 27 年度年間報酬等の総額就任退任の状況役名報酬 ( 給与 ) 賞与その他 ( 内容 ) 就任退任 2,142 ( 地域手当 ) 17,205 11,580 3,311 4 月 1

第２回　制度設計専門会合事務局提出資料

ていることからそれに先行する形で下請業者についても対策を講じることとしました本県としましてはそれまでの間に未加入の建設業者に加入していただきますよう 28 年 4 月から実施することとしました問 6 公共工事の

Microsoft Word 役員選挙規程.doc

< F2D926E88E6895E977089DB81608E528CFB8CA78C788E4082CC8D71>

の権限と責任を明確に定め,これを学内外に公表し, 関係者に周知するものとする ( 不正防止計画 ) 第 6 条最高管理責任者は, 公的研究費の不正使用の防止計画 ( 以下不正防止計画

キ短時間労働者の雇用管理の改善等に関する法律 ( 平成 5 年法律第 76 号 ) ク労働契約法 ( 平成 19 年法律第 128 号 ) ケ健康保険法 ( 大正 11 年法律第 70 号 ) コ厚生年金保

社会保険の加入に関する下請指導ガイドラインの改訂等について

(4) 武力攻撃原子力災害合同対策協議会との連携 1 市は国の現地対策本部長が運営する武力攻撃原子力災害合同対策協議会に職員を派遣するなど同協議会と必要な連携を図る

続に基づく一般競争 ( 指名競争 ) 参加資格の再認定を受けていること ) c) 会社更生法に基づき更生手続開始の申立てがなされている者又は民事再生法に基づき再生手続開始の申立てがなさ

の購入費又は賃借料 (2) 専用ポール等機器の設置工事費 (3) ケーブル設置工事費 (4) 防犯カメラの設置を示す看板等の設置費 (5) その他設置に必要な経費 ( 補助金の額 ) 第 6 条補

パソコン賃貸借契約

PMK220プライバシーマーク付与適格性審査の実施基準

・モニター広告運営事業仕様書

<4D F736F F D F936F985E8C9A927A95A892B28DB88B408AD68BC696B18B4B92F E646F63>

●労働基準法等の一部を改正する法律案

Microsoft PowerPoint - 【那須野】セキュリティ問題について

要な指示をさせることができる ( 検査 ) 第 8 条甲は乙の業務にかかる契約履行状況について作業完了後 10 日以内に検査を行うものとする ( 発生した著作権等の帰属 ) 第 9 条業務によって甲が乙に

第 5 条 ( 有効期間 ) 1. 本サービスの有効期間は当社が指定した日をもって開始とし当該サービス対象物件に入居する契約が終了した日をもって終了とします 2. 既に入居している住戸が新たにサービ

第 8 条乙は甲に対し仕様書に定める期日までに所定の成果物を検収依頼書と共に納入する 2 甲は前項に定める納入後 10 日以内に検査を行うものとする 3 検査不合格となった場合甲は

(Microsoft Word - \203A \225\345\217W\227v\227\314 .doc)

た者 ( 個人番号関係事務実施者 )となります個人番号 (マイナンバー)の取扱いについて雇用保険被保険者資格取得届などの様式へのマイナンバーの記載や本人確認事務についてはできるだけ事業主に対応い

社会保険の加入に関する下請指導ガイドライン(2/2) (6) 施工体制台帳の作成を要しない工事における取扱い建設工事の施工に係る下請企業の社会保険の加入状況及び各作業員の保

ア調整テーマ別分科会 (3テーマ程度各 4か月に1 回程度 ) 予定テーマ (ア) 鎮守大橋周辺地区 (イ) 内海橋周辺地区 (ウ) 工事車両交通対策 2 トータルマネジメント支援業務復興事業等の円滑な

（別添）特定個人情報の適正な取扱いに関する安全管理措置

学校教育法等の一部を改正する法律の施行に伴う文部科学省関係省令の整備に関する省令等について（通知）

<4D F736F F D E8CC592E88E918E598AC7979D8B4B92F6>

目次表紙... 1 目次... 2 改訂記録目的対象製造部門品質部門組織 PET 薬剤製造施設 ( 施設長 )の責務製造管理者の責務... 7

(3) その他市長が必要と認める書類 ( 補助金の交付決定 ) 第 6 条市長は前条の申請書を受理したときは速やかにその内容を審査し補助金を交付すべきものと認めたときは規則第 7 条に規定す

< F2D D D837C815B B8EC08E7B97768D80>

Microsoft Word - 個人情報保護方針.docx

Microsoft PowerPoint - 報告書(概要).ppt

老発第　　　　第　号

<4D F736F F D208E52979C8CA78E598BC68F5790CF91A390698F9590AC8BE08CF D6A2E646F6378>

国税クレジットカード納付の創設国税のクレジットカード納付についてはマイナンバー制度の活用による年金保険料税に係る利便性向上に関するアクションプログラム( 報告書 ) においてその導入の方向性が示されている

目　　　　　次

< F2D8AC493C CC81698EF3928D8ED2816A2E6A7464>

平成１７年度高知県県産材利用推進事業費補助金交付要綱

新居浜市印鑑登録及び証明書発行保護事務取扱要領

<4D F736F F F696E74202D208E9197BF322D31208C9A90DD B835E CC8A C982C282A282C4>

<4D F736F F D208DE3905F8D8291AC8B5A8CA48A948EAE89EF8ED0208BC696B18BA492CA8E64976C8F BD90AC E378C8E89FC92F994C5816A>

Taro-データ公安委員会相互協力事

福山市では, 福山市民の安全に関する条例 ( 平成 10 年条例第 12 号 )に基づき, 安全で住みよい地域社会の形成を推進していますまた, 各地域では, 防犯を始め様々な安心安全活動に熱心

預金を確保しつつ資金調達手段も確保する収益性を示す指標として営業利益率を採用し営業利益率の目安となる数値を公表する株主の皆様への還元については持続的な成長による配当可

(4) 運転する学校職員が交通事故を起こし若しくは交通法規に違反したことにより刑法 ( 明治 40 年法律第 45 号 ) 若しくは道路交通法に基づく刑罰を科せられてから1 年を経過していない場合同

Suica付学生証等利用特約（案）

加算税制度の見直し等 1. 現行制度の概要関税においては国税 ( 輸入貨物に対する内国消費税を含む以下同じ ) の制度と同様の過少申告加算税無申告加算税及び重加算税の制

2.JADA 検査対象者登録リストへの登録除外引退復帰 2.1 JADA 検査対象者登録リストへの登録及び除外は原則として以下に示す対応によりおこなうものとする登録国内競技連盟からの登録申請

Microsoft Word 差替_【900】(旧69)「交代」120111CL.docx

Microsoft PowerPoint - 【資料３】中小規模事業者向け+はじめてのマイナンバーガイドライン

Taro-沖縄県物品電子調達運用基準

為が行われるおそれがある場合に都道府県公安委員会がその指定暴力団等を特定抗争指定暴力団等として指定しその所属する指定暴力団員が警戒区域内において暴力団の事務所を新たに設

工事名能代南中学校体育館非構造部材耐震改修工事 ( 建築主体工事 ) 入札スケジュール手続等期間期日期限等手続きの方法等 1 設計図書等の閲覧貸出平成 28 年 5 月 24 日 ( 火

(6) 事務局職場積立 NISAの運営に係る以下の事務等を担当する事業主等の組織 ( 当該事務を代行する組織を含む )をいうイ利用者からの諸届出受付事務ロ利用者への諸連絡事務

2 導入に係る各課の役割部署名危機管理室主な事務番号法に規定された事務への個人番号の導入に関すること制度導入に向けた事務の総括に関すること個人番号の独自

確定給付企業年金　ＤＢパッケージプランのご提案

1 育児休業代替任期付職員 ( 一般事務職 )とは育児休業代替任期付職員とは一般の職員が育児休業を取得した際に代替職員として勤務する職員です一般事務職については候補者として

5. 個人情報保護マネジメントシステムの継続的改善当社は個人情報を保護し適切に取り扱うための個人情報の取扱いに関する法令国が定める指針その他の規範を遵守し更に日本工業規格

<4D F736F F D2095BD90AC E D738FEE816A939A905C91E D862E646F63>

社会保険加入促進計画に盛込むべき内容

平成１７年度予算案事業本部・局別記者発表日程表(案)

<4D F736F F D2095BD90AC E D738FEE816A939A905C91E D862E646F63>

中小規模事業者向けはじめてのマイナンバーガイドライン

横浜市障害者ガイドヘルプ事業実施要綱

に認める者を含む以下同じ )であること (2) 町税を滞納していない者であること ( 補助対象事業 ) 第 4 条補助金の交付の対象となる事業 ( 以下補助対象事業という )は補助事業者が行う町内

質問票 ( 様式 3) 質問番号 62-1 質問内容鑑定評価依頼先は千葉県などは入札制度にしているが神奈川県は入札なのか?または随契なのか?その理由は? 地価調査業務は単にそれぞれの地点の鑑定

係に提出する 2 財形担当係は前項の規定による財形貯蓄等の申込みがあった場合には当該申込みの内容を点検し財形貯蓄等の契約の要件 ( 第 6 条に規定する基準を含む )を満たしている

( 補助金の額 ) 第 6 条補助金の額は第 5 条第 2 項の規定による無線 LAN 機器の設置箇所数に 1 万 5 千円を掛けた金額と第 5 条第 3 項に規定する補助対象経費の2 分の1のいずれか低

(2) 地域の実情に応じた子ども子育て支援の充実保育の必要な子どものいる家庭だけでなく地域の実情に応じた子ども子育て支援の充実のために利用者支援事業や地域子育て支援事業な

平成 28 年度平成 29 年度の作成下落修正の検証報告書の作成審査申出困難事例等の対応等新設街路の設定価格形成要因の調査 Ⅰ Ⅱ 用途地区状況類似地域区分の検討主要

Transcription:

2010 2011 3 31

II A3100...191 A3101...191 A3102...191 A3103...191 A3104...191 A3105...191 A3106...191 A3107...191 A3108...191 A3109...191 A3110...191 A3111...191 A3112...191 A3113...191 A3114...191 A3115 ST ST...191 A3200...191 A3201...191 A3202...191 A3203...191 A3204...191 A3205...191 A3211...191 A3212...191 A3300...191 A3301...191 A3302...191 A3303 CIO/...191 A3401...191 A3500...191 A3502...191 A3600...191 A3601...191...191...191 292

I...5 A1000...15 A1001...17 A2101...29 A2102...107 A2103...109 A2104... 113 A2105...123 A2201...129 A2301...139 A2401...145 A2501...149 A2601 CP...191 A2602 CPS...191...191...191

A3100 A3100 A2101 A3101A3115 15 A3101 A3102 A3103 A3104 A3105 A3106 A3107 A3108 A3109 A3110 A3111 A3112 A3113 A3114 A3115 ST ST Windows Linux FreeBSD DNSSMTPPOP/IMAPFTPHTTPSSLSSH VPNIPFW 295

A3100 A3101A3115 (1) A3101 PDCA (2) A3102 (3) A3103 (4) A3104 (5) A3105 296

A3100 (6) A3106 (7) A3107 (8) A3108 (9) A3109 (10) A3110 297

A3100 (11) A3111 (12) A3112 Software Development Life Cycle (13) A3113 (14) A3114 NISC (15) A3115 ST ST STSecurity Target ST ST NISC 298

