情報セキュリティポリシー実施手順書

平成 23 年 12 月 14 日

（平成 29 年 2 月 15 日改正）

京都大学経営管理研究部・経営管理教育部

目 次

1. はじめに ............................................................................................................................. 3 2. 組織・体制 ......................................................................................................................... 4

2.1. 対象 ................................................................................................................................. 4 2.2. 基準となる規程、基準等 ................................................................................................. 4 2.3. 管理運営組織 ................................................................................................................... 4

3. 部局情報システムの管理 .................................................................................................... 6

3.1. 部局情報システムの指定、部局情報システム技術担当者の指名 ................................... 6 3.2. 全学情報システムの利用 ................................................................................................. 6 3.3. 部局情報システムのセキュリティ .................................................................................. 6 3.4. 部局情報システム運用手順書の整備 ............................................................................... 6 3.5. 部局情報システムの見直し ............................................................................................. 7

4. 外部委託 ............................................................................................................................. 7

4.1. 外部委託に係る契約 ........................................................................................................ 7 4.2. 約款による外部サービスの利用 ...................................................................................... 7 4.3. ソーシャルメディアサービスの利用 ............................................................................... 7

5. 情報資産の格付け及び管理 ................................................................................................. 8

5.1. 情報資産の格付け及び取り扱い制限の指定 .................................................................... 8 5.2. 要保護情報の取り扱い .................................................................................................... 8 5.3. 部局内情報資産の格付け及び取り扱い制限基準 ............................................................ 8

6. 情報セキュリティインシデントへの対応 ............................................................................ 9

6.1. 情報セキュリティインシデント ...................................................................................... 9 6.2. 情報セキュリティインシデント発生時の対処手順 ......................................................... 9 6.3. 緊急時対応の整備 ......................................................................................................... 11 6.4. 外部（マスコミ等）への対応 ....................................................................................... 11

7. セキュリティ向上のための措置 ........................................................................................ 12

7.1. 説明会等による周知等 .................................................................................................. 12 7.2. 教育・研修等実施手順 .................................................................................................. 12

8. 無線 LAN アクセスポイントの設置 .................................................................................. 12

8.1. 目的 ............................................................................................................................... 12 8.2. 設置要件 ........................................................................................................................ 12 8.3. AP 設置報告 .................................................................................................................. 13 8.4. 保守と運用確認 ............................................................................................................. 13

9. 自己点検の実施 ................................................................................................................ 13 付記１．部局情報システムの指定及び部局情報システム技術担当者の指名について ............... 15 付記２．格付けに応じた部局情報システムのセキュリティ要件 .............................................. 16 付表１．部局情報資産の格付け及び取り扱い制限基準 ............................................................ 19

3

1. はじめに 本情報セキュリティポリシー実施手順書（以下、「実施手順書」という。）は、京都大学に

おける情報セキュリティポリシー（「京都大学における情報セキュリティの基本方針」（平

成 27 年 3 月 25 日役員会決定、以下「全学基本方針」という）、「京都大学の情報セキュリ

ティ対策に関する規程」（平成 15 年 10 月 21 日達示第 43 号制定、以下「全学対策規程」

という））及び「京都大学情報セキュリティ対策基準」（平成 21 年 3 月 2 日情報担当理事

裁定、以下「全学対策基準」という）に基づき、経営管理研究部・経営管理教育部におけ

る「情報資産」の取り扱いについての基本方針について定める。 本実施手順書で使用する主な用語の定義を挙げる。また、括弧内に対応する全学対策規程、

全学対策基準を示す。 最高情報セキュリティ責任者(全学対策規程第４条） 本学の情報セキュリティに関する総括的な権限及び責任を有する者をいう。

部局情報セキュリティ責任者(全学対策規程第５条） 当該部局の情報セキュリティに関し責任及び権限を有する部局の長をいう。

部局情報セキュリティ技術責任者(全学対策規程第５条の２） 当該部局の情報システムにおける情報セキュリティ対策の実施に関し統括する。

部局情報セキュリティ副技術責任者(全学対策規程第５条の２） 部局情報セキュリティ技術責任者を技術的に補佐する。

部局情報システム技術担当者(全学対策規程第５条の３） 部局が所管する情報システムごとに配置し、所管する情報システムにおける情報セキュ

リティ対策を実施する。 部局情報セキュリティ連絡責任者（全学対策規程第５条の４） インシデント発生時に、不正アクセス等発見者や全学連絡窓口からの連絡を受け、部局

情報セキュリティ責任者や部局情報セキュリティ委員会等への連絡を行う者をいう。 部局情報セキュリティ委員会(全学対策規程第８条） 部局情報セキュリティ責任者を補佐し、部局における情報セキュリティに関する事項を

扱う。 情報資産（全学対策規程第２条第１項第３号） 情報システムに記録された情報及び情報システムに関係がある書面に記載された情報で

あり、電磁的に記録された情報全てを含む。書面に記載された情報には電磁的に記録さ

れている情報を記載した書面（情報システムに入力された情報を記載した書面、情報シ

ステムから出力した情報を記載した書面）及び情報システムに関する設計書がふくまれ

る。 情報システム（全学対策規程第２条第１項第２号） 情報の作成、利用及び管理等のための仕組み（ハードウェア及びソフトウェアからなる

情報機器及び記憶媒体ならびに有線または無線のネットワーク）をいう。情報機器には、

サーバ装置、端末、通信回線装置、複合機、特定用途機器等が含まれる。 本学情報システム（全学対策基準第２条第１項第５号） 全学対策規程第３条第１項第１号「本学が所有又は管理する情報システム」及び第３号

「本学との契約又は協定に基づき提供されるシステム」をいい、本学の情報ネットワー

クに接続する機器を含む。 全学情報システム（全学対策基準第２条第１項第６号） 全学の情報基盤として供される本学情報システムのうち、情報セキュリティが侵害され

た場合の影響が特に大きいと評価される情報システムとして指定された、統合認証シス

テム及び学術情報ネットワークシステム（KUINS）をいう。 部局情報システム（全学対策基準第２条第１項第７号） 本学情報システムのうち、全学情報システム以外のものをいう。本実施手順書において

