学校法人中内学園情報セキュリティポリシー規程
最終更新日:2023年8月17日
公開日:2019年4月7日
情報セキュリティポリシー規程は学校法人中内学園及び流通科学大学が、IT化が進展する中にあってさらなる研究教育活動の推進をはかり、社会の期待に応えるべく、情報基盤の充実に加え、情報資産の安全かつ信頼されるセキュリティを確保するために制定されたものです。
Ⅰ.情報セキュリティ基本方針
(目的)
第1条
学校法人中内学園及び流通科学大学(以下「本学園」という。)の教職員、学生及び関係者は、研究教育活動のために本学園の保有する多様な情報資産のより一層の公開と情報システムの利便性向上を求めている。
一方、情報の漏洩や破壊等により情報資産が侵害されれば、本学園に対する社会からの信頼喪失につながりかねない危険性がある。
したがって本学園は、この2つの視点すなわち本学園の保有する情報資産の活用と保護という要求を同時に満たすためには、情報資産のセキュリティを高めなければならないという認識のもとに、本学園の全ての構成員が遵守すべき指針としてポリシーを定める。
ポリシーによって目指すものは、以下5点である。
- 本学園内外の情報セキュリティを損ねる加害行為(毀損、改ざん、紛失、漏洩、不正アクセス等)の抑止
- 本学園の情報セキュリティに対する侵害の阻止
- 情報セキュリティに関する情報取得の支援
- 情報資産の分類と整理
- 情報セキュリティの評価と更新
なお、ポリシーは本学園の情報システムを利用し情報を扱うにあたって、遵守すべき指針を示したものであり、遵守しなければならないものとする。
また、本学園の全ての構成員は、情報資産の使用権限に応じて、セキュリティ管理について義務と責任を負うものであり、ポリシーに違反した者に対しては、懲戒処分等相当の措置をとることができるものとする。
(定義)
第2条
情報セキュリティとは、情報の機密性、完全性及び可用性を維持することであり、それぞれの定義は次のとおりである。
【機密性】
情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること。
【完全性】
情報が毀損、改ざん又は消去されていない状態を確保すること。
【可用性】
情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること。
- このポリシーで使用する用語については、後記の用語集に記載するところによる。
(対象範囲)
第3条
対象範囲は、次の通りとする。
- 本学園が所有するすべての情報資産(書類、電子情報等)
- 本学園が所有または管理しているすべてのIT機器、ネットワーク及び、情報システム
- 常時または一時的に、本学園が管理しているネットワークへ接続されたIT機器、ネットワーク及び、情報システム
(対象者)
第4条
対象者は、情報資産やネットワークの利用及び運用に関わる本学園の教職員(専任・非常勤問わず)、入学志願者、在学生、卒業生、保護者、アルバイト、委託業者、来学者など本学園情報システムを利用するすべての者とする。
Ⅱ.情報セキュリティ対策基準
第1章 総則
(目的)
第1条
本学園における情報システムは、全ての研究教育活動及び運営の基盤として設置される。また、情報セキュリティ維持及び向上に関する事項を定めることにより、本学園の有する情報資産を適正に保護、活用し、並びに情報システムの信頼性、安全性及び効率性の向上に資することを目的とする。
(適用範囲)
第2条
この基準は基本方針(対象範囲)第3条に定める内容に適用する。
- この基準は基本方針(対象者)第4条に定める者に適用する。
- 前項の対象者は本規程に沿い本学園の情報システムを利用する際、情報システム利用実施手順(以下「実施手順」という。)を遵守しなければならない。
- 法律及びこれに基づく命令の規程により、情報資産の運用・管理に関する事項について特別の定めが設けられている場合にあっては、当該事項については、当該法律及びこれに基づく命令の定めるところによる。
(最高情報セキュリティ責任者)
第3条
本学園に最高情報セキュリティ責任者を置き、情報セキュリティ委員長をもって充てる。
- 最高情報セキュリティ責任者は、本学園の情報セキュリティに関する総括的な権限及び責任を有する。
(情報セキュリティ実施責任者)
第4条
本学園に情報セキュリティ実施責任者を置き、情報システム室長をもって充てる。
- 情報セキュリティ実施責任者は、本学園における情報セキュリティ対策の実施に関し総括する。
