機器接続時の技術的基準
- 2017/04/01
- 2017/04/01
挟間キャンパスの情報ネットワークに接続する機器の満たすべき技術的基準
1. この基準は、大分大学情報セキュリティポリシーにもとづいて、挾間キャンパスの基盤情報ネットワーク(以下、挾間LANという)に接続する機器の満たすべき技術的基準を定めて、挾間キャンパスのセキュリティを確保するものである。
1-2. 病院情報システム(BUNGO) のLANに接続される機器には、この基準は適用されない。
1-3. 挾間キャンパスに設置された機器で、挾間LANには接続しないが、大分大学が契約する回線でインターネットに接続する場合にも、この基準を準用する。
1-4. この基準には、情報セキュリティおよび情報保護のための、機器の使い方も含まれる。
2. 挾間LANに機器を接続する際には、医学情報センターに設置許可申請を提出し、許可を受けなければならない。申請内容に変更があったときには、変更申請を、廃止するときには、廃止届を提出しなければならない。
3. 挾間LANに接続する機器は、この技術的基準を満たさなければならない。許可後に、この基準を満たさないことが判明した場合は、許可を取り消すことがある。
4. パソコン
4-1. マルウエア(利用者が意図しない動作をするソフト)が存在しない状態を維持しなければならない。
(2) ワクチンソフトをインストールし、ウイルス定義ファイルを常に最新の状態で稼動させなければならない。
(3) ワクチンソフトは、可能であれば、プロアクティブディフェンス機能を利用すること。 ワクチンソフトは、定期的にフルスキャンを実行すること。
(4) マルウエアに感染した疑いがある場合は、LANの線を抜いて、医学情報センターに連絡し、その指示をうけて、マルウエアの駆除が完了するまで、挾間LANに接続してはならない。
4-2. OSやインストールしているソフトの脆弱性情報に注意を払い、自動アップデートを行うなど、つねに最新の状態となるようにすること。
(2) 脆弱性があることが判明し対応策が公開された場合は、直ちにセキュリティ更新を行うこと。
(3) Windows 系OSのパソコンでは、IPA が提供している MyJVN バージョンチェッカにより、チェックを行い、常に最新のソフトにアップデートすること。
(4) セキュリティ更新がベンダーから提供されないOSやソフトウエアを使っている機器は、挾間LANに接続することを禁止する。
(5) いわゆる脱獄(jailbreak) をした機器は、挾間LANに接続してはならない。
4-3.
不正な行為をすることができるソフトウエアを動作させてはならない。
・情報資源に障害を与え、あるいは情報を収集し、その情報を外部に送信するようなソフトウエアを動作させ、あるいは、操作をしてはならない。
・意図しないで、そのようなソフトが起動している場合は、LANの線を抜いて、医学情報センターに連絡し、その指示をうけること。
4-4. 医学情報センターの許可なく、その管理する機器を学外からの操作を受け入れる状態にしてはならない。また、許可なく学外からの指令を受けて動作するソフトを動作させてはならない。
4-5.
起動時パスワードを強固なもので設定すること。
・共有フォルダを使う場合は、強固なパスワードを設定すること。誰でもアクセス可能状態で共有フォルダを使用してはならない。
5. ルータ、無線AP等の通信機器
5-1. 医学情報センターの許可条件に従った設定を行うこと。
5-2. 強固な管理者パスワードの設定を行うこと。
5-3. ルータ機能を使用してはならない。
5-4. DHCPサーバ機能を使用してはならない。
5-5. ルータ、無線AP等の通信機器は、パスワードの変更を行って、設定情報が漏洩し、改ざんされることがないようにすること。
5-6. 医学情報センターが設置している無線APの電波強度が -70dB よりも強い場所では、無線AP の設置は許可しない。
・-70dbよりも弱い場所には、医学情報センターが新たな小型無線APを設置する.