は、経営管理研究部・経営管理教育部が保有する情報システムをいう。

4

2. 組織・体制

2.1. 対象 この文書の適用範囲は、本手順書３章にて示す京都大学経営管理研究部・経営管理教育部

部局情報システムおよび共同管理・利用する経済学研究科・経済学部部局情報システムの

利用者(以下部局情報システム利用者)とする。なお、共同管理・利用する経済学研究科・

済学部部局情報システムは、経営管理研究部・経営管理教育部情報セキュリティ委員会と

経済学研究科・経済学部情報セキュリティ委員会と協議の上決定するものとする（付記３．

経営管理研究部・経営管理教育部および経済学研究科・経済学部共同管理・利用情報シス

テムについて）。

2.2. 基準となる規程、基準等 部局情報システム利用者は全学対策基準及び京都大学情報格付け基準(全学格付け基準）に

基づき、情報資産のセキュリティ維持に努める。

2.3. 管理運営組織 2.3.1. 部局情報セキュリティ責任者

京都大学経営管理研究部・経営管理教育部では、全学の情報セキュリティポリシー

に従い、部局情報セキュリティ責任者として経営管理研究部長がその任にあたる。

2.3.2. 部局情報セキュリティ委員会 部局情報セキュリティ責任者は、部局内の情報セキュリティに関する運用方針を決

定し・実行する組織として部局情報セキュリティ委員会を設置し、その委員を指名

する。委員会の構成に関する規程は「経営管理研究部・経営管理教育部情報セキュ

リティ委員会内規」において定める。

2.3.3. 部局情報セキュリティ技術責任者 部局情報セキュリティ責任者は、部局情報システムのセキュリティ対策の実施に関

し統括する者として、部局情報セキュリティ技術責任者を指名する。

2.3.4. 部局情報セキュリティ副技術責任者 部局情報セキュリティ責任者は、部局情報セキュリティ技術責任者を技術的に補佐

する者として、部局情報セキュリティ副技術責任者を指名することができる。

2.3.5. 部局情報システム技術担当者 部局情報セキュリティ責任者は、部局情報システムの情報セキュリティ対策を実施

する者として、部局情報システムごとに部局情報システム技術担当者を指名する。 2.3.6. 部局情報セキュリティ連絡責任者

部局情報セキュリティ責任者は、部局内におけるセキュリティ事案発生時に、不正

アクセス等発見者や全学連絡窓口からの連絡を受け、部局情報セキュリティ責任者

や部局情報セキュリティ委員会等への報告を行うものとして、部局情報セキュリテ

ィ連絡責任者を指名する。

5

2.3.7. 情報セキュリティ組織体制図 経営管理研究部・経営管理教育部内組織

全学組織

情報セキュリティへのインシデント対応 情報システムのセキュリティ対策

部局情報セキュリティ責任者

部局情報セキュリティ技術責任者

部局情報システム技術担当者

部局情報セキュリティ委員会

部局情報システム技術担当者

部局情報システム技術担当者

利 用 者

利 用 者

利 用 者

部局情報システム 情 報 資 産

情報セキュリティに関する教育 情報資産の格付けと保護

部局連絡責任者

6

3. 部局情報システムの管理

3.1. 部局情報システムの指定、部局情報システム技術担当者の指名 3.1.1. 部局情報セキュリティ責任者は、部局内において生成または利用される情報資産を

扱うための情報システムを部局情報システムとして指定する。 3.1.2. 部局情報セキュリティ責任者は、部局情報システムのセキュリティを維持するため、

部局情報システムごとに、部局情報システム技術担当者を指名する。 3.1.3. 部局情報システムの指定、部局情報システム技術担当者の指名基準については別途

定める(付記 1．部局情報システムの指定及び部局情報システム技術担当者の指名に

ついて）。 3.1.4. 部局情報セキュリティ責任者は、部局情報システム管理表を作成し、稼動している

部局情報システムを把握する。(様式１．部局情報システム管理表） 3.1.5. 部局情報システムを新規に設置する、または部局情報システム管理表の内容に変更

があった場合、部局情報セキュリティ責任者に届け出る。 3.1.6. 部局情報セキュリティ技術責任者及び部局情報システム技術担当者は全学対策基準

第９条に示す禁止事項を行ってはならない。同様に、他の者に行わせてはならない。

3.2. 全学情報システムの利用 3.2.1. 部局情報システムを学術情報ネットワークシステム（KUINS）に接続する場合、部

局情報システム技術担当者は、部局情報セキュリティ技術責任者の承認を受けたう

えで、KUINS 接続機器登録データベースにて利用申請を行い、利用許可を受ける。 3.2.2. 部局情報システムを統合認証システムに接続する場合、部局情報システム技術担当

者は、利用申請書を作成し、部局情報セキュリティ技術責任者に提出する。部局情

報セキュリティ技術責任者は、情報環境機構情報環境支援センターと調整のうえ、

利用申請書を提出し、利用許可を受ける。 3.2.3. 部局情報システム技術担当者は、全学情報システムに接続した部局情報システムの

利用者に、全学情報システムの利用に関する下記の事項およびその他必要な事項を

周知する。 ・京都大学全学情報システム利用規則 ・京都大学全学情報システム利用者パスワードガイドライン ・京都大学全学情報システム不正プログラム対策ガイドライン http://www.iimc.kyoto-u.ac.jp/ja/services/ismo/use/regulation.html

3.3. 部局情報システムのセキュリティ 3.3.1. 部局情報システム技術担当者は、全学対策基準が挙げる項目に従い、担当する部局

情報システム上で扱う情報資産が求めるセキュリティレベルを満たすよう、当該シ

ステムのセキュリティ対策を実施する。当該システムの主体認証機能、アクセス制

御及び証跡管理については全学対策基準をもとに実施する。無線 LAN アクセスポ

イントを設置する場合は、「8.無線 LAN アクセスポイントの設置」に従い管理する。 3.3.2. 要保護情報を扱う部局情報システムが満たすべきセキュリティ要件は別途定める

（付記２．格付けに応じた部局情報システムのセキュリティ要件）。 3.3.3. 部局情報セキュリティ技術責任者は個々の部局情報システムのセキュリティ対策内

容を承認し、また必要に応じて適宜助言を行う。

3.4. 部局情報システム運用手順書の整備 3.4.1. 部局情報システム技術担当者は、担当する部局情報システムの運用継続性、あるい

は第三者による情報セキュリティ実施内容の確認の必要性から、当該システムのセ

キュリティ対策を含めた部局情報システム運用手順書を作成する。 3.4.2. 部局情報システムの運用手順書は、全学対策基準を基に作成する。

用例１． 部局情報システム運用手順書（KUINS-Ⅱ情報システム） 用例２． 部局情報システム運用手順書（KUINS-Ⅲ情報システム）

7

特段の理由が無い限り、KUINS-Ⅱ情報システムの運用手順書は用例１、KUINS-Ⅲ情報システムの運用手順書は用例２を参考にして作成する。 なお、情報環境機構が提供する VM ホスティングサービスを利用した部局情報シ

ステムの場合は、サービスに含まれる安全区域やサーバのセキュリティ対策の一部

などを除き、KUINS-II 情報システムと同様に取り扱う。また、ホームページサー

ビスを利用した部局情報システムの場合、管理体制の確保、連絡網の整備、脆弱性

診断およびウェブサーバの対策について、KUINS-II 情報システムと同様に取り扱

う。

3.5. 部局情報システムの見直し 部局情報システム技術担当者は、1 年を目処とし、担当する部局情報システムのセキュリ

ティ実施内容、運用手順書の見直しを行う。また、部局情報セキュリティ責任者は、部局

情報システム技術担当者の実施する見直し作業状況を確認する。(様式１．部局情報システ

ム管理表） 4. 外部委託

4.1. 外部委託に係る契約 4.1.1. 教職員は、取り扱う情報の格付け及び取扱制限で許可されている場合、情報システ

ムの構築及び開発、運用・保守及び点検、情報の加工及び処理、保存及び運搬の外

部委託を実施することができる。 4.1.2. 4.1.1. の委託契約において委託先に要保護情報を提供する場合、提供する情報を必

要最小限とし、安全な受渡し方法により提供する。 4.1.3. 教職員は、委託した業務の終了時に、委託先において取り扱われた情報が確実に返

却又は抹消されたことを確認する。

4.2. 約款による外部サービスの利用 4.2.1. 教職員は利用するサービスの約款、そのほかの提供条件などから利用にあたっての

リスクが許容できることを確認した上で、約款による外部サービスを利用できる。 4.2.2. 4.2.1. のサービスにおいて要保護情報を取り扱う場合、教職員は部局情報セキュリ