(情報セキュリティ委員会)
第4条の2
情報セキュリティ対策を適正に行うため、学園に情報セキュリティ委員会(以下「委員会」という。)を置く。
- 委員会は、次に掲げる者をもって構成する。
- 大学事務局長
- 理事長室長
- 情報システム室長
- 総務人事室長
- 理事長が必要と認めた者 若干名
- 委員会の委員長は、委員の中から理事長の指名した委員をもって充てる。委員長は、必要に応じ関係者を出席させ、意見を聴くことができる。
- 委員会は、次に掲げる事項について審議する。
- 情報セキュリティ対策に関する全学的な施策に関する事項
- 新たなリスクに対応するための情報セキュリティの安全管理措置の評価、見直し及び改善に向けた取組み
- 教職員等に対する教育・研修計画の企画・立案
- その他情報セキュリティ対策のために必要な事項
- 委員会に関する庶務は、情報システム室が行う。
(任期)
第4条の3
第4条の2第2項第6号の委員の任期は、2年とする。ただし、任期の終期は、委員となる日の属する年度の翌年度の末日とする。
- 補欠の委員の任期は、前任者の残任期間とする。
- 前2項の委員は、再任されることができる。
(情報セキュリティインシデント対応チーム)
第5条
インシデントの発生時に、迅速かつ円滑に対応するため、情報セキュリティ委員会の下に、情報セキュリティインシデント対応チーム(以下「CSIRT」という。)を置く。
- CSIRTの構成員は、委員長が理事長と協議の上、委員長が指名する。
(調査及び対応)
第5条の2
CSIRTは、インシデントの発生時、速やかに調査及び対応するものとする。
- CSIRTは、前項の調査及び対応を行う場合にあっては、必要に応じ、教職員、専門家等に説明及び意見を求めることができる。
(情報システム技術担当者)
第6条
情報システム技術担当者は、本学園における情報システムの運用・管理を行う。
(本規程の周知)
第7条
本学園は対象者に対して、ホームページ等を通じて、本規程を周知する。
(禁止事項)
第8条
情報システム技術担当者は、次に掲げる事項を行ってはならない。また、他の者に行わせてはならない。
- 情報資産の目的外利用
- 守秘義務に違反する情報の開示
- 情報セキュリティ実施責任者に許可なく情報ネットワーク上の通信を監視し、又は情報ネットワーク機器、サーバ装置及び端末の利用記録を採取する行為
- 情報セキュリティ実施責任者の指示に基づかずにセキュリティ上の脆弱性を検知する行為
- 法令又は本学園規程に違反する情報の発信
- 管理者権限を濫用する行為
- 上記の行為を助長する行為
(規程の見直し)
第9条
情報セキュリティ実施責任者は本規程の見直しを行う必要性の有無を適時検討し、必要があると認めた場合にはその見直しを行う。
第2章 違反
(違反への対応)
第10条
利用者等は、情報セキュリティ関係規程への重大な違反を知った場合は、情報セキュリティ実施責任者にその旨を報告するものとする。
- 情報セキュリティ実施責任者は、情報セキュリティ関係規程への重大な違反の報告を受けた場合又は自らが重大な違反を知った場合には、速やかに調査を行い、事実を確認するものとする。事実の確認に当たっては、可能な限り当該行為を行った者の意見を聴取するものとする。
- 情報セキュリティ実施責任者は、調査によって違反行為が判明したときには、次に掲げる措置を講ずることができる。
- 当該行為者に対する当該行為の中止命令
- 当該行為に係る情報発信の遮断命令
- 当該行為者のアカウント停止命令又は削除命令
- その他法令に基づく措置
(例外措置)
第11条
最高情報セキュリティ責任者は、予測不能な事態に対処する場合等に、例外措置を適用することができる。
第3章 情報の取扱い
(情報の作成又は入手)
第12条
教職員等は、情報システムに係る情報を作成し、又は入手する場合は、本学園の研究教育その他の業務の遂行の目的に十分留意するものとする。
- 情報セキュリティ実施責任者は、各種情報に適切なアクセス制御を行うものとする。
- 教職員等は、情報を学外に持ち出し他の場所に運搬する場合又は学外通信回線を使用して送信する場合には、安全確保に留意し適切な措置を講ずるものとする。
(情報の消去)
第13条
教職員等は、電磁的記録媒体に保存された情報の利用が無くなった場合は情報を消去するものとする。但し、状況に応じて保管することも出来る。
- 教職員等は、電磁的記録媒体を破棄する場合には、当該記録媒体内に情報が残留した状態とならないよう、全ての情報を復元できないようにする。