A3100 A3101A3115 A2101 A3101A3115 A2501 A3500 A3500 299

A3101 A3101 1. A1000 A1001 PDCA 2. 2.1 A2101 A2101-31 A2101-32 A2101-33 A2101-34 3. 1 2 301

A3101 2.1 3 4 4.1 4.2 4.3 4.4 5 5.1 6 6.1 7 7.1 8 8.1 9 ST ST IT 9.1 ST ST 9.2 ISO/IEC15408 IT 4. (1) (2) 5. 5.1 (1) ISO/IEC 17799Information technology - Security techniques - Code of practice for information security management(jis X 5080) (2) SLCP-JCF 98ISO/IEC 12207 (3) (4) IT ISO/IEC 15408 Common Criteria (JIS X 5070) (5) IPAIT JISEC 302

A3101 http://www.ipa.go.jp/security/jisec/index.html 5.2 6. 2 3 6.1 6.2 (1) [] (2) (3) (4) 303

A3101 A 2 3 (1) [] (2) (3) (4) 304

A3101 1. PDCA 2. 2.1 3. (1) (2) (3) (4) PDCA PLAN DOCHECKACTION 4. 4.1 (1) [] [] 305

A3101 4.2 (1) [] [] (a) [] (b) 306

A3101 [] (c) [] (2) [] PC OS DBMS OSUNIX OSLinux OSWindows OSDBMS PC PC LAN [] (3) [] 307

A3101 [] 4.3 A2101 [A2101-18] [A2101-19] [A2101-20] (1) [] ID 308

A3101 (2) [] (3) [] (4) [] [ ] 4.4 309

A3101 A2101 A2101 (1) [] [] A2101 (2) [] (3) [] 310

A3101 5. 5.1 ST ST IT 9 (1) [] OS [ ] [] (2) [] 311

A3101 (3) [] (4) [] 6. 6.1 (1) [] 312

A3101 (2) [] (3) [] (4) [] 313

A3101 (5) [] (6) [] (7) [] 7. 7.1 (1) [] 314

A3101 (2) [] 8. 8.1 PDCA (1) [] (a) (b) 315

A3101 9. ST ST IT 9.1 ST ST ST ST ST Security Target ISO/IEC15408 ST ST (1) [][ ST ST ]ST ST ST ST ST STSecurity Target ST ST ST ST ST ST ST ST ST ST [ ST ST ] (2) []ST ST ST IPA ST [http://www.ipa.go.jp/security/jisec/apdx0504.html] ST ST IPA IT 9.2 ISO/IEC 15408 IT ISO/IEC 15408 IT 316

A3101 IT IT (3) [] IT [ ] 317

A3102 A3102 1. 2. 3. (1) (2) (3) (4) 4. 4.1 (1) 319

A3102 () [ ] () 5. 5.1 (1) (2) 5.2 5.3 320

A3102 5.4 (1) (2) (3) (4) (5) (6) (7) 5.5 6. 6.1 (1) (2) 6.2 (1) 321

A3102 (2) 6.3 (1) (2) 6.4 6.5 (1) (2) (3) 7. 7.1 (1) 7.2 (1) 8. 8.1 322

A3102 (1) (2) 9. 9.1 9.2 10. 10.1 10.2 10.3 11. (1) 323

A3102 324

A3102 325

A3103 A3103 1. (1) (2) CPU P2P PC (3) ( 327

A3103 (4) (5) (6) (7) () (8) (9) A2101 (10) /] (11) 328

A3103 (12) A2201 (13) 2. (1) A B (2) e-mail [ ] Email: abuse@example.ac.jp 329

A3103 (3) [] 3. (1) (2) (3) (4) i) ii) i) i) 330

A3103 ii) (5) (6) (7) 331

A3103 4. (1) () () (2) () () (3) () () () () () 332

A3103 (4) () () (5) () () () () BCPBusiness Continuity Plan 5. (1) () () () (2) () () () (3) () 333

A3103 () () () JPCERT/CC () (4) () () (5) () () () () JPCERT/CC 334

A3103 JPCERT/CC JPCERT-ED-2002-0002 (Ver. 04) http://www.jpcert.or.jp/ed/2002/ed020002.txt 6. (1) (2) (3) 7. (1) () () () () JPCERT/CC (2) () 335

A3103 () a. 3 2 2 7 b. () a. b. CD c. http://www.telesa.or.jp/consortium/provider/index.htm (3) () () a. b. 7 (4) i) 336

A3103 ii) 3 1 1 (5) 337

A3103 3 1 (1)(3) (6) () 4 a. Web 1 b. Web 1 4 () () () () () 338

A3103 http://www.telesa.or.jp/consortium/pdf/provider_070226_guideline.pdf (7) 1 1 i) ii) iii) (8) () () () 8. (1) (2) 339

A3103 (3) (4) (5) (6) (4) - 9. 340

A3103 1 1. 2. 3. (1) (2) 4. 4.1 (1) (2) (3) BCPBusiness Continuity Plan (4) BCP 341

A3103 4.2 (1) (2) (3) (4) abuse@example.ac.jp (5) 4.3 4.4 342

A3103 343

A3103 344

A3103 2 1. A3103 (1) 4 (2) (3) 2. (1) (2) (3) (4) Digital Milemium Copyright ActDMCA http://en.wikipedia.org/wiki/online_copyright_infringement_liability_limitation_act http://www.utsystem.edu/ogc/intellectualproperty/dmcaisp.htm#top http://www.chillingeffects.org/dmca512/faq.cgi (5) DMCA (6) DMCA 345

A3103 (7) DMCAP2P P2P ISP (8) (9) 3. (1) (2) (3) 4. (1) CERT (2) IP (3) SPAM SPAM 346

A3104 A3104 1. 2. 3. 4. 4.1 4.2 (1) (2) 5. 5.1 A A 347

A3104 5.2 (1) (2) (3) (4) B 5.3 5.3.1 (1) 5.1 (2) 5.3.2 (1) (2) 5.1 348

A3104 A 5.1 (3) A (4) 6. 6.1 6.2 5. 6.3 5. 6.4 (1) (2) 5 6.5 5 349

A3104 7. 7.1 (1) (2) 7.2 (1) (2) (3) (4) (5) [ ] (6) (7) [] 350

A3104 8. 8.1 (1) (2) (3) (4) (5) (6) 8.2 (1) (2) (3) 8.3 (1) (2) 351

A3104 8.4 9. 9.1 (1) (2) 9.2 (3) 11. (4) (5) (6) 9.2 (1) (2) (3) [] (4) 352

A3104 BCC: 10. 10.1 (1) (2) 10.2 (3) 11. (4) 10.2 (1) [ ] (2) 11. 11.1 [] 11.2 11.3 (1) 353

A3104 (2) (3) (4) (5) (6) 11.4 (1) (2) 354

A3104 (3) (4) (5) 12. 12.1 (1) (2) (1) (2) FD CD-R/RWDVD-R/RW 12.2 355

A3104 12.3 13. (1) (2) 356

A3104 A 357

A3104 358

A3104 359

A3104 B 360

A3104 361

A3104 362

A3105 A3105 (1) () 6.6.1 MO USB 1 (2) () (3) (C)(I)(A) (C) (I) 1 http://www.meti.go.jp/policy/netsecurity/downloadfiles/is_audit_annex01_2.xls 363

A3105 (A) (4) (2)CIA (C) (I) (A) (5) 364

A3105 (6) 5. 365

A3105 366

A3106 A3106 1 2 3 A2101-18 4 367

A3106 368

A3106 369

A3106 X [] [] [] () 370

A3106 371

A3107 A3107 1. 2. 2.1 A2101 A2101-06 A2101-07 A2101-08 A2101-09 A2101-11 A2101-12 A2101-18 A2101-19 A2101-20 A2101-21 A2101-22 A2101-26 A2101-29 A2101-57 A2101-58 A2101-59 A2101-60 A2101-61 A2101-62 373

A3107 A2101-70 A2101-71 A2101-72 A2101-73 A2101-74 A2101-75 A2101-76 A2101-78 A2101-79 A2101-80 A2101-81 2.2 2.1 3. 1 2 2.1 3 3.1 3.2 374

A3107 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 4 4.1 375

A3107 4.2 WebDAVFrontPage 4.3 4.4 4.5 4.6 SSL/TLS 5 5.1 5.2 5.3 5.4 5.5 376

A3107 5.6 4. (1) (2) (3) (4) (5) (6) (7) (8) [] [] [] [] [] 377

A3107 [] [] 5. 5.1 (1) (IPA) Web URL: http://www.ipa.go.jp/security/fusei/ciadr.html 5.2 (1) URL: http://www.microsoft.com/japan/security/guidance/default.mspx (2) Windows Server. 2003 URL: http://www.microsoft.com/japan/technet/security/prodtech/ windowsserver 2003/w2003hg/sgch00.mspx (3) SunR BluePrints Security Publications URL: http://www.sun.com/software/security/blueprints/index.xml (4) SolarisR Security Toolkit URL: http://www.sun.com/software/security/jass/ (5) & URL: http://h50146.www5.hp.com/products/software/oe/hpux/ developer/setup/tips.html (6) HP-UXR Bastille URL: http://h20293.www2.hp.com/cgi-bin/swdepot_parser.cgi/cgi/ displayproductinfo.pl?productnumber=b6849aa (7) Bastille Linux URL: http://www.bastille-linux.org/ 378

A3108 A3108 1. 2. 2.1 A2101-06 A2101-07 A2101-08 A2101-09 A2101-12 379

A3108 A2101-18 A2101-19 A2101-20 A2101-21 A2101-24 A2101-26 A2101-57 A2101-61 A2101-62 A2101-70 A2101-71 A2101-72 A2101-73 A2101-74 A2101-75 A2101-76 A2101-78 A2101-84 A2101-85 2.2 2.1 3. 1 2 2.1 3 380

A3108 4 4.1 4.2 4.3 4.4 5 5.1 5.2 5.3 5.4 5.5 6 6.1 6.2 7 7.1 8 8.1 8.2 8.3 8.4 9 9.1 9.2 10 10.1 381

A3108 4. (1) (2) (3) (4) (5) (6) (7) 2 [] [] [] [] [] [] [] 382

A3108 5. 5.1 (1) URL: http://www.soumu.go.jp/joho_tsusin/d_syohi/m_mail.html (2) (IPA)UBE URL: http://www.ipa.go.jp/security/ciadr/antirelay.html (3) (IPA) URL: http://www.ipa.go.jp/security/fy10/contents/over-all/email.html 5.2 6. 2 3 6.1 MRA MSA MRA MSA MTAMSA MRA 383

A3108 (MTA) (MTA) (MSA/MTA) (MTA/MRA) (MUA) (MUA) 6.2 (1) HTTP SSL/TLS (2) (3) [] (4) (5) (6) 384

A3108 A3108 2. 3. (MTA) (MTA) (MSA/MTA) (MTA/MRA) (MUA) (MUA) MRA MSA MRA MSA 385

A3108 MTAMSA MRA HTTP SSL/TLS A3109 [] 386

A3108 1. 2. 2.1 3. (1) MTAMSAMRA (2) MTAMail Transfer Agent SMTP MSA SMTP SMTP (3) MSAMail Submission Agent MUA SMTP MTA MTA (4) MRAMail Retrieval Agent POP3IMAP MUA POP IMAP (5) MUAMail User Agent MSA MRA 387