ティ責任者に届け出る。

4.3. ソーシャルメディアサービスの利用 4.3.1. 部局からの公式情報の発信のためにソーシャルメディアサービス（Facebook、

Twitter 等）を利用する場合は、部局情報セキュリティ責任者は、利用するソーシ

ャルメディアサービス毎に責任者を定める。 4.3.2. 上記責任者は、本学のアカウントによる情報発信が実際の本学のものであると認識

できるようにするためのなりすまし対策及び「アカウント乗っ取り」の防止として、

全学実施基準第６０条の対策を行う。 4.3.3. 教職員等は、要安定情報の提供にソーシャルメディアサービスを用いる場合は、本

学が管理するウェブサイトにおいても当該情報をあわせて提供する。

8

5. 情報資産の格付け及び管理

5.1. 情報資産の格付け及び取り扱い制限の指定 5.1.1. 部局情報セキュリティ責任者は、部局内で作成される情報資産の格付けと取り扱い

制限の一覧を部局情報システム利用者に提示する（付表１．部局情報資産の格付け

及び取り扱い制限基準）。 5.1.2. 部局情報システム利用者は、部局内情報資産の格付け及び取り扱い制限一覧に従い、

情報資産の格付けと取り扱い制限を情報作成時に指定する。ただし、一時的に扱う

情報資産についてはこの限りではない。 5.1.3. 情報が「京都大学における法人文書の管理に関する規程（平成 12 年達示 12 号）」

第 3 条に規定する法人文書に該当する場合、京都大学情報格付け基準に加え、同規

程の定めるところによる。 5.1.4. 情報が「京都大学における個人情報の保護に関する規程（平成 1７年達示１号）」第

２条第 2 項に規定する法人文書に該当する場合、京都大学情報格付け基準に加え、

同規程の定めるところによる。 【参考】 ・京都大学情報格付け基準 ・京都大学情報の格付け及び取扱い手順書（標準版）

5.2. 要保護情報の取り扱い 5.2.1. 部局情報システム利用者は、格付け、取り扱い制限の設定の結果、要保護情報とし

て扱う必要のある情報資産が生じた場合、その情報資産の管理担当者（要保護情報

管理担当者）を指定し、その情報資産のセキュリティに関する要件を部局情報セキ

ュリティ責任者に届け出る。 (注)京都大学情報格付け基準では部局情報セキュリティ責任者が決定を行う場合と

教職員等が個々に決定を行う場合が示されている。本実施手順書では教職員等が

個々に決定を行う場合を想定している。 5.2.2. 部局情報セキュリティ責任者は届出の内容を確認し、要保護情報に関するセキュリ

ティ情報を部局要保護情報管理台帳に記載し、管理する。(様式２．部局要保護情報

管理台帳） 5.2.3. 部局要保護情報台帳の記載内容を変更あるいは削除を行う必要が生じた場合、当該

の要保護情報管理担当者は部局情報セキュリティ責任者に届け出る。 5.2.4. 部局情報システム利用者は、要保護情報と指定された情報資産に対し、その格付け

と取り扱い制限を明示すると共に、その内容に従う。 5.2.5. 部局要保護情報管理担当者は、届出を行った要保護情報に対するセキュリティ状態

を定期的に確認するとともに、必要に応じて見直しを行う。また部局情報セキュリ

ティ責任者はこれらの作業が適切になされていることを確認する。

5.3. 部局内情報資産の格付け及び取り扱い制限基準 5.3.1. 部局内情報資産の格付け及び取り扱い制限基準に対する作業は、部局情報セキュリ

ティ委員による審議を経て部局情報セキュリティ責任者が決定する。 （情報資産の格付け及び取り扱い制限一覧に対する作業例） ・新規項目の作成 ・格付けレベルの変更 ・利用制限の変更 ・項目からの削除