(情報のバックアップ)
第14条
教職員等は、取得した情報のバックアップについて、保存場所、保存方法、保存期間等を定め、適切に管理するものとする。
- 教職員等は、保存期間を過ぎた情報のバックアップについては、適切な方法で消去するものとする。
第4章 外部委託
(外部委託の範囲)
第15条
最高情報セキュリティ責任者は、以下の各号の業務において、外部委託を実施することができるものとする。
- 情報システムの構築及び開発
- 情報システムの運用、保守及び点検
- 情報の加工及び処理
- 情報の保存及び運搬
(外部委託に係る契約)
第16条
最高情報セキュリティ責任者は、以下の内容を含む情報セキュリティ対策を実施することを委託先の選定条件とし、契約等の内容に含めるものとする。
- 委託先に提供する情報の目的外利用の禁止
- 情報セキュリティインシデントへの対処対応
- 情報セキュリティ対策の履行が不十分な場合の対処方法
(外部委託における対策の実施)
第17条
最高情報セキュリティ責任者は、委託した業務において情報セキュリティインシデントの発生若しくは情報の目的外利用等を認知した場合又はその旨の報告を教職員等から受けた場合は、委託先に対し契約に基づく必要な措置を講じさせるものとする。
- 最高情報セキュリティ責任者は、委託した業務の終了時に、委託先において取り扱われた情報が確実に返却又は抹消されたことを確認するものとする。
(外部委託における情報の取扱い)
第18条
教職員等は、委託先への情報の提供等において、以下の事項を遵守するものとする。
- 委託先に要保護情報を提供する場合、提供する情報を必要最小限として提供すること。
- 提供した情報が委託先において不要になった場合は、これを確実に返却又は消去させること。
- 委託先において、情報セキュリティインシデントの発生又は情報の目的外利用を認知した場合は、速やかに情報セキュリティ実施責任者に報告すること。
(外部サービスの利用)
第19条
教職員等は、外部サービスを利用する場合は、以下の各号に注意して運用するものとする。
- サービス機能の設定に関する定期的な確認
- 状況に応じて情報の滅失、破壊等に備えたバックアップの取得
- 利用者等への注意喚起
第5章 情報システムの構築
(不正プログラム対策)
第20条
情報セキュリティ実施責任者は、不正プログラムからサーバ装置及び端末(当該サーバ装置及び端末で動作可能なアンチウイルスソフトウェア等が存在しない場合を除く。以下同じ。)を保護するため、アンチウイルスソフトウェアを導入する等の対策を実施するものとする。
- 情報セキュリティ実施責任者は、想定される不正プログラムの感染経路のすべてにおいてアンチウイルスソフトウェア等により不正プログラム対策を実施するものとする。
(主体認証と権限管理)
第21条
情報セキュリティ実施責任者は、利用者等が情報機器にログインする場合には主体認証を行うように構成するものとする。
- 情報セキュリティ実施責任者は、ログインした利用者等の識別コードに対して、権限管理を行うものとする。
(端末の対策)
第22条
情報セキュリティ実施責任者は、端末で利用を禁止するソフトウェアを定めるものとする。
(通信回線の対策)
第23条
情報セキュリティ実施責任者は、通信回線構築によるリスク(物理的損壊又は情報の漏洩、改ざん等のリスクを含む。)を検討し、通信回線を構築するものとする。
- 情報セキュリティ実施責任者は、通信回線に接続されるサーバ装置及び端末をセキュリティレベル、管理部署等によりグループ化し、それぞれ論理的又は物理的な通信回線上で分離するものとする。
- 情報セキュリティ実施責任者は、グループ化されたサーバ装置及び端末間での通信要件を検討し、当該通信要件に従って情報ネットワーク機器を利用しアクセス制御及び経路制御を行うものとする。
- 情報セキュリティ実施責任者は、遠隔地から情報ネットワーク機器に対して、保守又は診断のために利用するサービスによる接続についてセキュリティを確保するものとする。
(学外通信回線との接続)
第24条
情報セキュリティ実施責任者は、最高情報セキュリティ責任者の承認を得た上で、学内通信回線を学外通信回線と接続するものとする。
- 情報セキュリティ実施責任者は、学内通信回線を学外通信回線と接続することにより情報システムのセキュリティが確保できないと判断した場合、又は困難な事由が発生した場合は、独立した通信回線として構築するものとする。
(情報コンセント)