A3108 (6) MTA MTA (7) (8) DNS MTA MX (9) MUA MTAMSAMRA 456 4. 4.1 (1) ID (2) 388

A3108 (3) 4.2 (1) MTAMSA MUA MSA MRA IDMRA (2) [1 ] (3) [] 4.3 (1) (2) [] 389

A3108 JVN(JP Vendor Status Notes)JPCERT (3) (4) (5) (6) [] MTA MSA 5.1 6.1 VRFYEXPNETRN SMTP MTA MSA MRA MTA 5.3 390

A3108 MSA 4.4 (1) (2) 5. 5.1 (1) [] MTA 5.2 (1) (2) (3) (4) MTA MSA (5) (6) 391

A3108 MTA 5.3 (1) MTA (2) MTA 5.4 (1) (2) 5.5 (1) MTAMSA postmaster (2) (3) MTA CPUHDD 392

A3108 6. 6.1 (1) [] MTA MSA LAN MSA 6.2 (1) [ ] (2) 7 7. 7.1 (1) MRA ID 393

A3108 MSA ID MRA (2) ID ID (3) MRA ID MSA ID ID (4) ID ID (5) ID 394

A3108 ID (6) ID 89 8. 8.1 (1) ID (2) 8.2 (1) (2) [] (3) MTAMSA MRA MSA 395

A3108 8.3 (1) (2) (3) 8.4 (1) 9. 9.1 (1) [] (2) 9.2 (1) [] 10 396

A3108 10. 10.1 (1) (2) 397

A3109 A3109 1. 2. 2.1 () 2.2 399

A3109 3. (1) (2) 1 (3) 1 1 (4) 1 4. 4.1 4.1.1 (1) 4.2 4.2.1 (1) (2) 400

A3109 4.3 4.3.1 (1) 4.4 4.4.1 (1) (2) (3) 4.4.2 (1) (2) 401

A3109 (3) (4) (5) (6) (7) 4.5 4.5.1 (1) 402

A3109 4.5.2 (1) 4.6 4.6.1 (1) 3 4.6.2 (1) (2) 4.7 4.7.1 (1) (2) (3) 403

A3109 (4) (5) 4.7.2 (1) (2) (3) 4.8 4.8.1 (1) 4.8.2 (1) (2) 404

A3109 5. (1) 6. (1) (2) 405

A3110 A3110 1. 2. 2.1 2.2 3. 1 2 407

A3110 3 4 4.1 4.2 4.3 5 6 7 8 4. 4.1 OS DBMS PC OS 408

A3110 4.2 (1) (2) (3) 4.3 4.4 4.5 409

A3110 5. (1) IT IPA http://www.ipa.go.jp/security/jisec/index.html IT ISO/IEC 15408 (Common Criteria) (2) 2006 6 C IT IT 6. 2 3 6.1 (1) (2) 6.2 (1) [] (2) 410

A3110 2 3 [] UNIX The Open Group Linux Linus Torvalds Windows Microsoft Corporation 411

A3110 1. 2. 3. (1) (2) (3) 4. 4.1 (1) 412

A3110 (2) UNIX Windows (3) 4.2 5 4.3 (1) (2) 413

A3110 (3) 5. 4.3 IT IT IT ISO/IEC 15408 (Common Criteria) IPA http://www.ipa.go.jp/security/jisec/index.html IT 1. 2006 6 6. (1) 414

A3110 7. 8. (1) (2) 415

A3110 416 4.2 (1) (2)(3)4.1 (1) (2) (3) 1 2 OS 3 DBMS 4 UNIX OSLinux Windows 5 6 7 OS 8 UNIX OSLinux Windows 9 10 1 1 LAN OS

A3111 A3111 1. 2. 3.3 3.4 3. 3.1 3.2 417

A3111 ASP 3.3 3.4 4. (1) 5 (2) 6 (3) 7 418

A3111 (4) 8 (5) 9 5. 5.1 (1) 1 (2) 1 (3) 1 (4) (3)1 1 (5) 5.2 (1) 419

A3111 (2) (3) (4) 6. 6.1 (1) (2) 420

A3111 (1) (2) ASP (3) (4) (5) (6) (7) (8) (9) (10) 7.5 (11) 6.2 (1)(9)2 6.2 421

A3111 6.2.1 (1) JIPDEC ISMS 3 2006 5 1 ISMS JIPDEC (2) 6.2.2 (1) 3 2006 5 2 422

A3111 (2) 6.2.3 (1) 3 2006 5 3 (2) 6.3 6.3.1 (1) 6.1 (1)(7) 423

A3111 6.3.2 (1) (7) 6.3.3 (1) (2) (8) 2 (3) (4) (9) 6.4 2 424

A3111 (1) 6.1 7. 7.1 (1) (1) (2) ASP (3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) 425

A3111 2 7.2 (1) (2) (3) (4) 7.3 (1) 6.1 426

A3111 7.4 (1) 7.5 (1) (2) (3) 8. 8.1 (1) 427

A3111 (2) (3) (4) (5) (6) 8.2 (1) 7.1 (2) 9. (1) 10. 428

A3111 10.1 (1) ST: Security Target ST ST (2) ST ST (3) ST ST ST ST ST ST STST 20066 10.2 (1) (2) (1) IT (3) (1)IT IT 429

A3111 20066 11. (1) (2) 430

A3111 1. (1) (2) (3) 431

A3111 ST ST ISO/IEC 15408 ST: Security Target STST IT IT (4) 432

A3111 (5) (6) (1)(5) (7) 433

A3111 (8) (9) (10) ISMS ISMSISMS 1 n 3 ISMS ISMSISMS 434

A3111 ISMS 1 4 3 2. (1) (2) (3) (4) 435

A3111 (5) (6) (7) (1)(6) 436

A3111 (8) (9) (10) (11) ISMS ISMSISMS 437

A3111 1 n 3 ISMS ISMSISMS ISMS 1 4 3 3. (1) (2) (3) 438

A3111 (4) (1)(3) (5) (6) (7) 439

A3111 ISMS (8) ISMS 1 1 ISMS 1 4. (1) (2) ISMS (3) ISMS 1 440

A3111 1 ISMS 1 441

A3111 1. (1) (2) 442

A3111 (3) 443

A3111 ST ST (4) ST ST ISO/IEC 15408 ST: Security TargetSTST ST ST 444

A3111 ISO/IEC 15408 ST: Security TargetSTST STST (5) (6) (7) (8) 445

A3111 (9) (10) (11) (12) (13) 2. (1) 1 446

A3111 (2) 1 (3) (4) (5) (6) (7) 447

A3111 (8) (9) (10) (11) 3. (1) 1 (2) 448

A3111 1 (3) (4) (5) (6) (7) (8) 4. (1) 449

A3111 (2) 450

A3111 1 1. (1) (2) xxx (3) (4) 2 (1) (2) (3) 2 9.3.1 451

A3111 3 (1) JIPDEC ISMS http://www.isms.jipdec.jp/ (2) 25 15 http://www.meti.go.jp/policy/netsecurity/sec_gov-toppage.html http://www.meti.go.jp/policy/netsecurity/downloadfiles/1_benchmark.pdf IPA http://www.ipa.go.jp/security/benchmark/ JIPDEC ISMS 452

A3111 453 JIS Q 27001:2006 JIS Q 27002:2006 ISMSVer.2.0 (JIS X5080:2002(ISO/IEC 17799:2000))25 1 1 3

A3111 (3) ISO/IEC 17799:2000 (JIS X 5080:2002) ISMSISMS Ver2.0 http://www.meti.go.jp/policy/netsecurity/audit.htm http://www.meti.go.jp/policy/netsecurity/is-kansa/index.html JASA http://www.jasa.jp/index.html 454

A3112 A3112 1. Software Development Life Cycle 2. 2.1 3. 1 1.1 1.2 455

A3112 2 3 3.1 3.2 4 4.1 5 5.1 5.2-5.3-5.4 5.5 6 6.1 6.2 6.3 6.4 7 7.1 7.2 4. (1) (2) (3) (4) 2 456

A3112 [] [] [] 5. 5.1 (1) ISO/IEC 15408 Common Criteria (JIS X 5070) (2) ISO/IEC 27002Information technology - Security techniques - Code of practice for information security management(jis Q 27002) (3) IPA http://www.ipa.go.jp/security/awareness/vendor/programming/ (4) IPA Web http://www.ipa.go.jp/security/awareness/administrator/secure-web/ (5) IPA http://www.ipa.go.jp/security/vuln/20050304_ec_security.html (6) IPA http://www.ipa.go.jp/security/vuln/20050304_ec_security.html (7) SLCP-JCF 98ISO/IEC 12207 (8) NIST Special Publication 800-53 Recommended Security Controls for Federal Information Systems (9) NIST Special Publication 800-64Security Considerations in the Information System Development Life Cycle 5.2 (1) Microsoft http://www.microsoft.com/japan/msdn/security/general/sdl.asp (2) MicrosoftWeb 457

A3112 http://www.microsoft.com/japan/msdn/security/guidance/secmod71.mspx 6. 2 3 6.1 6.2 (1) (a) [] (b) (c) (d) (2) 458

A3112 (3) (4) (5) 459

A3112 SDLC: Software Development Life Cycle) ISO/IEC15408Common Criteria Security Target 460

A3112 (1) (a) [] (b) (c) (d) (2) (3) (4) (5) 461

A3112 1. 1.1 98 CMMI PMBOK ISO9001 IT ISO/IEC15408Common CriteriaCC CC 1.2 [] (1) (2) (3) 462

A3112 1-1 [] [ ] SLCP-JCF 98ISO/IEC 12207 NIST Special Publication 800-64Security Considerations in the Information System Development Life Cycle (System Development Life Cycle) Microsoft http://www.microsoft.com/japan/msdn/security/general/sdl.asp (Security Development Lifecycle) 463

A3112 2. [] 3. 3.1 (1) (2) 464

A3112 3.2 (1) (2) 465

A3112 [] 4. 4.1 (1) 466

A3112 (2) [] [] 5. What (How) 5.1 (1) 467

A3112 ISO/IEC 15408 Common Criteria (JIS X 5070) IT Part1Part2Part3 CC Part2 ISO/IEC 27002JIS Q 27002 NIST Special Publication 800-53 Recommended Security Controls for Federal Information Systems Low/Moderate/High (2) (3) 468

A3112 (4) ST ST Security Target Security Target ST ST 5.2 - (1) (2) 469

A3112 5.3 - (1) (2) 470

A3112 OS (3) 5.4 (1) 471

A3112 IPA http://www.ipa.go.jp/security/awareness/vendor/programming/ 5.5 (1) (a) (b) (c) (d) 472

A3112 (e) (f) (2) (3) 6. 473

A3112 6.1 (1) (2) (3) 474

A3112 (4) 6.2 (1) [] 475

A3112 [] (2) 476

A3112 6.3 (1) (2) Brute force (3) 477

A3112 (4) (5) (6) SQL OS (7) Web 478

A3112 (8) (9) IPA http://www.ipa.go.jp/security/vuln/report/press.html 6.4 (1) 479