5.3.2. 部局情報セキュリティ責任者は、年１回を目処として、部局内情報資産の格付け及

び取り扱い制限基準の内容見直しを行う。

9

6. 情報セキュリティインシデントへの対応

6.1. 情報セキュリティインシデント 6.1.1. 情報セキュリティインシデントとは以下の事象をさす。

(1) 部局情報システムに対する不正アクセス行為（｢不正アクセス行為の禁止等に関

する法律｣（平成１１年法律第１２８号）第３条に規定する｢不正アクセス行為｣

をいう。）、又はこれに類する重大なセキュリティ侵害若しくはその可能性を認め

た場合。 (2) 要保護情報に対する機密性、完全性、可用性のいずれかが損なわれた、又はその

可能性が認められた場合。 (3) 全学規程、本手順書及び関連する部局規程において許可されない情報システムの

利用が認められた場合。 6.1.2. 次項以降の対応において、前号(2)の場合は要保護情報管理担当者が、前号(3)の場合

は当該情報システムの利用者が、部局情報システム技術担当者の手続きを行うこと。

6.2. 情報セキュリティインシデント発生時の対処手順 前項に定める情報セキュリティインシデントが生じた場合の対応は、以下の手順に従う。

プロセス 手続きを行う者 手続き (Ⅰ)情報システムに対

する情報セキュリテ

ィインシデントの発

生・発見

インシデント発見者 ・インシデント発見者は、部局情報セキュリティ連絡責任

者に情報セキュリティインシデントの発生を連絡する。

(Ⅱ)初動対応 部局情報セキュリティ

連絡責任者 ・部局情報セキュリティ連絡責任者は、インシデントの発

生について、部局情報システム技術担当者に通知する。

部局情報システム技術

担当者(不在の場合は、そ

れに代わるもの）

・通知を受けた部局情報システム技術担当者(技術担当者

不在の場合、それに代わるもの）は、インシデント発生

を確認する。また、当該インシデントが情報システムに

対する不正アクセスによるものであると判明した場合、

情報システム毎に定めた手順に従い、初動対応を実施す

る。 ・上記作業実施者は、インシデントの確認と初動対応の完

了を部局情報セキュリティ連絡責任者に報告する。

(Ⅲ)初動対応完了の連

絡 部局情報セキュリティ

連絡責任者

・部局連絡責任者は、部局情報セキュリティ責任者、部局

情報セキュリティ技術責任者、部局情報セキュリティ委

員会にインシデント発生と初動対応の完了を連絡する。 部局情報セキュリティ

責任者 ・部局情報セキュリティ責任者は、当該事案が不正アクセ

ス行為に該当すると認めた場合又はセキュリティ侵害

による影響が重大であった場合、部局情報セキュリティ

連絡責任者を介して速やかに情報セキュリティ危機管

理委員会に報告する。 (Ⅳ)措置の指示と実施 部局情報セキュリティ

委員会 ・部局情報セキュリティ委員会は、部局情報セキュリティ

技術責任者に適宜助言を行う。

部局情報セキュリティ

技術責任者 ・部局情報セキュリティ技術責任者は、部局情報システム

技術担当者に、侵害拡大の防止、証拠保全等の必要な措

置の指示をする。また、当該情報システムが要保護情報

を保持する場合、要保護情報管理担当者に対し、セキュ

リティ侵害の確認と安全確認を要請する。

部局情報システム技術

担当者

・部局情報システム技術担当者は、必要な措置を講じる。 ・部局情報システム技術担当者は、措置の完了を部局情報

セキュリティ委員会及び部局情報セキュリティ技術責

任者に報告する。

10

(Ⅴ)報告書の作成

部局情報システム技術

担当者 ・部局情報システム技術担当者は、確認された事案、再発

防止策等について不正アクセス等報告書を作成し、部局

情報セキュリティ責任者に報告する。 (Ⅵ)情報ネットワーク

危機管理委員会への

報告

部局情報セキュリティ

責任者 ・必要に応じて再発防止のための計画を策定し、企画・情

報部情報基盤課セキュリティ対策掛（全学連絡窓口）と

連絡を取り必要に応じて報告書を提出する。 (Ⅶ)記録等 部局情報セキュリティ

連絡責任者 ・部局情報セキュリティ連絡責任者は、本インシデントに

対して行ったすべての行動及び外部との連絡を含むす

べての対応の詳細を記録し、厳重に保管する。 情報セキュリティインシデント発生時の連絡体制

11

6.3. 緊急時対応の整備 6.3.1. 部局情報システムに対する緊急連絡網の整備

部局情報システム技術担当者は、担当する部局情報システムに対する情報セキュリ

ティインシデントの発生に備え、以下の内容について、緊急時対応を実施する可能

性のある部局情報システム利用者に周知する。 ・情報セキュリティ侵害発生時の初動対応 ・部局情報システム技術担当者への連絡方法 ・部局情報セキュリティ連絡責任者への連絡方法 ・当該情報システムが要保護情報を有する可能性がある場合、要保護情報管理担当

者への連絡方法（※部局情報セキュリティ連絡責任者を交えて情報共有を行うこ

とが望ましい） 用例３．情報セキュリティインシデント発生時の連絡先 用例４．不正アクセス発生時初動対応フロー

6.3.2. 要保護情報に対する緊急連絡網の整備 要保護情報管理担当者は、管理する要保護情報に対する情報セキュリティインシデ

ントの発生に備え、以下の内容について緊急時対応を実施する可能性のある部局情

報システム利用者に周知する。 ・情報セキュリティ侵害発生時の初動対応 ・要保護情報管理担当者への連絡方法 ・部局情報セキュリティ連絡責任者への連絡方法 ・管理する要保護情報を収めている部局情報システムの技術担当者への連絡方法

(※部局情報セキュリティ連絡責任者を交えて情報共有を行うことが望ましい）

6.4. 外部（マスコミ等）への対応 情報セキュリティインシデントに関して外部（マスコミ等）から問い合わせがあった場合

は、その場では対応せず、下記の広報事務担当に連絡する。 ・広報事務担当 経済学研究科・総務掛

ＴＥＬ ０７５－７５３－３４００ ＦＡＸ ０７５－７５３－３４９２

広報事務担当は、下記の企画・情報部広報課通知に基づいて対応をする。 ・平成２７年４月１６日付事務連絡「事件等による緊急の報道対応が必要になった場合

の連絡体制について」 ・平成２７年４月１６日付事務連絡「報道機関に情報発信する場合の流れ及び取材依頼・

質問等があった場合の流れの送付について」

12

7. セキュリティ向上のための措置

7.1. 説明会等による周知等 (1) 部局情報システム利用者は、対象となる情報環境機構実施の情報セキュリティ対

策の教育を受講する。 ・京都大学情報環境機構講習会

(2) 部局情報セキュリティ責任者は、対象とするすべての者に対して、情報セキュリ

ティポリシーの内容について啓発等を行う。 (3) 部局情報セキュリティ責任者は、情報資産の利用者からの情報セキュリティに関

する相談に応じる相談窓口を設置する。

7.2. 教育・研修等実施手順 部局情報セキュリティ責任者が独自で実施する教育・研修プログラムは、次のとおりとす

る。 (1) 新入教職員及び学生等を対象とした、情報セキュリティポリシーに関する研修を

設ける。 (2) 教育・研修プログラムは、部局情報セキュリティ委員会で承認されたものを使用

する。 (3) 定められた研修等を実施し、教職員及び学生等にポリシー及び実施手順の内容を

理解させ、情報セキュリティ上の問題が生じないようにしなければならない。 8. 無線 LAN アクセスポイントの設置

8.1. 目的 部局情報システムとして KUINS に接続する無線 LAN アクセスポイント（以下、「AP」という。)を設置する際は、「KUINS に接続する無線 LAN アクセスポイント設置のガイド