第25条
情報セキュリティ実施責任者は、情報コンセントを設置する場合には、以下に掲げる事項を含む措置の必要性の有無を検討し、必要と認めたときは措置を講ずるものとする。
- 通信を行うサーバ装置及び端末の識別又は利用者等の主体認証
- 主体認証記録の取得及び管理
- 情報コンセント経由でアクセスすることが可能な通信回線の範囲の制限
- 情報コンセント接続中の他の通信回線との接続の禁止
- 情報コンセントに接続するサーバ装置及び端末の管理
(VPN)
第26条
情報セキュリティ実施責任者は、VPN環境を構築する場合には、以下に掲げる事項を含む措置の必要性の有無を検討し、必要と認めたときは措置を講ずるものとする。
- 通信内容の暗号化
- 通信を行うサーバ装置及び端末の識別又は利用者等の主体認証
- VPN経由でアクセスすることが可能な通信回線の範囲の制限
- VPN接続方法の機密性の確保
(ウェブサーバ対策)
第27条
情報セキュリティ実施責任者は、ウェブサーバの管理や設定において、以下に掲げる事項を含む措置の必要性の有無を検討し、必要と認めた時は措置を講ずるものとする。
- ウェブサーバが備える機能のうち、不要な機能の停止又は制限
- ウェブコンテンツの編集作業を担当する主体の限定
- サービスを利用する者の個人に関する情報の通信時における情報の漏洩を防止する必要がある場合、暗号化の機能及び電子証明書による認証の機能の設定
第6章 情報システムの運用・終了
(不正プログラム対策)
第28条
情報セキュリティ実施責任者は、不正プログラム対策の状況を適宜把握し、その見直しを行うものとする。
(脆弱性診断)
第29条
情報セキュリティ実施責任者は、最高情報セキュリティ責任者の指示に基づき、情報システムに関する脆弱性の診断を定期的に実施し、セキュリティの維持に努めるものとする。
(文書の見直し)
第30条
情報セキュリティ実施責任者は、適宜、サーバ装置及び端末のセキュリティ維持に関する文書の見直しを行うものとする。また、当該文書を変更した場合には、当該変更の記録を保存するものとする。
- 情報セキュリティ実施責任者は、適宜、通信回線を介して提供するサービスのセキュリティ維持に関する文書の見直しを行うものとする。また、当該文書を変更した場合には、当該変更の記録を保存するものとする。
(端末の対策)
第31条
情報セキュリティ実施責任者は、学内の端末で利用されているソフトウェアの状態を定期的に調査し、不適切な状態にある端末を検出等した場合には、改善を図るものとする。
(情報機器等の運用終了)
第32条
情報セキュリティ実施責任者は、情報機器等の運用を終了する場合に、データ消去ソフトウェア若しくはデータ消去装置の利用又は物理的な破壊若しくは磁気的な破壊等の方法を用いて、すべての情報を復元が困難な状態にするものとする。
第7章 情報システムの利用
(基本的対策)
第33条
利用者等は、本学園の研究教育その他の業務以外の目的で情報システムを利用しないものとする。
- 利用者等は、情報セキュリティ実施責任者が接続許可を与えた通信回線以外に学内の情報システムを接続しないものとする。
- 利用者等は、学内通信回線に、情報セキュリティ実施責任者の接続許可を受けていない情報システムを接続しないものとする。
- 利用者等は、情報システムで利用を禁止するソフトウェアを利用しないものとする。また、情報システムで利用を認めるソフトウェア以外のソフトウェアを職務上の必要により利用する場合は、情報セキュリティ実施責任者の承認を得るものとする。
- 利用者等は、端末の運用を終了する場合には、端末に保存されているすべての要保護情報を、復元が困難な状態にするものとする。
(不正プログラム対策)
第34条
利用者等は、不正プログラム感染防止に関する措置に努めるものとする。
- 利用者等は、情報システムが不正プログラムに感染した可能性があることを認識した場合は、感染した情報システムの通信回線への接続を速やかに切断するなど、必要な措置を講ずるものとする。
(メール利用時の対策)
第35条
利用者等は、要保護情報を含む電子メールを送受信する場合には、本学園が運営又は外部委託した電子メールサーバにより提供される電子メールサービスを利用するものとする。
- 利用者等は、不審な電子メールを受信した場合には、実施手順に従い、対処するものとする。
(ソーシャルメディア(SNS・コミュニケーションツール)の利用)
第36条
利用者等は、日本国内の法令についての遵守はもとより、諸外国法令や国際法規についても遵守するものとする。