A3112 IPA http://www.ipa.go.jp/security/vuln/20050304_ec_security.html IPA Web http://www.ipa.go.jp/security/awareness/administrator/secure-web/ Web MicrosoftWeb http://www.microsoft.com/japan/msdn/security/guidance/secmod71.mspx ASP.NET Web (2) 480

A3112 7. 7.1 (1) FAQ 481

A3112 7.2 (1) 482

A3112 (2) 483

A3113 A3113 1. 2. (1) (2) (3) (4) (5) 485

A3113 (6) 3. 3 (2) (5) (JIPDEC) ISMS 4. ISMS (JASA) URL http://www.nisc.go.jp/active/general/pdf/dm6-06-061_manual.pdf 1 ISMS 2006 5 486

A3113 2 2006 5 3 2006 5 NISC 487

A3114 A3114 NISC URL DM6-07 http://www.nisc.go.jp/active/general/pdf/dm6-07-061_manual.pdf 2006 3 NISC 2005 12 489

A3115 ST ST A3115 ST ST NISC 2005 12 STSecurity Target ST ST A2501 4.3.1(1)(d)6.1.3(3)(e)NISC ST ST URL DM6-08 ST ST http://www.nisc.go.jp/active/general/pdf/dm6-08-061_manual.pdf 2006 3 NISC ST ST 491

A3200 A3200 A3201 PC A3202 A3203 A3204 A3205 A3211 A3212 A3201A3204 A2201 A2201 A3211 A3212 493

A3201 A3201 A2201 1. Windows AdministratorUNIX root 1.1 (a) (b) (c) (d) USB 1.2 495

A3201 (a) (b) (c) 1.3 (a) (b) (c) 1.2 1.4 (a) (b) (c). (d) 496

A3201 1.5 (a) PC (b) (a) 1.6 CD-ROM USB (a) (b) (c) CD-ROM OS 497

A3201 1.7 PC (a) (b) (c) (d) (b)pc PC (c) (d) 1.8 (a) OS (b) (c) PC 1.9 Web 498

A3201 (a) (b) PC 2. PC Windows AdministratorUNIX root PC PC PC PC PC 2.1 (a) OS (b) OS 2.2 499

A3201 1.4 (a) (b) (c) P2P (d) 1.4 (a)(b) (c) 2.3. (a) (b) (c) (d) (e) 500

A3201 (f) CDDVD BIOS BIOS (g) PC (f) (g)1.6 (c)pc 2.4 (a) VPN (b) (c) (d) root (e) 1.9 VPN (c) POP/IMAP SSL/TLS 2.5 501

A3202 A3202 1. 2. 3. 3.1 (1) HTML HTML (2) (3)HTML 3.2 503

A3202 (1) HTML HTML 4. 4.1 (1) 4.2 (1) (2) (3) 4.3 (1) (2) (3) (4) 504

A3202 PC ISP IMAP POP VPN PC 4.4 (1) 4.5 ID (1) ID (ID) (2) ID (3) ID (4) (5) ID ID 505

A3202 4.6 ID (1) (Web )ID 5. 5.1 PC (1) PC (2) PCPC (3) PC 5.2 (1) (2) A3205 (3) PC (4) PC PC PC PC 506

A3202 6. 6.1 (1) 6.2 (1) (2) (3) (4) 6.3 (1) (2) 6.4 (1) (2) 6.5 (1) PC PC LANUSB 507

A3202 LANLANPC LAN 6.6 (1) (2) (3) 7. 7.1 ToCc Bcc (1) ToCcBcc (2) Bcc ToCc 7.2 (1) Mbyte MByte (2) Mbyte 7.3 (1) HTML 508

A3202 HTML 7.4 (1) 3 2 () (VPN) (S/MIME) () (2) (3) (4) (5) (6) (7) 509

A3202 7.5 (1) (2) (3) (4) (5) (6) 3035 (7) ToCc To 8. 8.1 (1) To (2) 8.2 (1) (S/MIME) () 510

A3202 S/MIMEOutlook Express Outlook Express [] [S/MIME] (2) (3) 8.3 (1) Word Word [][] [][ ][] [][][] (2) 8.4 (1) 8.5 (1) (S/MIME) Outlook Express 511

A3202 Outlook Express [] [S/MIME] (2) 8.6 (1) 8.7 (1) 8.8 (1) 9. 9.1 (1) Mbytes (2) PC 9.2 PC (1) 512

A3202 (2) (3) PC (4) 10. (1) (2) 513

A3203 A3203 1. PC PC 2. 2.1 3. 3.1 (1) (2) IP 3.2 (1) 515

A3203 (2) (3) 3.3 (1) (2) 3.4 (1) (2) (3) 3.5 (1) 516

A3203 4. 4.1 (1) URI DoS IP HTML phishing phishing URI ID 517

A3203 3 4.2 SSL/TLS (1) SSL/TLS SSL/TLS 3 Microsoft Corporation Windows Internet Explorer Microsoft Corporation 518

A3203 SSL SSL 519

A3203 4.3 (1) ActiveX Java 4.4 (1) 5. (1) SSL/TLS (2) 6. 6.1 (1) (2) 520

A3203 (3) 6.2 (1) (2) 6.3 (1) 6.4 (1) LAN PC 7. (1) (2) URIUniversal Resource Identifier http://wwww.example.com/url Universal Resource Locator CSSXSS 521

A3203 IPA http://www.ipa.go.jp/security/awareness/vendor/programming/a01_02.html phishing phising ID HTML 522

A3204 A3204 1. 2. 3. ISP SINET SINET http://www.sinet.ad.jp/ 523

A3204 3.1 35 50 50 70 524

A3204 32 URL 525

A3204 (709 ) 13 5 25 URL: CLIC http://www.cric.or.jp/ NIME http://www.nime.ac.jp/ 3.2 3.3 230 526

A3204 3.4 3.5 3.6 3.7 527

A3204 http://www.internethotline.jp/ 4. 50 (*) (*) 528

A3204 3.1 FAQ http://www.cric.or.jp/qa/sodan/sodan7_qa.html 5. 5.1 6. 6.1 SINET SINET 529

A3204 6.2 6.2 7. 7.1. OS 7.2 CGI SSL/TLS 7.2.1 CGI 530

A3204 7.2.2 SSL/TLS 7.2 CGI SSL/TLS 7.3 public_html Basic URL 7.4 BBS BBS 7.4 531

A3204 (1)(2) (3)(4) 7.5 8. 8.1 8.1 532

A3204 http://www.telesa.or.jp/consortium/provider/index.htm URL 533

A3204 8.2 8.2 8.1 9. 534

A3205 A3205 1. 2. 2.1 2.2 AZ az 09 @!#$%&=-+*/.,:;[] ID 2.3 535

A3205 2.4 2.5 2.6 3. 3.1 3.2 536

A3211 A3211 1. 2. A1001 3. 3.1 (1) PC (2) (3) 3.2 537

A3211 (1) Java ActiveX 538

A3211 (2) (3) 539

A3211 HTML HTML HTML HTML 540

A3212 A3212 1. A2501 2. 2.1 A2501 1.2.3.1 2.2 1.2.3.1 3 541

A3212 1. (1) 542

A3212 (2) / (3) 2.3 3 (1) (2) (3) (4) 1.2.3.1 (5) 543

A3212 544

A3212 1 2 3 (1) () 1.2.3.1 (1)(a) 1.2.3.1 (2)(a) 1.2.3.1 (3)(a) 1.2.3.1 (3)(b) 1.2.3.1 (4)(a) 1.2.3.1 (4)(b) 1.2.3.1 (5)(a) 1.2.3.1 (5)(b) 6 7 8 9 10. 545

A3212 546 3. [ 1.2.3.1 (5)(b)]

A3212 3. 1.2.3.1 (1) 1.2.3.1 (1) (a) [] 3.1 (1) (2) 3.2 (1) (2) (3) 547

A3212 (4) 1.3 1.4 1.5 2 2.1 (5) 548

A3212 4. 1.2.3.1 (2) 1.2.3.1 (2) (a) [] (Step A Step G) Step A : (4.1) Step B : (4.2) Step C : (4.3) Step D : (4.4) Step E : (4.5) Step F : (4.6) Step G : (4.7) 549

A3212 B) B) A) A) Yes 1 4.1.3 (2)(g) 4 Yes 2 3.2.1 (2)(b) No 15 3 4.2.2 (2)(c) 30 Yes 4 ST 4.3.1 (1)(d) Yes 5 3.2.2 (3)(b) No : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : C) C) D) D) E) E) F) F) G) G) 4. 550

A3212 4.1 (Step A) (1) (Step A-1) (2) (Step A-2) (3) (Step A-3) (4) (Step A-4) 551

A3212 4.2 (Step B) Step B Step E Step B (1) (2) (3) (4) (5) 552

A3212 (1) (Step B-1) / 553

A3212 / ST / 554

A3212 / ST 6 3 Microsoft Windows Update 3 555

A3212 (2) (Step B-2) Yes/No (Yes) 556

A3212 ( (Yes)/(No)) 557

A3212 (Step B-1) [/][ ] 5 558

A3212 5. (3) (Step B-3) 6 3 559

A3212 6. 7. 8. 560

A3212 (4) (Step B-4) PC (5) (StepB-5) Step B-2 // (I) (II)(Yes) (No) Yes No No (NA) 561

A3212 (III) Access Control List No Yes Yes No (6) (Step B-6) (Step B) 9 562

A3212 1 2 3 4 5 : : ST : : 2.1.1.3 (2)(g) 1.3.1.1 (2)(a) 1.5.2.7 (1)(a) 1.5.1.1 (1)(d) 1.3.1.2 (5)(b) : : 4 15 30 : : : : : : : : : : : : : : : : : : : : : : Yes Yes No Yes Yes No : : Step A-3 StepA-4 Step B-1 Step B-2 Step B-3 Step B-4 Step B-5 Step B-6 : : 9. (Step B) 563

A3212 4.3 (Step C) (1) 10 10. 564

A3212 (2) 11 11 565

A3212 (3) 12 12. 4.4 (Step D) 10 13 566

A3212 13. 567

Yes 1 4.1.3 (2)(g) 4 Yes 2 3.2.1 (2)(b) No 15 3 4.2.2 (2)(c) 30 Yes 4 ST 4.3.1 (1)(d) Yes 5 3.2.2 (3)(b) No : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : A3212 4.5 (Step E) Step B (1) (Step E-1) 14 14. (2) (Step E-2) 15 568

A3212 15. 569

A3212 570 4.6 (Step F) (1) (Step F-1) 16 A A A 16.