ライン（平成 24 年 2 月 8 日情報環境機構長裁定)」（以下、「ガイドライン」という。)に従

い、手続きを定める。

8.2. 設置要件 8.2.1. KUINS-II または KUINS-III への接続

AP を KUINS-II または KUINS-III に接続する場合、部局情報システム技術担当者

は AP の設置に関し、事前に当該サブネット連絡担当者または当該 VLAN 管理責任

者の同意を得ること（ガイドライン 4.3、4.4）。 8.2.2. 暗号化

AP とクライアント間は、WPA または WPA2 で AES による暗号化を使用すること

（WPA2-AES を推奨、ガイドライン 2.1、2.2、5.2)。 8.2.3. 認証キーの設定

AP とクライアント間の通信に用いる認証キー（パスフレーズ等)は、10 文字以上の

十分に予測困難なものを設定し、年１回以上変更すること。不特定の人物による利

用、及び不特定の機器の接続ができない措置を講じること（ガイドライン 2.1、2.2、5.3)。

8.2.4. 例外措置の承認 ガイドラインを満たさない AP を設置する場合、部局情報システム技術担当者は当

該 AP 設置について、事前に部局情報セキュリティ責任者の承認を得ること（ガイ

ドライン 6.1、6.2)。 8.2.5. 例外措置の情報セキュリティ実施責任者への報告

部局情報セキュリティ責任者は、8.2.4 に該当する AP の設置を承認した場合、その

内容を情報セキュリティ実施責任者に報告すること（ガイドライン 6.3)。 （様式５．KUINS に接続する無線 LAN アクセスポイント例外措置適用報告書）

13

8.3. AP 設置報告 8.3.1. AP 設置報告書の提出

部局情報システム技術担当者は、AP の設置に際し、その旨を部局情報セキュリテ

ィ技術責任者に報告すること。また、届け出た内容に変更が生じた場合、または当

該 AP を廃止した場合についても、これを報告すること（ガイドライン 4.1)。 （様式６．無線 LAN アクセスポイント設置報告書）

8.4. 保守と運用確認 8.4.1. AP 毎の保守、運用確認

部局情報システム技術担当者は、管理する AP に対して、認証キーの更新、ファー

ムウェアアップデート等のセキュリティ対策を継続的に実施すること（ガイドライ

ン 5.3、5.4)。 8.4.2. 運用保守状況の確認

部局情報セキュリティ技術責任者は、定期的に部局情報システム技術担当者に対し、

AP 設置報告の提出を求めるとともに、AP 運用状況を確認すること。 様式１．部局情報システム管理表 用例５． 無線 LAN アクセスポイントの設置報告について

9. 自己点検の実施 (1) 部局情報セキュリティ責任者は、教職員等の役割ごとの自己点検票及び自己点検の実施

手順書を整備し、教職員等に対して自己点検の実施を指示する。 （様式３．自己点検実施手順、様式４．自己点検票）

(2) 教職員等は、部局情報セキュリティ責任者から指示された自己点検票及び自己点検の実

施手順書を用いて自己点検を実施する。 (3) 教職員等は、自己点検の結果から改善を検討・実施する。 （自己点検の対象となるセキュリティ対策項目に含まれる内容）

・OS には最新のアップデートを適用すること ・ウィルス対策ソフトは、パターンファイルを最新版にすること ・部局情報システム技術担当者は、情報システムの情報セキュリティ対策の実施を確認

すること ・情報入手及び作成時には、格付け・取り扱い制限を明記すること

14

附則 本情報セキュリティポリシー実施手順書は、平成 23 年 12 月 8 日から施行する。 附則 本情報セキュリティポリシー実施手順書は、平成 24 年 9 月 6 日から施行する。 附則 本情報セキュリティポリシー実施手順書は、平成 29 年 2 月 15 日から施行する。

15

付記１．部局情報システムの指定及び部局情報システム技術担当者の

指名について 部局情報セキュリティポリシー実施手順書に定める部局情報システムとして、以下のものを

指定する。また、部局情報システムの管理、運用の担当者として、部局情報システム技術担

当者を指名する。 1. 要保護情報を取り扱う情報システム。情報システムの管理責任者を部局情報システム技

術担当者とする。 2. 経営管理研究部・経営管理教育部教職員が管理責任者となっている KUINS-II 接続機器、

また同機器に接続することで構成される情報システム。本実施手順書では KUINS-Ⅱ情

報システムといい、IP アドレス毎に指定する。管理責任者を部局情報システム技術担当

者とする。 3. 経営管理研究部・経営管理教育部教職員が管理責任者となっている KUINS-III VLAN、

また同 VLAN に接続することで構成される情報システム。本実施手順書では KUINS-Ⅲ情報システムといい、VLAN 管理番号毎に指定する。管理責任者を部局情報システム

技術担当者とする。 4. 上記システムにおいては、情報システムの規模、機能に応じて、複数の情報システムと

して指定することも可能とする。この場合、分割した情報システム毎に、部局情報シス

テム技術担当者を指名する。 5. 経営管理研究部・経営管理教育部教職員が管理責任者となっている情報環境機構の VM

ホスティングサービス、ホームページサービスを利用した情報システム。管理責任者を

部局情報システム技術担当者とする。 6. 上記以外において、部局情報セキュリティ責任者が指定した情報システム。情報システ

ム毎に部局情報システム技術担当者を指名する。

16

付記２．格付けに応じた部局情報システムのセキュリティ要件 部局情報システムにおいて、要保護情報を扱うための要件を以下に示す。より詳細な対策内

容については「京都大学情報セキュリティ実施規程」に従う。また下記に示される機密性、

完全性、可用性を定義するための原則は「京都大学情報格付け基準」による。 機密性 機密性 3 定義

部局情報システムで取り扱う情報のうち、秘密文書に相当する機密性を要する情報 要件 ・ 情報資産に対する、閲覧、複製、移動の操作の実施者を主体認証により制限できるこ

と。さらに、操作を実施した人物と日時が特定できること。 ・ 情報システムへの物理的アクセスは、制限されていること。また、盗難防止策が講じ

られていること。 ・ 情報資産を保管する媒体は、十分な強度の暗号化がなされること。 ・ 情報システムへのアクセスを行う通信路は限定されていること。あるいは、十分な強

度の暗号化がなされていること。 機密性 2 定義

部局情報システムで取り扱う情報のうち、秘密文書に相当する機密性は要しないが、そ

の漏えいにより利用者の権利が侵害され又は本学活動の遂行に支障を及ぼすおそれがある

情報 要件 ・ 必要に応じて情報資産に対する閲覧、複製、移動の操作の実施者を主体認証により制

限できること。 ・ 情報システムへの物理的アクセスは、制限されていること。また、盗難防止策が講じ

られていること。 ・ 情報システムへのアクセスを行う通信路は限定されていること。

機密性 1 定義

機密性２情報又は機密性３情報以外の情報 要件 ・ 特に指定しない

完全性 2 定義

本学情報システムで取り扱う情報（書面を除く。）のうち、改ざん、誤びゅう又は破損に

より、利用者の権利が侵害され又は本学活動の適確な遂行に支障（軽微なものを除く。）を

及ぼすおそれがある情報 要件 ・ 情報資産に対する、作成、更新など操作を実施した人物及び日時を特定できること。 ・ 情報資産に対する、意図しない情報の変更、欠落を検出できること。 ・ 情報資産に対する更新履歴が取得できること。

完全性 1 定義

17

完全性２情報以外の情報 要件 ・ 特に指定しない

可用性 2 定義

本学情報システムで取り扱う情報（書面を除く。）のうち、その滅失、紛失又は当該情報

が利用不可能であることにより、利用者の権利が侵害され又は本学活動の安定的な遂行に

支障（軽微なものを除く。）を及ぼすおそれがある情報をいう。 要件 ・ 情報資産に対する、移動、削除の操作の実施者を主体認証により制限できること。さ

らに、操作を実施した人物と日時が特定できること。 ・ 情報システムに対する、設定変更等の操作の実施者を、主体認証により制限できるこ

と。さらに、操作を実施した人物と日時が特定できること。 ・ 万が一情報資産が失われた場合、あるいは情報システムが利用不能となった場合、速

やかな回復が可能であること。 可用性 1 定義

可用性２情報以外の情報 要件 ・ 特に指定しない

18

付記３．経営管理研究部・経営管理教育部および経済学研究科・経済

学部共同管理・利用情報システムについて 経営管理研究部・経営管理教育部および経済学研究科・経済学部で共同管理・利用する情報

システムについては、それぞれの部局情報セキュリティポリシー実施手順書に定める部局情

報システムの中から、経営管理研究部・経営管理教育部情報セキュリティ委員会と経済学研

究科・経済学部情報セキュリティ委員会と協議の上決定し、共同管理・利用情報システム管

理表を作成し、稼動している共同管理・利用情報システムを把握する（様式 1（部局情報シ

ステム管理表）に共同管理を記載することで対応）。

部局情報セキュリティポリシー実施手順書に定める部局情報システムとして、以下のものを

指定する。また、部局情報システムの管理、運用の担当者として、部局情報システム技術担

当者を指定する。

19

付表１．部局情報資産の格付け及び取り扱い制限基準 電子化された情報を原本とする場合、本格付け一覧により格付けを行う。 大分類、細目については、各部局の実情に応じて決定する。