5-7. 無線のチャンネルは、医学情報センターおよび病院情報システム(BUNGO) で使用しているチャンネルを使ってはならない。
5-8. 無線機能がついているプリンタ、NAS、ディスプレイ、ビデオサーバなどは、特に許可された場合を除いて、無線機能を停止すること。
6. サーバ、NAS(ネットワークディスク)等
6-1. 医学情報センターの許可条件に従った設定を行うこと。
6-2. 強固な管理者パスワードの設定を行うこと。
6-3. 強固な利用者IDパスワードの設定を行い、アクセス権限を与えられたものだけが利用できるようにすること
6-4. サーバ等は、入退室管理、施錠などにより、権限のあるもの以外が立ち入りできない場所に設置すること。
(施錠されたラック、ワイヤ、ロッカーに入れる等でもよい)
6-5. アクセスの記録を一定期間保存し、個人情報保護法、不正アクセス防止法あるいは学内規定にもとづいて、関係機関あるいは医学情報センターから要請があったときには、提出すること。
6-6. 保存するファイルのウイルスチェックを行い、ウイルスが存在しない状態を維持しなければならない。
6-7. 医学情報センターの許可なく、挾間LANに接続している機器を、wifiルータやテザリングなどの学外へのアクセスを行う経路に接続してはならない。
6-8. スマートホンやタブレット等、電話回線と wifi の両方を持っている機器は、挾間LANに接続する際には、電話回線による接続を切断すること。
7. ネットワークプリンタ、複合機、ネットワークスキャナ等
7-1. 医学情報センターの許可条件に従った設定を行うこと。
7-2. 強固な管理者パスワードの設定を行うこと。
7-3. 強固な利用者IDパスワードの設定を行い、アクセス権限を与えられたものだけが利用できるようにすること。
7-4. 特に許可された場合を除いて、無線機能を停止すること。
8. 学外のストレージサービス、メールサーバ、クラウドサービス等
8-1. 学外のストレージに、機密情報、個人情報が含まれたファイルを保存してはならない。
8-2. 学外のストレージを、常時接続の状態で利用してはならない。
・実態として情報の学外持ち出しにあたる行為であるが、自分のパソコンに保存しているのと同じ気持ちで、学外持ち出しをしている感覚がないので、注意すること。
8-3. 大学のIDあてに届いたメールを学外のメールサーバに自動転送してはならない。
・学外のメールアドレスに、機密情報、個人情報を送信してはならない。
8-4. 機密情報、個人情報が含まれた文章を作成編集するときには、漢字変換、音声変換、翻訳など学外のクラウドに情報を送るサービスを利用しないこと。
8-5. 機密情報、個人情報が含まれた文章を作成編集するときには、クラウドを利用することが前提のソフトウエアを利用しないこと。
9. 機器の管理
9-1. 機器の管理者は、情報セキュリティの確保のために医学情報センターが行う調査を受け入れ、情報を提出しなければならない。
9-2. 必要に応じて、医学情報センターが遠隔で動作状況や設定内容を確認することができるようにすること。
9-3. 機器の設定を業者に依頼する場合は、このルールおよび「複合機・プリンタ等の適切な設定について」に従うように注意を促すこと。
・業者に設定を依頼した場合は、設定内容の報告を受け、医学情報センターに提出すること。
9-4。 パスワードは、学外の登録も含めて、機器、サービスごとに異なるものにし、時々変更すること。
(様々なサービスや機器の管理に、同じパスワードを設定しない)
9-5. 著作権法、不正アクセス防止法その他の情報通信関連法令に違反する行為を行ってはならない。
10. この基準は、2017年7月1日から適用する。
<注釈1>
1.4-2. に該当するOS
利用を許可しているOSとサービス学内専用
2.4-2. に該当するソフトの例
(1) Adobe Flash Player
(2) Adobe Reader
(3) Adobe Shockwave Player
(4) JRE (java)
(5) Lhaplus
(6) Mozilla Firefox
(7) Mozilla Thunderbird
(8) Lunascape
(9) Becky! Internet Mail
(10) OpenOffice
(11) Realplayer
(12) Irfanview
(13) microsoft office など microsoft 社製のソフト
(14) QuickTime, iTune, Safari など Apple 社製のソフト
3.4-2(4) に該当するソフトウエアの例(利用禁止)
(1) microsoft office 2003 およびそれより古いオフィス製品
(2) Internet Explorer 10 およびそれより古いバージョン
(3) LHA
(4) netscape
<注釈2>
強固なパスワードとは、
(1) 可能な限り長くする(基盤情報システムでは16文字まで)
(2) 英字(大小)、数字、記号を組み合わせる
(3) 辞書に載っている単語をそのまま使わない
・単語の中に記号を挿入するとよい
(4) パスワードの使いまわしをしない(異なるサービスには、異なるパスワードに)
(例)基本のパスワード(随時変更する文字記号を間に挿入)+サービス名(短縮)
<参考資料>
脆弱性レポート一覧
MyJVN バージョンチェッカ for .NET
Apple セキュリティアップデート
強力なパスワードを作成および使用する
複合機等のオフィス機器をインターネットに接続する際の注意点