A3212 4.7 (Step G) Web 571

A3212 5. 1.2.3.1 (3) 5.1 1.2.3.1 (3) (a) (1) Web 572

A3212 (2) Web 573

A3212 5.2 1.2.3.1 (3) (b) 5.3 574

A3212 6. 1.2.3.1 (4) 6.1 1.2.3.1 (4) (a) (1) / / (2) 575

A3212 (3) 6.2 1.2.3.1 (4) (b) (1) / / 576

A3212 7. 1.2.3.1 (5) 1.2.3.1 (5) 1.2.3.1 (5)(a) 1.2.3.1 (5)(b) 7.1 1.2.3.1 (5) (a) (1) 577

A3212 1.2.1.3 (2) (b) (2) (3) 7.2 1.2.3.1 (5) (b) (1) (2) 578

A3212 579

A3212 (1) (2) [] (3) (4) 580

A3212 [] [ ] [] [] 1. 2. 2.1 (1) [1] (2) [2] 2.2 (1) [10 31 ] (2) 2.3 (1) (2) 581

A3212 3. 582

A3212 [] [] [] [] [ ] [] 1. 2. 2.1 [] [] 3. 3.1 [] 3.2 583

A3212 4. HomePage URL [ http://.example.ac.jp/security/self-check/index.html ] 5. No [-11] [] [] [ ] [-12] [] [] [] [] [-13] [] [] [] [] [-14] [] [] [ ] [-15] [] [] [] [] 6. (1) (2) 7. No [-12] [] [] [ ] [-13] [] [] [ ] 584

A3212 [-15] [] [] [ ] 8. No [-12] [] [] [2011 4 30 ] [-13] [] [] [2011 5 30 ] [-15] [] [] [] 9. 9.1 (1) 585

A3212 (2) 9.2 10. [] HomePage URL [ http://.example.ac.jp/security/self-check/index.html ] 586

A3212 [] [] [] [] [ ] [] 1. 2. 2.1 [] [] 3. 3.1 [] 3.2 587

A3212 4. 4.1 HomePage URL [ http://.example.ac.jp/security/self-check/index.html ] 5. HomePage URL [ http://.example.ac.jp/security/self-check/index.html ] 6. No [-11] [] [] [ ] [-12] [] [] [] [] [-13] [] [] [] [] [-14] [] [] [ ] [-15] [] [] [] [] 7. (1) (2) 588

A3212 (3) (4) 8. No [-12] [] [] [] [-13] [] [] [] [-15] [] [] [] 9. No [-12] [] [] [2006 4 30 ] [-13] [] [] [2006 5 30 ] [-15] [] [] [] 10. 10.1 589

A3212 (1) 11. [] HomePage URL [ http://.example.ac.jp/security/self-check/index.html ] 590

A3300 A3300 (A3301A3303. A A2301 A (1) PC 1 (2) A 591

A3300 PC PC PC PC (3) CIO/ CIO 3. CIO/ 592

A3301 A3301 A2301 60 90 4 1. 1.1 1.2 OS 1.3 (1) 4 : ( ) 593

A3301 (2) (3) (4) A2201 2 2. 2.1 (1) 594

A3301 (2) (a) () (b) (3) ID ID (4) 5 (a) 5 595

A3301 6 7 (b) (5) () () (a) (b) (c) (d) (e) (f) (6) 6 7 (A2201) P2P 596

A3301 8 A3204 (7) (1)(6) 2.2 (1) (2) (3) 8 597

A3301 (4) 3. 3.1 (1) (2) (3) () () : 9 9 598

A3301 (4) () 10 3.2 11 10 11 A3202 599

A3301 CcBcc Cc (Carbon Copy) Bcc (Blind Carbon Copy) Cc (To) Cc Bcc HTML HTML (chain mail) 12 12 600

A3301 PC PC (i) @ --atmark-- (ii) 3.3 SNS (Social Networking Service) 13 SNSmixi 3.4 13 601

A3301 4. 4.1 IP URLHTTP (1) IP PC PC IP 32 2 8 10 14 192.168.0.1 0255 4 11000000101010000000000000000001 11000000.10101000.00000000.00000001 192.68.0.1 IP IP IP IP 14 IPv4 602

A3301 (2) IP 1 IP DNS Domain Name System www.kantei.go.jp IP (3) URL HTTP URLUniform Resource Locator http://www.kantei.go.jp/jp/link.html URL http:// IP jp link.html HTTPHyper Text Transfer Protocol URL IP HTTP 12 15 15 http://www.eff.org/privacy/eff_privacy_top_12_jp.html 603

A3301 4.2 Spyware malware PC Microsoft Office Cookie 16 IPA 7 17 3 ( ) avast! 18 Google Pack 19 AVG Anti-virus Free Edition 20 16 (malware, malicious software) 17 http://www.ipa.go.jp/security/antivirus/7kajonew.html 18 http://www.avast.com/jpn/download-avast-home.html 19 http://pack.google.com/intl/ja/pack_installer.html Norton Security Scan Spyware Doctor 20 http://free.grisoft.com/ 604

A3301 4.3 phishing fishing ID 1 ID ID 1. 2. HTML 3. URL 21 4.4 Winny Winny Winny Winny P2P Winny 21 http://www.rcis.aist.go.jp/special/websafety2007/ 605

A3301 Winny AntinnyWinny Winny 22 Winny Winny Winny Winny P2P 4.5 1 Wiki mixi 22 http://jvn.jp/jp/jvn%2374294680/index.html http://www.ipa.go.jp/security/vuln/documents/2006/jvn_74294680_winny.html 606

A3302 A3302 1.1 PC 607

A3302 IC 1.2 608

A3302 1.3 DOS P2P 1.4 () () 609

A3302 1. 2. (Plan)(Do) (Check) PDC 3. PDC PDC () a. : b. : c. : d. : () 610

A3302 ID () () 611

A3302 SINET VPN FW1 NAT DoS Dos FW2 ( DMZ FW NW SINET SINET IP (NAT) - - - LAN - - - 612

A3302 2.1 1) LAN: 2) : 1 LAN 3) : 2.2 (P2P ) IP Reverse Path Filtering (RPF) Network Address TranslationNAT NAT 2.3 DMZDemilitarized Zone: DMZ DMZ 613

A3302 2.4 VPN Virtual Private Network VPN VPN VPN VPN 614

A3302 3.1 IP IP IP IP - IPv4 / IPv6 - / / - Classless Inter-Domain Routing (CIDR) / Variable Length Subnet Masks (VLSM) - well known port 3.2 - (ACL) - IP - Reverse Path Filtering (RPF) - ICMP - - IP - / - 615

A3302 3.3 NAT NAT NAT NAT IP IP IP IP IP P2P NAT NAT NAT - Network Address Translation (NAT) - Network Address Port Translation (NAPT) / IP - NAT - - Universal Plug and Play (UPnP) - TCP connection reversal - UDP hole punching 3.4 MACMedia Access Control MAC MAC - MAC - MAC 3.5 LAN LAN LAN - LAN - - ESS-ID - WEP / WPA / IEEE802.1x / IEEE802.1i - RADIUS 616

A3302 ID ID ID 4.1 ID: Identifier ID ID ID ID ID ID ID 617

A3302 ID ID ID ID ID 4.2 ID ID ID ID ID ID ID ID ID ID ID ID ID 2 PKI: Public Key Infrastructure VPN ID PKI PKI UPKIUPKI 618

A3302 4.3 ID SSO ID SSO SSO SSO SSO ID ID SSO IDID SSO ID SSO SSO ID LDAPLightweight Directory Access Protocol 619

A3302 620 4.4 IP OS CA RA Web IC ID S/MIME CA RA Web IC ID S/MIME

A3302 PC WEB 621

A3302 4.5 IP IP 622

A3302 4.6 IC IC IC IC IC IC PKI 623

A3302 OS OS WEB DNS OS UNIX Linux Windows (http://www.nisc.go.jp/law/index.html) IT (A3204 ) 624

A3303 CIO/ A3303 CIO/ CIO. 2. 2.1 625

A3303 CIO/ 2.2 A2101 A3103 3. 3.1 TCO 3.2 626

A3303 CIO/ PC 4. 4.1 4.2 4.3 4.4 627

A3303 CIO/ 4.5 628

A3401 A3401 1. 2. 3. 629

A3401 630

A3401 1 4. 631

A3401 5. 632

A3401 6. 633

A3401 7. 634

A3401 635

A3401 8. 636

A3401 637

A3401 9. 638

A3401 A3401 A3401 3. 4. 639

A3401 640

A3401 5. 641

A3401 41 (2) (1) (2) (1) (2) 44302 515302 642

A3401 643

A3401 6. 644

A3401 645

A3401 646

A3401 7. 647

A3401 648

A3401 (1) (2) (3) (1) (2) 649

A3401 8. 650

A3401 1. 2. 3. 4. 5. (1) (2) (3) (1) (2) 651

A3401 1. 2. 3. 4. 5. (1) (2) (1) (2) 652

A3500 A3500 1. A2501 A3501 A2501 2005 12 () A3501 2007 6 2007 7 A3501 2. A3501 A3501 A1001 A2501 2007 7 DM ( DM2 ) A2501 DM5-01 PC PC A2501 653

A3500 DM2-01 DM2-02 DM2-03 DM2-04 DM2-05 DM2-06 DM2-07 DM3-01 DM3-02 DM4-01 DM4-02 DM5-01 DM5-02 DM5-03 DM5-04 DM5-05 DM5-06 DM6-01 DM6-02 DM6-03 DM6-04 DM6-05 DM6-06 DM6-07 DM6-08 1 PC ST ST 654