大分類

細目

大分類 分類名 格付け

取り扱い制限 (要保護情報については、京都大学格付け及び取り扱い手順書に基づき取り扱い制限を定めること。ここでは付加的な制限事項を示す)

備考

1 1 標準的な事務文書 要保護事務情報 機密性２情報 完全性１情報 可用性１情報

(「複製」、「配布」、「暗号化」、「転送」、「転記」、「再利用」、「送信」、「参照者の制限」に関する情報を指定)

職務を遂行する上で作成、維持する文書のうち、保管、複製等の操作に特別な制限を課す必要があると判断したもの

2 一般事務情報 機密性１情報 完全性１情報 可用性１情報

関係者のみ閲覧可 職務を遂行する上で作成、維持する文書で要保護情報に当たらないと判断したもの

2 1 事務連絡、マニュアル類

一般事務連絡、回覧文書 機密性１情報 完全性１情報 可用性１情報

関係者のみ閲覧可 電子メール、掲示板等による通知文書

2 事務定型書式 機密性１情報 完全性１情報 可用性１情報

関係者のみ閲覧可 申請書などを指す

3 学内教職員向け HP 掲載情報 機密性１情報 完全性１情報 可用性１情報

関係者のみ閲覧可

4 規程、ポリシー等 機密性１情報 完全性１情報 可用性１情報

関係者のみ閲覧可

3 1 会議資料 会議資料及び議事録 機密性２情報 完全性１情報 可用性１情報

2 特に機密を要する会議に関する資料および議事録

機密性３情報 完全性２情報 可用性２情報

4 1 認証情報に関わるもの

認証情報マスター 機密性２情報 完全性２情報 可用性２情報

作業記録の定期的な監査を行うこと

ユーザ ID とパスワードの組、及びこれに付随するユーザ情報より構成される表を指す

2 認証情報の通知に関する文書 機密性２情報 完全性１情報 可用性１情報

当該者に通知後、直ちに破棄すること。

20

大分類

細目

大分類 分類名 格付け

取り扱い制限 (要保護情報については、京都大学格付け及び取り扱い手順書に基づき取り扱い制限を定めること。ここでは付加的な制限事項を示す)

備考

5 1 入学試験に関するもの

作成中の入学試験問題に関する情報 機密性３情報 完全性２情報 可用性２情報

2 試験結果の集計に関する情報 機密性３情報 完全性２情報 可用性２情報

6 1 学生の試験、成績、指導に関するもの

実施前の試験問題に関する情報 機密性３情報 完全性２情報 可用性２情報

2 学生の成績、学生指導に関する情報 機密性２情報 完全性２情報 可用性２情報

3 学生の活動に関し、公開可能な情報 機密性１情報 完全性１情報 可用性１情報

関係者のみ閲覧可

7 1 教職員の個人情報、活動に関するもの

教職員に関する情報 機密性２情報 完全性２情報 可用性２情報

2 教職員の活動に関し、公開可能な情報 機密性１情報 完全性１情報 可用性１情報

関係者のみ閲覧可

8 1 監査結果 各種監査結果のうち、電子化されたもの 機密性２情報 完全性２情報 可用性２情報

9 1 他規程等によるもの 京都大学における法人文書の管理に関する規程（平成 12 年達示 12 号）第 3 条に規程する法人文書に該当する文書

左規程に従う 左規程に従う 左規程に従う

2 京都大学における個人情報の保護に関する規程（平成 1７年達示１号）第２条第 2項に規定する法人文書に該当する文書

左規程に従う 左規程に従う 左規程に従う

99 1 その他 その他の文書 文書の性質上、分類を明らかにできないものも含む

1

経営管理研究部・経営管理教育部

部局情報システム運用手順書 （KUINS-Ⅱ情報システム）

1. はじめに 本部局情報システム運用手順書（以下、「運用手順書」という。）は、経営管理研究部・

経営管理教育部情報セキュリティポリシー実施手順書（以下、「実施手順書」という。）3.4.で定める事項に基づき、実施手順書付記１．「部局情報システム、部局情報システム技術担

当者について」に定める KUINS-Ⅱ情報システムの運用手順について定める。 本運用手順書は京都大学情報セキュリティ対策基準（以下全学対策基準という）を基に

作成しており、各手順に対応する全学対策基準の条数を括弧書きで示す。 2. 管理体制の確保（第 10 条） 2.1 部局情報システム技術担当者（以下、「技術担当者」という。）単独ではなく、技術担当

者を含む複数の管理者で管理を行う場合は、管理情報の記録、共有方法を整備する。 2.2 2.1 の場合、技術担当者は他の管理者の役割、権限を管理する。 2.3 管理者グループのメールアドレスを作成し、利用者の問い合わせ先等に使用し、情報を

共有できるようにする。 2.4 管理者用のユーザ ID およびパスワードは、管理者間でのみ共有するよう、厳密に管理

する。以下は実施例である。 例１．アクセス権限を限定したフォルダに、暗号化して保存する。 例２．印刷した文書を金庫等に保管する。

3. 連絡網の整備（第 6 条） 3.1 実施手順書 6.2.の対処手順に従い、技術担当者の連絡先、及び技術担当者の不在時の連

絡先として部局情報セキュリティ連絡責任者の連絡先を利用者に周知する。 4. 規定及び文書の整備（第 22 条、第 37 条、第 43 条、第 45 条） 4.1 複数の情報機器を KUINS-Ⅱ情報システムに接続する場合、技術担当者は、情報機器お

よび情報機器の利用者等を特定するため、接続機器一覧表を作成する。 4.2 技術担当者は、情報機器もしくは利用者を変更した場合には、当該変更の内容を接続機

器一覧表へ反映するものとする。また、当該変更の記録として、変更前後の接続機器一

覧表を保存するものとする。

用例１

2

5. 安全区域（第 21 条） 5.1 サーバ装置等を設置した安全区域には、技術担当者のみがアクセスできるよう施錠する。 5.2 安全区域内での機器の設置、撤去等の作業は技術担当者が行う。技術担当者以外の者が

実施する場合は、技術担当者の立会いのもと実施する。 6. ソフトウェアアップデートの実施（第 17 条、第 43 条） 6.1 ソフトウェアの自動アップデート機能が利用できるならば、原則としてこれを利用する。 6.2 必要に応じて、セキュリティアップデートに関する実施記録を作成、保管する。 6.3 情報環境機構および学外のセキュリティ調査機関が発表するセキュリティ関連情報を

確認し、利用者に周知する。 7. 不正プログラム・標的型攻撃対策（第 18 条、第 20 条、第 35 条、第 44 条） 7.1 サーバ装置に、ウイルス対策、rootkit 対策、侵入検知機能などを、必要に応じて導入