- 利用者等は、要保護情報を不適切に発信しないようにすること。
- 利用者等は正確な情報を伝えるようにすること。欺瞞情報を意図的に伝達することは、発信者個人のみならず本学園の名誉と信頼を損なう恐れがあることを自覚すること。
- 利用者等はコミュニケーション活動を行う際、利用するサービス内容を吟味し、自身の個人情報を登録・公開する際には充分注意を払うこと。また、オンラインのコミュニケーション活動では、情報を削除しても当該利用サービス以外に第三者により情報が保存・アーカイブ化され、消去できないことがあることに留意すること。
(外部電磁的記録媒体)
第37条
利用者等は、外部電磁的記録媒体を用いた情報の取扱いに関する以下の事項を遵守するものとする。
- 本学園により支給された外部電磁的記録媒体を原則使用すること。
- 要保護情報は保存される必要がなくなった時点で速やかに削除すること。
(識別コード及び主体認証情報の取扱い)
第38条
利用者等は、主体認証の際に自己に付与された識別コード以外の識別コードを用いて情報システムを利用しないものとする。
- 利用者等は、自己に付与された識別コードを適切に管理するものとする。
- 利用者等は、自己の主体認証情報の管理を徹底するものとする。
第8章 情報システムのセキュリティ機能
(主体認証機能の導入)
第39条
情報セキュリティ実施責任者は、すべての情報システムについて、主体認証を行う必要性の有無を検討するものとする。
- 情報セキュリティ実施責任者は、主体認証を行う必要があると認めた情報システムにおいて、識別及び主体認証を行う機能を設けるものとする。
- 情報セキュリティ実施責任者は、主体認証を行う必要があると認めた情報システムにおいて、当該主体認証情報が明らかにならないように管理するものとする。
(アクセス制御機能の導入)
第40条
情報セキュリティ実施責任者は、情報システムの特性、情報システムが取り扱う要保護情報により、権限を有する者のみがアクセス制御の設定等を行うことができる機能を設け、適切に運用するものとする。
(アカウント管理)
第41条
情報セキュリティ実施責任者は、すべての情報システムについて、アカウント管理を行う必要性の有無を検討するものとする。この場合、要保護情報を取り扱う情報システムについては、アカウント管理を行うものとする。
- 情報セキュリティ実施責任者は、アカウント管理を行う必要があると認めた情報システムにおいて、利用者等が情報システムを利用する必要がなくなった場合には、当該利用者等のアカウントを削除するものとする。
- 情報セキュリティ実施責任者は、識別コード及び主体認証情報が他者に使用される若しくはその危険が発生したことの報告を受けたときは、速やかに当該アカウントを停止するものとする。
- 管理者権限を持つアカウントを付与された者は、管理者としての業務遂行時に限定して、当該アカウントを利用するものとする。
(暗号化機能)
第42条
情報セキュリティ実施責任者は、要保護情報(書面を除く。)を取り扱う情報システムについて、暗号化を行う機能を付加する必要性の有無を検討するものとする。
第9章 インシデント対応
(インシデントの発生に備えた事前準備)
第43条
情報セキュリティ実施責任者は、情報セキュリティに関するインシデントが発生した場合、被害の拡大を防ぐとともに、インシデントから復旧するための体制を整備するものとする。
- 情報セキュリティ実施責任者は、インシデントについて利用者等から情報セキュリティ実施責任者への報告手順を整備し、当該報告手段をすべての利用者等に周知するものとする。
- 情報セキュリティ実施責任者は、インシデントが発生した際の対応手順を整備するものとする。
- 情報セキュリティ実施責任者は、インシデントに備え、本学園の研究教育その他の業務の遂行のため特に重要と認めた情報システムについて、緊急連絡先、連絡手段、連絡内容を含む緊急連絡網を整備するものとする。
- 情報セキュリティ実施責任者は、インシデントが発生した場合の連絡及び報告、インシデントの原因の調査、再発防止策の策定等の対応を、速やかに行うための体制を整備するものとする。
(インシデントの原因調査・再発防止策)
第44条
情報セキュリティ実施責任者は、インシデントが発生した場合には、インシデントの原因を調査したうえで再発防止策を策定し、その結果を報告書としてCSIRT責任者に報告するものとする。