A3500 A3501 A2501 A3501 2.1. A2501 2 2 2 A2501 A2501 2.2. A2501 2.3. A2501 A1001 655

A3500 A3100 A2501 2.4. A2501 656

A3502 A3502 1. A2501 2. 1.2.1.2 657

A3502 責任等の役割から見た遵守事項管理番号基本または強化遵守事項第 1 編基本編第 1.2 部組織と体制の整備 1.2.1 導入 1.2.1.1 組織体制の整備 (1) 全学総括責任の設置 1.2.1.1(1)(a) 基本全学総括責任を1 人置くこと学長 (A1001-04) 1.2.1.1(1)(b) 基本全学総括責任は本学における情報セキュリティ対策に関する事務を全学総括責任統括すること (2) 全学情報システム運用委員会の設置 1.2.1.1(2)(a) 基本全学総括責任は全学情報システム運用委員会を設置し委員長及び委員を置くこと全学総括責任全学情報システム運用委員会は情報セキュリティに関する対策基準を 1.2.1.1(2)(b) 基本策定し全学総括責任の承認を得ることただしあらかじめ全学総括全学情報システム運用委員責任が認めた場合は一部の技術的な事項について指定したに会委任することができる (3) 情報セキュリティ監査責任の設置 1.2.1.1(3)(a) 基本全学総括責任は情報セキュリティ監査責任を1 人置くこと全学総括責任 1.2.1.1(3)(b) 基本情報セキュリティ監査責任は全学総括責任の指示に基づき監査情報セキュリティ監査責任に関する事務を統括すること実施 (4) 全学実施責任の設置 1.2.1.1(4)(a) 基本全学総括責任は全学実施責任を置くこと全学総括責任 1.2.1.1(4)(b) 基本全学実施責任は部局総括責任が実施する事務を統括すること全学実施責任 1.2.1.1(4)(c) 基本全学実施責任は情報セキュリティ対策における雇用の開始終了及び人事異動等に関する管理の規定を策定し全学総括責任の承認を全学実施責任得ること (5) 部局総括責任の設置 1.2.1.1(5)(a) 基本全学総括責任は情報セキュリティ対策の運用に係る管理を行う単位を定めその単位ごとに部局総括責任を置くこと管理を行う単位を全全学総括責任学情報システム運用委員会の各情報システム運用委員会とし部局総括責任は部局情報システム運用委員会の各総括責任とすること全学総括責任全学実施責任部局総括責任部局技術責任部局技術担当職場情報セキュリティ事務責従任事 1.2.1.1(5)(b) 基本部局総括責任は所管する単位における情報セキュリティ対策に関す部局総括責任る事務を統括すること部局総括責任は情報セキュリティ対策における雇用の開始終了及 1.2.1.1(5)(c) 基本び人事異動等に関する管理の規定に従った運用がなされていることを部局総括責任定期的に確認すること 1.2.1.1(5)(d) 基本全学総括責任は部局総括責任を置いた時及び変更した時は全学実施責任にその旨を連絡すること全学総括責任 1.2.1.1(5)(e) 基本全学実施責任はすべての部局総括責任に対する連絡網を整備す全学実施責任ること (6) 部局技術責任の設置 1.2.1.1(6)(a) 基本部局総括責任は所管する単位における情報システムごとに部局技術責任を当該情報システムの計画段階までに置くこと部局総括責任 1.2.1.1(6)(b) 基本部局技術責任は所管する情報システムに対する情報セキュリティ対部局技術責任策に関する事務を統括すること 1.2.1.1(6)(c) 基本部局総括責任は部局技術責任を置いた時及び変更した時は全学実施責任にその旨を報告すること部局総括責任 1.2.1.1(6)(d) 基本全学実施責任はすべての部局技術責任に対する連絡網を整備す全学実施責任ること (7) 部局技術担当の設置 1.2.1.1(7)(a) 基本部局技術責任は所管する情報システムの管理業務において必要な部局技術責任単位ごとに部局技術担当を置くこと 1.2.1.1(7)(b) 基本部局技術担当は所管する管理業務における情報セキュリティ対策を部局技術担当実施すること 1.2.1.1(7)(c) 基本部局技術責任は部局技術担当を置いた時及び変更した時は全学実施責任にその旨を報告すること部局技術責任 1.2.1.1(7)(d) 基本全学実施責任はすべての部局技術担当に対する連絡網を整備す全学実施責任ること (8) 職場情報セキュリティ責任の設置 1.2.1.1(8)(a) 基本部局総括責任は各職場に職場情報セキュリティ責任を1 人置くこと部局総括責任 1.2.1.1(8)(b) 基本職場情報セキュリティ責任は職場における情報セキュリティ対策に関する事務を統括すること職場情報セキュリティ責任 1.2.1.1(8)(c) 基本部局総括責任は職場情報セキュリティ責任を置いた時及び変更し部局総括責任た時は全学実施責任にその旨を報告すること 1.2.1.1(8)(d) 基本全学実施責任はすべての職場情報セキュリティ責任に対する連絡網を整備すること全学実施責任 (9) 情報セキュリティアドバイザーの設置 1.2.1.1(9)(a) 基本全学総括責任は情報セキュリティに関する専門的な知識及び経験を全学総括責任有した専門家を情報セキュリティアドバイザーとして置くこと 1.2.1.1(9)(b) 基本全学総括責任は情報セキュリティ対策等の実施において情報セキュ全学総括責任リティアドバイザーが行う業務の内容について定めること 1.2.1.2 役割の割当て (1) 兼務を禁止する役割の規定 1.2.1.2(1)(a) 基本事務従事は情報セキュリティ対策の運用において以下の役割を兼事務従事務しないこと (2) 上司による承認許可全学情報システム運用委員会情報セキュ情報セキュリティリ監ティ査を監実査施責す任る権限管理を行う許可権限管理権限を持つ識別コードを付与された情報セキュリティ関係規程を整備した監視要員等 658

A3502 責任等の役割から見た遵守事項管理番号 1.2.1.2(2)(a) 基本または強化基本 1.2.1.2(2)(b) 基本 1.2.1.3 違反と例外措置 (1) 違反への対処 1.2.1.3(1)(a) 1.2.1.3(1)(b) 1.2.1.3(1)(c) 基本基本基本遵守事項事務従事は承認権限等が有する職務上の権限等から当該承認権限等が承認又は許可 ( 以下承認等という )の可否の判断を行うことが不適切と認められる場合には当該承認権限等の上司に承認等の申請をすることこの場合において当該承認権限等の上司の承認等を得たときは当該承認権限等の承認等を得ることを要しない事務従事は前事項の場合において承認等を与えたときは承認権限等に係る遵守事項に準じて措置を講ずること事務従事は情報セキュリティ関係規程への重大な違反を知った場合には各規定の実施に責任を持つ部局総括責任にその旨を報告すること部局総括責任は情報セキュリティ関係規程への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合には違反及び必要なに情報セキュリティの維持に必要な措置を講じさせること部局総括責任は情報セキュリティ関係規程への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合には全学総括責任にその旨を報告すること事務従事事務従事事務従事実施部局総括責任部局総括責任 (2) 例外措置 1.2.1.3(2)(a) 基本全学情報システム運用委員会は例外措置の適用の申請を審査する全学情報システム運用委員 ( 以下本項において許可権限という )を定め審査手続を整備す会ること事務従事は例外措置の適用を希望する場合には定められた審査手続に従い許可権限に例外措置の適用を申請することただし大 1.2.1.3(2)(b) 基本学事務の遂行に緊急を要する等の場合であって情報セキュリティ関係事務従事規程の規定とは異なる代替の方法を直ちに採用すること又は規定を実施しないことが不可避のときは事後速やかに申請し許可を得ること事務従事は申請の際に以下の事項を含む項目を明確にすること 1.2.1.3(2)(b)(ア) 申請の情報 ( 氏名所属連絡先 ) 1.2.1.3(2)(b)(イ) 例外措置の適用を申請する情報セキュリティ関係規程の適用箇所 ( 規程名と条項等 ) 1.2.1.3(2)(b)(ウ) 例外措置の適用を申請する期間 1.2.1.3(2)(b)(エ) 例外措置の適用を申請する措置内容 ( 講ずる代替手段等 ) 1.2.1.3(2)(b)(オ) 例外措置の適用を終了したときの報告方法 1.2.1.3(2)(b)(カ) 例外措置の適用を申請する理由許可権限は事務従事による例外措置の適用の申請を定められ 1.2.1.3(2)(c) 基本た審査手続に従って審査し許可の可否を決定することまた決定の際に以下の項目を含む例外措置の適用審査記録を作成し全学総括許可権限責任に報告すること 1.2.1.3(2)(c)(ア) 決定を審査したの情報 ( 氏名役割名所属連絡先 ) 申請内容申請の情報 ( 氏名所属連絡先 ) 例外措置の適用を申請する情報セキュリティ関係規程の該当箇所 ( 規 1.2.1.3(2)(c)(イ) 程名と条項等 ) 例外措置の適用を申請する期間例外措置の適用を申請する措置内容 ( 講ずる代替手段等 ) 例外措置の適用を終了した旨の報告方法例外措置の適用を申請する理由審査結果の内容許可又は不許可の別許可又は不許可の理由 1.2.1.3(2)(c)(ウ) 例外措置の適用を許可した情報セキュリティ関係規程の適用箇所 ( 規程名と条項等 ) 例外措置の適用を許可した期間許可した措置内容 ( 講ずるべき代替手段等 ) 例外措置を終了した旨の報告方法事務従事は例外措置の適用について許可を受け例外措置を適用 1.2.1.3(2)(d) 基本した場合にはそれを終了したときに当該例外措置の許可権限にそ事務従事の旨を報告することただし許可権限が報告を要しないとした場合はこの限りでない許可権限は例外措置の適用を許可した期間の終了期日に許可を 1.2.1.3(2)(e) 基本受けたからの報告の有無を確認し報告がない場合には許可を受けたに状況を報告させ必要な措置を講ずることただし許可権限許可権限が報告を要しないとした場合はこの限りでない全学総括責任は例外措置の適用審査記録の台帳を整備し例外措 1.2.1.3(2)(f) 基本置の適用審査記録の参照について情報セキュリティ監査責任から全学総括責任の求めに応ずること 1.2.2 運用 1.2.2.1 情報セキュリティ対策の教育 (1) 情報セキュリティ対策の教育の実施 1.2.2.1(1)(a) 1.2.2.1(1)(b) 1.2.2.1(1)(c) 1.2.2.1(1)(d) 1.2.2.1(1)(e) 全学実施責任は情報セキュリティ関係規程について事務従事に基本全学実施責任対しその啓発をすること全学実施責任は情報セキュリティ関係規程について事務従事に基本全学実施責任教育すべき内容を検討し教育のための資料を整備すること全学実施責任は事務従事が毎年度最低 1 回受講できるように基本情報セキュリティ対策の教育に係る計画を企画立案するとともにその全学実施責任実施体制を整備すること基本基本全学実施責任は事務従事の着任時異動時に新しい職場等で3 か月以内に受講できるように情報セキュリティ対策の教育を企画立案するとともにその実施体制を整備すること全学実施責任は事務従事の情報セキュリティ対策の教育の受講状況を管理できる仕組みを整備すること全学実施責任全学実施責任全学総括責任全学実施責任部局総括責任部局技術責任部局技術担当職場情報セキュリティ事務責従任事全学情報システム運用委員会情報セキュ情報セキュリティリ監ティ査を監実査施責す任る権限管理を行う許可権限管理権限を持つ識別コードを付与された情報セキュリティ関係規程を整備した監視要員等 659