する。 7.2 上記機能を導入した場合、その機能が維持されていることを定期的に確認する。 8. サービス不能攻撃対策（第 19 条） 8.1 本部局情報システムが提供するサービスを決定する。 8.2 8.1 の提供サービス以外の不要なサービスを停止する。 8.3 ファイアウォール機能により、サービスを利用するためのネットワークアクセス方法を

制限する。 8.4 上記の設定が有効であることを、本システム外から定期的に確認する。 9. 脆弱性診断（第 36 条） 9.1 情報環境機構が提供する脆弱性診断システムを利用し、定期的に（最低年１回）脆弱性

診断を行う。なお、脆弱性診断は部局情報セキュリティ責任者の指示に基づき実施する

こと。（第 7 条第 1 項第 4 号の禁止事項参照） 10. 主体認証と権限管理（第 23 条、第 77 条） 10.1 サーバ装置には原則として主体認証を導入する。 10.2 アカウント発行(サーバ装置の利用を許可)する対象を取り決める。 10.3 アカウント発行、停止、消去の記録を作成し、保存する。 10.4 必要ならばアカウント名の生成方法について取り決めを行う。

例１．利用者アカウント名は、利用者自身の{SPS-ID,ECS-ID}を登録する。 例２．LDAP、AD 等により集中管理している場合はそこに登録されている情報を利用

する。

3

10.5 アカウント毎に適切な権限を設定する。 10.6 不要なアカウントは削除する。 10.7 パスワードは、京都大学全学情報システム利用者パスワードガイドラインに従っ

て作成し、適切に管理するよう、定期的に利用者に周知する。 10.8 共用アカウントは、部局情報セキュリティ技術責任者が必要と判断した場合のみ、

使用できる。共用アカウントを使用する場合、パスワードの設定と定期的な変更、共有

アカウントを利用できる利用者を特定するための文書を作成する。 10.9 主体認証が導入できない場合、別途サーバ装置の使用記録を取る。利用者の構成

に変更が生じた場合、直ちにパスワードを変更する等の対策を行う。 11. 無線 LAN 接続（第 31 条） 11.1 無線 LAN アクセスポイントを接続する場合、実施手順書「8.無線 LAN アクセス

ポイントの設置」に従い、手続きを行う。 12. 端末の対策（第 24 条、第 41 条） 12.1 原則として、京都大学全学情報システム利用規則で利用が禁じられているソフト

ウェアを利用しないよう、利用者に周知する。 12.2 インストールするソフトウェアは、ダウンロードするサイトの URL、ソフトウェ

ア署名等、入手元の正当性を確認するよう、利用者に周知する。 12.3 セキュリティサポートが受けられないソフトウェアの利用は極力控え、やむを得

ず使用する場合は技術担当者の許可を得るよう、利用者に周知する。 12.4 情報環境機構が推奨するソフトウェアライセンス管理支援システムを利用し、端

末にインストールされているソフトウェアを確認する。 12.5 確認の結果、不適切なソフトウェアを発見した場合は、アンインストール等を行

う。 12.6 必要に応じて、サーバ装置に接続する端末を限定する。 12.7 持ち出しが許可されたモバイル端末を学外で使用する場合も、6.～10.のセキュリ

ティ対策を行うことを、利用者に通知する。 13. サーバ装置の対策（第 25 条、第 40 条、第 47 条） 13.1 サーバ装置との通信には、必要に応じ SSL、SSH 等の暗号化通信を利用する。 13.2 SSH 接続による通信を実施する場合、以下の点について検討、対策を行う。

（１）パスワード認証及び公開鍵認証の採用について検討し、適切に設定されている

ことを確認する。 （２）利用を認めるユーザアカウントの制限について検討し、適切に設定されている

ことを確認する。特に root アカウントでの接続は推奨されない。 13.3 SSL 証明書を導入する場合、SSL 証明書の有効期限を確認する。また、有効期限

4

が切れる前に SSL 証明書継続の要否を検討し、継続する場合は更新する。 13.4 必要に応じて、各種サービスに対する利用記録をログファイルとして記録、監査

する手続きを整備する。 13.5 必要に応じて、異常時に警告を発するなど、管理者が現在のシステム運用状況を

適切に把握できるようにする。 13.6 情報システムに格納されている情報の重要度に応じて、適切なバックアップを実

施する。またバックアップされた情報が、適切に保管されていること、バックアップか

らのデータの復元が可能であることを確認する。 14. 特定用途機器の対策（第 27 条） 14.1 技術的に可能な限り、サーバ装置と同様の対策を行う。 15. 電子メールの対策（第 32 条、第 52 条） 15.1 SMTP サーバを使用する場合、以下の点の対策を実施する。情報環境機構が提供

する SMTP サーバの利用を検討する。 （１）メールを送信するクライアントとの通信は原則として、SSL 通信で保護された

プロトコル(smtps 等)を使用する。 （２）必要に応じクライアントとの接続には主体認証機能を導入する。 （３）第 3 者中継対策を行う。 （４）spam メールを転送しないよう、適切に設定されていることを確認する。情報環

境機構が提供する spam フィルタでのメールの送受信を検討する。 （５）なり済ましメール対策の為、送信者認証機能を導入する。特に Sender Policy Framework (SPF)の導入を推奨する。

15.2 メール受信サーバの利用については、原則として、SSL 通信で保護されたプロト

コル(pop3s, imap4s)を利用する。 16. ウェブサーバの対策（第 33 条） 16.1 ウェブサーバを利用する場合、CMS ソフトウェア（WordPress 等）や、ウェブサ

ーバの設定(.htaccess 等)により、以下の対策を実施する。 ・コンテンツに応じて、ユーザー認証、接続元等による接続制限を実施する。 ・CMS において、記事の編集権限、編集が可能な端末を適切に設定する。 ・盗聴防止またはサーバ真正性確認の観点より、コンテンツに応じて https での通信を

導入する。

5

17. セキュリティ対策が不十分な機器接続の禁止（第 42 条） 17.1 原則として、サポートが終了したソフトウェアを使用している等、セキュリティ

の確保が困難な機器を接続しない。 18. 時刻同期（第 47 条） 18.1 接 続 機 器 の 時 刻 を NTP サ ー バ と 同 期 す る 。 KUINS- Ⅱ の 場 合 、

「ntp.kuins.kyoto-u.ac.jp」を指定する。 19. 廃止、移行時における情報の消去（第 49 条） 19.1 保存する重要度により情報を保存している媒体の処理方法を定める。 19.2 機密度 3 の情報を収めた媒体については、原則転用せず、物理的あるいは電磁的

破壊を実施する。必要であれば、廃棄証明が得られる業者を利用する。 19.3 機密度 2 以下の情報を収めた媒体についても、再利用は望ましくない。やむを得

ず転用する場合、消去専用ソフトウェアによる消去を実施する。 20. バックアップ（第 67 条、第 70 条） 20.1 情報システムに格納されている情報の重要度に応じて、適切なバックアップを実

施する。またバックアップされた情報が、適切に保管されていること、バックアップか

らのデータの復元が可能であることを確認する。 21. 証跡の取得と保存（第 85 条、第 86 条） 21.1 要保護情報の取り扱い制限により、アクセス記録の保持、監査が求められる情報