- CSIRT責任者は、インシデントを認知した場合には、前条第3項により情報セキュリティ実施責任者が定める対応手順に従い、直ちに必要な措置を講ずる。
第10章 教育・研修
(情報セキュリティ対策の教育)
第45条
情報セキュリティ実施責任者はポリシーについて、利用者等に対しその啓発を行うものとする。
- 情報セキュリティ実施責任者はポリシーについて、利用者等に教育すべき内容を検討し、教育のための資料を整備するものとする。
第11章 評価
(自己点検の実施)
第46条
情報セキュリティ実施責任者は、教職員等に対して、自己点検の実施を指示するものとする。
- 情報セキュリティ実施責任者は、教職員等による情報セキュリティに関する自己点検が行われていることを確認し、その結果を評価するものとする。
- 教職員等は、自らが実施した情報セキュリティに関する自己点検の結果に基づき、自己の権限の範囲で改善できると判断したことは改善し、情報セキュリティ実施責任者にその旨を報告するものとする。
- 附則
この規程は、令和2年10月30日から施行する。 - 附則
この規程は、令和3年3月16から施行する。 - 附則
この規程は、令和5年6月1日から施行する。
用語集
用語 | 説明 | |
---|---|---|
V | VPN | 暗号技術等を利用し、インターネットなどの公衆回線を私設通 回線として広域化するための技術をいう。 Virtual Private Networkの略。 |
あ | アカウント | 主体認証を行う必要があると認めた情報システムにおいて、主体に付与された正当な権限をいう。 |
アクセス制御 | 情報へのアクセスを許可する者を制限することをいう。 | |
暗号化 | 第三者に容易に解読されないよう、定められた演算を施しデータを変換することをいう。 | |
アンチウイルス ソフトウェア |
コンピュータウイルスを検出・除去するためのソフトウェアのことをいう。「ウイルス対策ソフトウェア」「アンチウイルス」などとも呼ばれる。 | |
委託先 | 外部委託により本学の情報システムに関する計画、構築及び運用等の情報処理業務の一部又は全部を実施する者をいう。 | |
インシデント | 情報セキュリティに関し、意図的または偶発的に生じる、本学規程または法律に反する事故あるいは事件をいう。 | |
ウェブコンテンツ | Web上で提供・配信されているコンテンツの総称をいう。 | |
ウェブサーバ | HTTP サーバアプリケーション、当該サーバアプリケーションで動作するウェブアプリケーション及びデータベース並びに負荷分散装置等のようにウェブサーバと一体として動作するハードウェアをいう。 | |
か | 外部委託 | 本学の情報処理業務の一部又は全部について、契約をもって学外の者に実施させることをいう。「委任」「準委任」「請負」といった契約形態を問わず、全てを含むものとする。 |
学外 | 本学が管理する組織又は施設の外をいう。 | |
学外通信回線 | 物理的な通信回線を構成する回線(有線又は無線、現実又は仮想及び本学管理又は他組織管理)及び通信回線装置を問わず、本学が管理していないサーバ装置及び端末が接続され、当該サーバ装置及び端末間の通信に利用する論理的な通信回線をいう。 | |
記録媒体 | 情報が記録され、又は記載される有体物をいう。記録媒体には、文字、図形等、人の知覚によって認識することができる情報が記載された紙その他の有体物(以下「書面」という。)と、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、情報システムによる情報処理の用に供されるもの(以下「電磁的記録」という。)に係る記録媒体(以下「電磁的記録媒体」という。)がある。 また、電磁的記録媒体には、サーバ装置、端末、通信回線装置等に内蔵される内蔵電磁的記録媒体と、USBメモリ、外付けハードディスクドライブ、DVD-R等の外部電磁的記録媒体がある。 | |
権限管理 | 主体認証に係る情報(識別コード及び主体認証情報を含む。)及びアクセス制御における許可情報を管理することをいう。 | |
さ | サーバ装置 | 情報システムの構成要素である機器のうち、通信回線等を経由して接続してきた端末等に対して、自らが保持しているサービスを提供するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい、特に断りがない限り、本学が調達又は開発するものをいう。 |