A3502 責任等の役割から見た遵守事項管理番号基本または強化遵守事項 1.2.2.1(1)(f) 基本全学実施責任は事務従事の情報セキュリティ対策の教育の受講状況について職場情報セキュリティ責任に通知すること全学実施責任 1.2.2.1(1)(g) 基本職場情報セキュリティ責任は事務従事の情報セキュリティ対策の教育の受講が達成されていない場合には未受講のに対してその受講を勧告すること事務従事が当該勧告に従わない場合には全学実施責任にその旨を報告すること職場情報セキュリティ責任全学実施責任は毎年度 1 回全学総括責任及び全学情報システ 1.2.2.1(1)(h) 基本ム運用委員会に対して事務従事の情報セキュリティ対策の教育の全学実施責任受講状況について報告すること特に重要な情報とこれを取り扱う情報システムにおいて必要に応じ全 1.2.2.1(1)(i) 強化学実施責任は情報セキュリティ関係規程について事務従事に対全学実施責任する情報セキュリティ対策の訓練の内容及び体制を整備すること (2) 情報セキュリティ対策の教育の受講 1.2.2.1(2)(a) 基本事務従事は毎年度最低 1 回情報セキュリティ対策の教育に関する計画に従って情報セキュリティ対策の教育を受講すること事務従事事務従事は着任時異動時に新しい職場等で情報セキュリティ対 1.2.2.1(2)(b) 基本策の教育の受講方法について職場情報セキュリティ責任に確認する事務従事こと事務従事は情報セキュリティ対策の教育を受講できずその理由が 1.2.2.1(2)(c) 基本本人の責任ではないと思われる場合にはその理由について職場情事務従事報セキュリティ責任を通じて全学実施責任に報告すること特に重要な情報とこれを取り扱う情報システムにおいて必要に応じ事 1.2.2.1(2)(d) 強化務従事は情報セキュリティ対策の訓練に関する規定が定められてい事務従事る場合には当該規定に従って情報セキュリティ対策の訓練に参加すること 1.2.2.2 障害事故等の対処 (1) 障害事故等の発生に備えた事前準備全学総括責任は情報セキュリティに関する障害事故等 (インシデン 1.2.2.2(1)(a) 基本ト及び故障を含む以下障害事故等という )が発生した場合被害の拡大を防ぐとともに障害事故等から復旧するための体制を整備す全学総括責任ること全学実施責任は障害事故等について事務従事から部局総括責 1.2.2.2(1)(b) 基本任への報告手順を整備し当該報告手段をすべての事務従事に周全学実施責任知すること 1.2.2.2(1)(c) 基本全学実施責任は障害事故等が発生した際の対処手順を整備すること全学実施責任全学実施責任は障害事故等に備え大学事務の遂行のため特に 1.2.2.2(1)(d) 基本重要と認めた情報システムについてその部局技術責任及び部局技全学実施責任術担当の緊急連絡先連絡手段連絡内容を含む緊急連絡網を整備すること特に重要な情報とこれを取り扱う情報システムにおいて必要に応じ全 1.2.2.2(1)(e) 強化学実施責任は障害事故等について学外から報告を受けるための全学実施責任窓口を設置しその窓口への連絡手段を学外に公表すること (2) 障害事故等の発生時における報告と応急措置事務従事は障害事故等の発生を知った場合にはそれに関係する 1.2.2.2(2)(a) 基本に連絡するとともに全学実施責任が定めた報告手順により部局事務従事総括責任にその旨を報告すること 1.2.2.2(2)(b) 基本事務従事は障害事故等が発生した際の対処手順の有無を確認し事務従事それを実施できる場合にはその手順に従うこと事務従事は障害事故等が発生した場合であって当該障害事故 1.2.2.2(2)(c) 基本等について対処手順がないとき及びその有無を確認できないときはそ事務従事の対処についての指示を受けるまで障害事故等による被害の拡大防止に努めること指示があった場合にはその指示に従うこと (3) 障害事故等の原因調査と再発防止策部局総括責任は障害事故等が発生した場合には障害事故等の 1.2.2.2(3)(a) 基本原因を調査し再発防止策を策定しその結果を報告書として全学総括責部局総括責任任に報告すること全学総括責任は部局総括責任から障害事故等についての報告 1.2.2.2(3)(b) 基本を受けた場合にはその内容を検討し再発防止策を実施するために必全学総括責任要な措置を講ずること 1.2.3 評価 1.2.3.1 情報セキュリティ対策の自己点検 (1) 自己点検に関する年度計画の策定実施 1.2.3.1(1)(a) 基本全学実施責任は年度自己点検計画を策定し全学総括責任の承全学実施責任認を得ること (2) 自己点検の実施に関する準備 1.2.3.1(2)(a) 基本部局総括責任は事務従事ごとの自己点検票及び自己点検の実施手順を整備すること部局総括責任 (3) 自己点検の実施 1.2.3.1(3)(a) 基本部局総括責任は全学実施責任が定める年度自己点検計画に基づき事務従事に対して自己点検の実施を指示すること部局総括責任 1.2.3.1(3)(b) 基本事務従事は部局総括責任から指示された自己点検票及び自己点事務従事検の実施手順を用いて自己点検を実施すること (4) 自己点検結果の評価 1.2.3.1(4)(a) 基本部局総括責任は事務従事による自己点検が行われていることを確認しその結果を評価すること部局総括責任 1.2.3.1(4)(b) 基本全学実施責任は部局総括責任による自己点検が行われているこ全学実施責任とを確認しその結果を評価すること 1.2.3.1(4)(c) 基本全学実施責任は自己点検の結果を全学総括責任へ報告すること全学実施責任 (5) 自己点検に基づく改善全学総括責任全学実施責任部局総括責任部局技術責任部局技術担当職場情報セキュリティ事務責従任事全学情報システム運用委員会情報セキュ情報セキュリティリ監ティ査を監実査施責す任る権限管理を行う許可権限管理権限を持つ識別コードを付与された情報セキュリティ関係規程を整備した監視要員等 660

A3502 責任等の役割から見た遵守事項管理番号基本または強化遵守事項実施 1.2.3.1(5)(a) 基本事務従事は自らが実施した自己点検の結果に基づき自己の権限の範囲で改善できると判断したことは改善し部局総括責任にその旨事務従事を報告すること 1.2.3.1(5)(b) 基本全学総括責任は自己点検の結果を全体として評価し必要があると全学総括責任判断した場合には部局総括責任に改善を指示すること 1.2.3.2 情報セキュリティ対策の監査 (1) 監査計画の策定 1.2.3.2(1)(a) 基本情報セキュリティ監査責任は年度監査計画を策定し全学総括責任情報セキュリティ監査責任の承認を得ること (2) 監査の実施に関する指示 1.2.3.2(2)(a) 基本全学総括責任は年度監査計画に従って情報セキュリティ監査責任全学総括責任に対して監査の実施を指示すること全学総括責任は情報セキュリティの状況の変化に応じて必要と判断 1.2.3.2(2)(b) 基本した場合情報セキュリティ監査責任に対して年度監査計画で計画全学総括責任されたこと以外の監査の実施を指示すること (3) 個別の監査業務における監査実施計画の策定情報セキュリティ監査責任は年度監査計画及び情報セキュリティの 1.2.3.2(3)(a) 基本状況の変化に応じた監査の実施指示に基づき個別の監査業務ごとの情報セキュリティ監査責任監査実施計画を策定すること (4) 監査の実施に係る準備 1.2.3.2(4)(a) 基本情報セキュリティ監査責任は監査業務の実施において必要となるを被監査部門から独立したから選定し情報セキュリティ監査実施に指名すること情報セキュリティ監査責任 1.2.3.2(4)(b) 基本情報セキュリティ監査責任は必要に応じて教職員等以外のに監情報セキュリティ監査責任査の一部を請け負わせること (5) 監査の実施 1.2.3.2(5)(a) 基本情報セキュリティ監査実施は情報セキュリティ監査責任の指示に基づき監査実施計画に従って監査を実施すること情報セキュリティ監査実施 1.2.3.2(5)(b) 基本情報セキュリティ監査実施は実施手順が本基準に準拠していることを確認すること情報セキュリティ監査実施情報セキュリティ監査実施は自己点検の適正性の確認を行う等によ 1.2.3.2(5)(c) 基本り被監査部門における実際の運用が情報セキュリティ関係規程に準拠情報セキュリティ監査実施していることを確認すること 1.2.3.2(5)(d) 基本情報セキュリティ監査実施は監査調書を作成すること情報セキュリティ監査実施 1.2.3.2(5)(e) 基本情報セキュリティ監査責任は監査調書に基づき監査報告書を作成し全学総括責任へ提出すること情報セキュリティ監査責任 (6) 監査結果に対する対処全学総括責任は監査報告書の内容を踏まえ被監査部門の部局総 1.2.3.2(6)(a) 基本括責任に対して指摘されたことに対する対処の実施を指示するこ全学総括責任と全学総括責任は監査報告書の内容を踏まえ監査を受けた部門以外の部門においても同種の課題及び問題点がある可能性が高くかつ 1.2.3.2(6)(b) 基本緊急に同種の課題及び問題点があることを確認する必要があると判断全学総括責任した場合には他の部門の部局総括責任に対しても同種の課題及び問題点の有無を確認するように指示すること 1.2.3.2(6)(c) 基本部局総括責任は監査報告書等に基づいて全学総括責任から改部局総括責任 1.2.3.2(6)(d) 基本 1.2.4 見直し 1.2.4.1 情報セキュリティ対策の見直し (1) 情報セキュリティ対策の見直し 1.2.4.1(1)(a) 1.2.4.1(1)(b) 1.2.4.1(1)(c) 1.2.5 その他 1.2.5.1 外部委託基本基本基本善を指示されたことについて対処計画を策定し報告すること全学総括責任は監査の結果を踏まえ既存の情報セキュリティ関係規程の妥当性を評価し必要に応じてその見直しを指示すること全学総括責任情報セキュリティ関係規程を整備したは各規定の見直しを行う必要情報セキュリティ関係規程を性の有無を適時検討し必要があると認めた場合にはその見直しを行う整備したこと事務従事は情報セキュリティ関係規程に課題及び問題点が認めら事務従事れる場合には情報セキュリティ関係規程を整備したに相談すること情報セキュリティ関係規程を整備したは情報セキュリティ関係規程に情報セキュリティ関係規程を課題及び問題点が認められる旨の相談を受けた場合は必要な措置を整備した講ずること (1) 情報セキュリティ確保のための学内共通の仕組みの整備 1.2.5.1(1)(a) 基本全学実施責任は外部委託の対象としてよい情報システムの範囲及び委託先によるアクセスを認める情報資産の範囲を判断する基準を整全学実施責任備すること 1.2.5.1(1)(b) 基本全学実施責任は委託先の選定基準及び選定手続を整備すること全学実施責任特に重要な情報とこれを取り扱う情報システムにおいて必要に応じ全 1.2.5.1(1)(c) 強化学実施責任は委託先の選定基準策定に当たってその厳格性向上全学実施責任のために国際規格を踏まえた委託先の情報セキュリティ水準の評価方法を整備すること (2) 委託先に実施させる情報セキュリティ対策の明確化 1.2.5.1(2)(a) 1.2.5.1(2)(b) 1.2.5.1(2)(c) (3) 委託先の選定基本基本基本部局技術責任又は職場情報セキュリティ責任は外部委託に係る部局技術責任又は職場情業務遂行に際して委託先に実施させる情報セキュリティ対策の内容を定報セキュリティ責任め委託先候補に事前に周知すること部局技術責任又は職場情報セキュリティ責任は委託先に請け負部局技術責任又は職場情わせる業務において情報セキュリティが侵害された場合の対処方法を整報セキュリティ責任備し委託先候補に事前に周知すること部局技術責任又は職場情報セキュリティ責任は委託先における情報セキュリティ対策の履行状況を確認するための方法及び情報セキュリティ対策の履行が不十分である場合の対処方法を整備し委託先候補に事前に周知すること部局技術責任又は職場情報セキュリティ責任全学総括責任全学実施責任部局総括責任部局技術責任部局技術担当職場情報セキュリティ事務責従任事全学情報システム運用委員会情報セキュ情報セキュリティリ監ティ査を監実査施責す任る権限管理を行う許可権限管理権限を持つ識別コードを付与された情報セキュリティ関係規程を整備した監視要員等 661