サービス | サーバ装置上で動作しているアプリケーションにより、接続してきたサーバ装置及び端末に対して提供される単独又は複数の機能で構成される機能群をいう。 | |
識別コード | 主体を識別するために、情報システムが認識するコード(符号)をいう。代表的な識別コードとして、ユーザIDが挙げられる。 | |
主体認証 | 識別コードを提示した主体が、その識別コードを付与された主体、すなわち正当な主体であるか否かを検証することをいう。識別コードとともに正しい方法で主体認証情報が提示された場合に主体認証ができたものとして、情報システムはそれらを提示した主体を正当な主体として認識する。 | |
情報機器等 | 情報システムの構成要素(サーバ装置、端末、通信回線装置、複合機、特定用途機器等、ソフトウェア等)、外部電磁的記録媒体等の総称をいう。 | |
情報コンセント | 各部屋の壁面などに用意されたイーサネット(Ethernet)LANに接続するための通信ケーブル用の接続口。 | |
情報資産 | 情報システム並びに情報システム内部に記録された情報、情報システム外部の電磁的記録媒体に記録された情報及び情報システムに関係がある書面に記載された情報をいう。 | |
情報システム | ハードウェア及びソフトウェアから成るシステムであって、情報処理及び通信の用に供するものをいい、特に断りのない限り、本学が調達又は開発するもの(管理を外部委託しているシステムを含む。)をいう。 | |
情報セキュリティ | 情報資産の機密性、完全性及び可用性を維持することをいう。 | |
情報ネットワーク機器 | 情報ネットワークの接続のために設置され、サーバ装置及び端末により情報ネットワーク上を送受信される情報の制御を行うための装置(ファイアウォール、ルータ、ハブ、情報コンセント又は無線ネットワークアクセスポイントを含む。)をいう。 | |
脆弱性 | コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥を指す。 | |
ソフトウェア | サーバ装置及び端末を動作させる手順及び命令をサーバ装置及び端末が理解できる形式で記述したものをいう。オペレーティングシステム、オペレーティングシステム上で動作するアプリケーションを含む広義の意味である。 | |
た | 端末 | 情報システムの構成要素である機器のうち、利用者等が情報処理を行うために直接操作するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい、本学が調達又は開発するもの及び学内通信回線に接続する本学園支給以外のものをいう。端末には、モバイル端末も含まれる。 |
通信回線 | これを利用して複数のサーバ装置及び端末を接続し、所定の通信様式に従って情報を送受信するための仕組みをいう。回線及び通信回線装置の接続により構成された通信回線のことを物理的な通信回線といい、物理的な通信回線上に構成され、サーバ装置及び端末間で所定の通信様式に従って情報を送受信可能な通信回線のことを論理的な通信回線という。 | |
電磁的記録 | 電子的方式、磁気的方式その他、人の知覚によっては認識することができない方式で作られる記録であって、コンピュータによる情報処理の用に供されるものをいう。 | |
は | 不正プログラム | コンピュータウイルス、ワーム(他のプログラムに寄生せず単体で自己増殖するプログラム)、スパイウェア(プログラムの使用者の意図に反して様々な情報を収集するプログラム)等の情報システムを利用する者が意図しない結果を当該情報システムにもたらすプログラムの総称をいう。 |
や | 要保護情報 | 要機密情報(不開示情報に該当すると判断される蓋然性の高い情報)、要保全情報(改ざん、誤謬又は破損により、利用者の権利が侵害され又は本学活動の適確な遂行に支障を及ぼす可能性がある情報)及び要安定情報(その滅失、紛失又は当該情報が利用不可能であることにより、利用者の権利が侵害され又は本学活動の安定的な遂行に甚大な支障を及ぼすおそれがある情報)をいう。 |
ら | 利用者 | 教職員等及び学生等で、許可を受けて本学情報システムを利用する者をいう。 |
例外措置 | 教職員等がその実施に責任を持つ情報セキュリティ関係規程を遵守することが困難な状況で、職務の適正な遂行を継続するため、遵守事項とは異なる代替の方法を採用する、又は遵守事項を実施しないことについて合理的理由がある場合に、そのことについて申請し許可を得た上で適用する行為をいう。 | |
ログイン | 何らかの主体が主体認証を要求する行為をいう。 |