A3502 責任等の役割から見た遵守事項管理番号 1.2.5.1(3)(a) 1.2.5.1(3)(b) 基本または強化基本強化 (4) 外部委託に係る契約 1.2.5.1(4)(a) 1.2.5.1(4)(a)(ア) 1.2.5.1(4)(a)(イ) 1.2.5.1(4)(b) 1.2.5.1(4)(b)(ア) 1.2.5.1(4)(b)(イ) 1.2.5.1(4)(c) 1.2.5.1(4)(d) 1.2.5.1(4)(e) 基本基本基本基本基本遵守事項実施部局技術責任又は職場情報セキュリティ責任は選定基準及び選部局技術責任又は職場情定手続に基づき委託先を選定すること報セキュリティ責任特に重要な情報とこれを取り扱う情報システムにおいて必要に応じ部局技術責任又は職場情報セキュリティ責任は国際規格を踏まえ部局技術責任又は職場情た委託先の情報セキュリティ水準の評価方法に従って委託先の候補報セキュリティ責任の情報セキュリティ水準を確認し委託先の選定における評価の一要素として利用すること部局技術責任又は職場情報セキュリティ責任は外部委託を実施する際に委託先に請け負わせる業務における情報セキュリティ対策機密保持 ( 情報の目的外利用の禁止を含む ) 情報セキュリティの侵害発生時の対処方法情報セキュリティ対策の履行状況の確認方法及び情報セキュリティ対策の履行が不十分である場合の対処方法を含む外部委託に伴う契約を取り交わすことまた必要に応じて以下の事項を当該契約に含めること情報セキュリティ監査の受入れサービスレベルの保証部局技術責任又は職場情報セキュリティ責任は外部委託に係る契約双方の責任の明確化と合意の形成を行い委託先における情報セキュリティ対策の遵守方法及び管理体制に関する確認書等を提出させることまた必要に応じて以下の事項を当該確認書等に含めさせること当該委託業務に携わるの特定遵守すべき情報セキュリティ対策を実現するために当該が実施する具体的な取組内容部局技術責任又は職場情報セキュリティ責任は外部委託契約の継続に関しては選定基準及び選定手続に基づきその都度審査するものとし安易な随意契約の継続をしないこと部局技術責任又は職場情報セキュリティ責任は委託先の提供するサービス( 情報セキュリティ基本方針実施手順管理策の維持及び改善を含む )の変更に関しては選定基準及び選定手続に基づきその是非を審査すること部局技術責任又は職場情報セキュリティ責任は委託先がその請負内容の全部又は一部を第三に再請負させることを禁止することただし委託先からの申請を受け再請負させることにより生ずる脅威に対して情報セキュリティが十分に確保される措置が担保されると判断する場合はその限りでない (5) 外部委託の実施における手続 1.2.5.1(5)(a) 基本事務従事は委託先に要保護情報又は重要な設計書を提供する場合提供する情報を必要最小限とし以下の措置を講ずること事務従事 1.2.5.1(5)(a)(ア) 委託先に情報を提供する場合は安全な受渡方法によりこれを実施し提供した記録を取得すること外部委託の業務終了等により提供した情報が委託先において不要に 1.2.5.1(5)(a)(イ) なった場合にはこれを確実に返却させ又は廃棄させ若しくは抹消させること 1.2.5.1(5)(b) 1.2.5.1(5)(c) 基本基本部局技術責任又は職場情報セキュリティ責任は請け負わせた業務の実施において情報セキュリティの侵害が発生した場合に定められた対処方法に従い委託先に必要な措置を講じさせること部局技術責任又は職場情報セキュリティ責任は定められた方法に従い委託先における情報セキュリティ対策の履行状況を確認すること部局技術責任又は職場情報セキュリティ責任部局技術責任又は職場情報セキュリティ責任部局技術責任又は職場情報セキュリティ責任部局技術責任又は職場情報セキュリティ責任部局技術責任又は職場情報セキュリティ責任部局技術責任又は職場情報セキュリティ責任部局技術責任又は職場情報セキュリティ責任 (6) 外部委託終了時の手続部局技術責任又は職場情報セキュリティ責任は外部委託の終了部局技術責任又は職場情 1.2.5.1(6)(a) 基本時に委託先に請け負わせた業務において行われた情報セキュリティ対報セキュリティ責任策を確認しその結果を納品検査における確認の判断に加えること 1.2.5.2 業務継続計画との整合的運用の確保 (1) 業務継続計画と情報セキュリティ対策の整合性の確保全学情報システム運用委員会は本学において業務継続計画又は本基全学情報システム運用委員 1.2.5.2(1)(a) 基本準を整備する場合には業務継続計画と本基準との整合性の確保のた会めの検討を行うこと 1.2.5.2(1)(b) 1.2.5.2(1)(c) 1.2.5.2(1)(c)(ア) 1.2.5.2(1)(c)(イ) 基本基本全学実施責任部局総括責任部局技術責任及び職場情報セキュリティ責任は本学において業務継続計画の整備計画がある場合にはすべての情報システムについて当該業務継続計画との関係の有無を検討すること全学実施責任部局総括責任部局技術責任及び職場情報セキュリティ責任は本学において業務継続計画の整備計画がある場合には当該業務継続計画と関係があると認めた情報システムについて以下に従って業務継続計画と本基準に基づく共通の実施手順を整備すること通常時において業務継続計画と本基準の共通要素を整合的に運用するため情報セキュリティの枠内で必要な見直しを行うこと事態発生時において業務継続計画と本基準の実施に障害となる可能性のある情報セキュリティ対策の遵守事項の有無を把握し整合的運用が可能となるよう事態発生時の規定を整備すること (2) 業務継続計画と情報セキュリティ関係規程の不整合の報告 1.2.5.2(2)(a) 第 1.3 部情報についての対策 1.3.1 情報の取扱い 1.3.1.1 情報の作成と入手基本事務従事は本学において業務継続計画の整備計画がある場合であって業務継続計画と情報セキュリティ関係規程が定める要求事項との違いなどにより実施の是非の判断が困難なときは関係に連絡するとともに全学実施責任が整備した障害事故等が発生した際の報告手順により部局総括責任にその旨を報告して指示を得ること全学実施責任部局総括責任部局技術責任及び職場情報セキュリティ責任全学実施責任部局総括責任部局技術責任及び職場情報セキュリティ責任事務従事全学総括責任全学実施責任部局総括責任部局技術責任部局技術担当職場情報セキュリティ事務責従任事全学情報システム運用委員会情報セキュ情報セキュリティリ監ティ査を監実査施責す任る権限管理を行う許可権限管理権限を持つ識別コードを付与された情報セキュリティ関係規程を整備した監視要員等 662

A3502 責任等の役割から見た遵守事項管理番号基本または強化遵守事項 (1) 業務以外の情報の作成又は入手の禁止 1.3.1.1(1)(a) 基本事務従事は大学事務の遂行以外の目的で情報を作成し又は入手しないこと事務従事 (2) 情報の作成又は入手時における格付けと取扱制限の決定事務従事は情報の作成時及び学外のが作成した情報を入手した 1.3.1.1(2)(a) 基本ことに伴う管理の開始時に格付け及び取扱制限の定義に基づき格付事務従事け及び取扱制限を決定すること事務従事は元の情報の修正追加削除のいずれかにより他が 1.3.1.1(2)(b) 基本決定した情報の格付け及び取扱制限を変更する必要があると思料する事務従事場合には前項に従って再決定すること実施全学総括責任全学実施責任部局総括責任部局技術責任部局技術担当職場情報セキュリティ事務責従任事全学情報システム運用委員会情報セキュ情報セキュリティリ監ティ査を監実査施責す任る権限管理を行う許可権限管理権限を持つ識別コードを付与された情報セキュリティ関係規程を整備した監視要員等 1.3.1.1(2)(c) 事務従事は未定稿の情報を決定稿にする際には当該情報の格付けと取扱制限についてその妥当性の有無を再確認し妥当でないと思われる場合にはこれを行ったに相談することに努めること相談され事務従事たは格付けと取扱制限の見直しを行う必要があると認めた場合には当該情報に対して新たな格付けと取扱制限を決定すること (3) 格付けと取扱制限の明示等事務従事は情報の格付け及び取扱制限を決定 ( 再決定を含む以 1.3.1.1(3)(a) 基本下同じ )した際に当該情報の参照が許されているが認識できる方事務従事法を用いて明示等すること (4) 格付けと取扱制限の加工時における継承事務従事は情報を作成する際に参照した情報又は入手した情報 1.3.1.1(4)(a) 基本が既に格付け又は取扱制限の決定がなされている場合には元となる事務従事情報の機密性に係る格付け及び取扱制限を継承すること 1.3.1.2 情報の利用 (1) 業務以外の利用の禁止 1.3.1.2(1)(a) 基本事務従事は大学事務の遂行以外の目的で情報を利用しないこと事務従事 (2) 格付け及び取扱制限に従った情報の取扱い事務従事は利用する情報に明示等された格付けに従って当該情 1.3.1.2(2)(a) 基本報を適切に取り扱うこと格付けに加えて取扱制限の明示等がなされて事務従事いる場合には当該取扱制限の指示内容に従って取り扱うこと (3) 格付け及び取扱制限の複製時における継承 1.3.1.2(3)(a) 基本事務従事は情報を複製する場合には元となる情報の機密性に係る格付け及び取扱制限を継承すること事務従事 (4) 格付け及び取扱制限の見直し事務従事は情報を利用する場合に元の格付け又は取扱制限がその時点で不適切と考えるため他が決定した情報の格付け又は取扱 1.3.1.2(4)(a) 基本制限そのものを見直す必要があると思料する場合にはその決定 ( 決事務従事定について引き継いだを含む ) 又はその上司 ( 以下この項において決定等という )に相談すること 1.3.1.2(4)(b) 基本事務従事は自らが格付け及び取扱制限の決定等である情報に対して見直しの必要があると認めた場合には当該情報の格付け又は取事務従事扱制限を再決定しそれを明示等することまたそれ以前に当該情報を参照したに対してその旨を可能な限り周知すること (5) 要保護情報の取扱い 1.3.1.2(5)(a) 基本事務従事は大学事務の遂行以外の目的で要保護情報を学外に持事務従事ち出さないこと 1.3.1.2(5)(b) 基本事務従事は要保護情報を放置しないこと事務従事 1.3.1.2(5)(c) 基本事務従事は機密性 3 情報を必要以上に複製しないこと事務従事 1.3.1.2(5)(d) 基本事務従事は要機密情報を必要以上に配付しないこと事務従事特に重要な情報とこれを取り扱う情報システムにおいて必要に応じ事務従事は機密性 3 情報には機密性 3 情報として取り扱う期間を明 1.3.1.2(5)(e) 強化記することまたその期間中であっても情報の格付けを下げる又は取事務従事扱制限を緩和する必要性があると思料される場合には格付け及び取扱制限の見直しに必要な処理を行うこと 1.3.1.2(5)(f) 強化特に重要な情報とこれを取り扱う情報システムにおいて必要に応じ事務従事は機密性 3 情報である書面には一連番号を付しその所在事務従事を明らかにしておくこと 1.3.1.3 情報の保存 (1) 格付けに応じた情報の保存 1.3.1.3(1)(a) 基本事務従事は電磁的記録媒体に保存された要保護情報について適切なアクセス制御を行うこと事務従事 1.3.1.3(1)(b) 基本事務従事は情報の格付け及び取扱制限に応じて情報が保存された電磁的記録媒体を適切に管理すること事務従事事務従事は情報システムに入力された情報若しくは情報システムか 1.3.1.3(1)(c) 基本ら出力した情報を記載した書面のうち要機密情報である書面又は重要事務従事な設計書を適切に管理すること 1.3.1.3(1)(d) 基本事務従事は要機密情報を電磁的記録媒体に保存する場合にはパスワードを用いて保護する必要性の有無を検討し必要があると認めた事務従事ときは情報にパスワードを設定すること事務従事は要機密情報を電磁的記録媒体に保存する場合には暗 1.3.1.3(1)(e) 基本号化を行う必要性の有無を検討し必要があると認めたときは情報を事務従事暗号化すること 1.3.1.3(1)(f) 基本事務従事は要保全情報を電磁的記録媒体に保存する場合には電子署名の付与を行う必要性の有無を検討し必要があると認めたとき事務従事は情報に電子署名を付与すること 1.3.1.3(1)(g) 基本事務従事は要保全情報若しくは要安定情報である電磁的記録又は重要な設計書についてバックアップ又は複写の必要性の有無を検討し必要があると認めたときはそのバックアップ又は複写を取得すること事務従事 663