があれば、これに関係するログを取得、保存する。 22. 本学支給以外の端末（第 100 条） 22.1 本学支給以外の端末（いわゆる BYOD 端末を含む）を KUINS-Ⅱに接続する場合、

接続する端末を確認する。要保護情報を処理する場合は、接続機器一覧表に利用終了日

（接続終了日）を必ず記入する。 22.2 6.～10.および 12.のセキュリティ対策が行われていることを確認する。 22.3 利用者に対し、KUINS-Ⅱ接続時は、本学の研究、教育あるいは業務等の利用に限

ること、及び私的な目的での利用は避けることを確認し、適切に運用されると判断した

場合は、接続を許可する。 22.4 要保護情報を処理する場合は、終了の報告を行うよう、利用者に指示する。利用

終了日までに報告が無い場合は、利用者に状況を確認する。

1

経営管理研究部・経営管理教育部

部局情報システム運用手順書 （KUINS-Ⅲ情報システム）

1. はじめに 本部局情報システム運用手順書（以下、「運用手順書」という。）は、経営管理研究部・

経営管理教育部情報セキュリティポリシー実施手順書（以下、「実施手順書」という。）3.4.で定める事項に基づき、実施手順書付記１．「部局情報システム、部局情報システム技術担

当者について」に定める KUINS-Ⅲ情報システムの運用手順について定める。 本運用手順書は京都大学情報セキュリティ対策基準（以下全学対策基準という）を基に

作成しており、各手順に対応する全学対策基準の条数を括弧書きで示す。 2. 管理体制の確保（第 10 条） 2.1 技術担当者単独ではなく、部局情報システム技術担当者（以下、「技術担当者」という。）

を含む複数の管理者で管理を行う場合は、管理情報の記録、共有方法を整備する。 2.2 2.1 の場合、技術担当者は他の 管理者の役割、権限を管理する。 2.3 管理者グループのメールアドレスを作成し、利用者の問い合わせ先等に使用し、情報を

共有できるようにする。 2.4 管理者用のユーザ ID およびパスワードは、管理者間でのみ共有するよう、厳密に管理

する。以下は実施例である。 例１．アクセス権限を限定したフォルダに、暗号化して保存する。 例２．印刷した文書を金庫等に保管する。

3. 連絡網の整備（第 6 条） 3.1 実施手順書 6.2.の対処手順に従い、インシデント発見時の連絡先として部局情報システ

ム技術担当者（以下、「技術担当者」という。）の連絡先、及び技術担当者の不在時の連

絡先として部局情報セキュリティ連絡責任者の連絡先を利用者に周知する。

用例２

2

4. 規定及び文書の整備（第 22 条、第 37 条、第 43 条、第 45 条） 4.1 技術担当者は、KUINS-Ⅲに接続する情報機器および情報機器の利用者等を特定するた

め、接続機器一覧表を作成する。 4.2 技術担当者は、情報機器もしくは利用者を変更した場合には、当該変更の内容を接続機

器一覧表へ反映するものとする。また、当該変更の記録として、変更前後の接続機器一

覧表を保存するものとする。 5. 安全区域（第 21 条） 5.1 要保護情報を取り扱う場合は、端末を安全区域に設置する。 5.2 モバイル端末については、要保護情報の取り扱い等について確認を行い、持ち出しの可

否を利用者に通知する。 5.3 機器を持ち出しする場合、事前に技術担当者に申し出て許可を得る必要があることを、

利用者に周知する。 5.4 安全区域は施錠する。 5.5 要保護情報を取り扱う等、特にセキュリティ対策が必要な機器については、セキュリテ

ィワイヤーの取り付け等の物理的セキュリティ対策を行う。 6. ソフトウェアアップデートの実施（第 17 条、第 43 条） 6.1 ソフトウェアの自動アップデート機能が利用できるならば、原則としてこれを利用する。 6.2 OS および代表的なソフトウェア(Office、ウイルス対策ソフトウェア等)については、ソ

フトウェアアップデート状況を確認するための方法をまとめ、利用者に周知する。 6.3 必要に応じて、セキュリティアップデートに関する実施記録を作成、保管する。 6.4 情報環境機構および学外のセキュリティ調査機関が発表するセキュリティ関連情報を

確認し、利用者に周知する。 7. ウイルス対策ソフトウェアの導入（第 18 条） 7.1 端末に対し、ウイルス対策ソフトウェアを導入する。 7.2 利用者がウイルス対策ソフトウェアの機能を維持していることを定期的に確認する。 8. 主体認証と権限管理（第 23 条、第 77 条） 8.1 端末には原則として主体認証を導入する。 8.2 アカウント発行(端末の利用を許可)する対象を取り決める。 8.3 アカウント発行、停止、消去の記録を作成し、保存する。 8.4 必要ならばアカウント名の生成方法について取り決めを行う。

例１．端末の利用者アカウント名は、利用者自身の{SPS-ID,ECS-ID}を登録する。 例２．LDAP、AD 等により集中管理している場合はそこに登録されている情報を利用

する。

3

8.5 アカウント毎に適切な権限を設定する。 8.6 不要なアカウントは削除する。 8.7 パスワードは、京都大学全学情報システム利用者パスワードガイドラインに従って作成

し、適切に管理するよう、定期的に利用者に周知する。 8.8 共用アカウントは、部局情報セキュリティ技術責任者が必要と判断した場合のみ、使用

できる。共有アカウントを使用する場合、パスワードの設定と定期的な変更、共有アカ

ウントを利用できる利用者を特定するための文書を作成する。 9. アクセス制御（第 73 条） 9.1 取り扱う情報の格付けに応じて、一定時間操作を行わない場合のロック等の設定を行う。 9.2 モバイル端末を学外で使用する場合は、万が一紛失した時に備え、リモート・ワイプの

設定を行う。 10. 無線 LAN 接続（第 31 条） 10.1 無線 LAN アクセスポイントを接続する場合、実施手順書「8.無線 LAN アクセス

ポイントの設置」に従い、手続きを行う。 11. 端末の対策（第 24 条、第 41 条） 11.1 原則として、京都大学全学情報システム利用規則で利用が禁じられているソフト

ウェアを利用しないよう、利用者に周知する。 11.2 インストールするソフトウェアは、ダウンロードするサイトの URL、ソフトウェ

ア署名等、入手元の正当性を確認するよう、利用者に周知する。 11.3 セキュリティサポートが受けられないソフトウェアの利用は極力控え、やむを得

ず使用する場合は技術担当者の許可を得るよう、利用者に周知する。 11.4 情報環境機構が推奨するソフトウェアライセンス管理支援システムを利用し、端

末にインストールされているソフトウェアを確認する。 11.5 確認の結果、不適切なソフトウェアを発見した場合は、アンインストール等を行

う。 11.6 持ち出しが許可されたモバイル端末を学外で使用する場合も、6.～9.のセキュリテ

ィ対策を行うことを、利用者に通知する。 12. 複合機の対策（第 26 条） 12.1 複合機をメーカー保守等のために KUINS-Ⅲに接続する場合は、不要な情報を送

信しないよう、適切な設定を行う。 13. 通信回線の対策（第 29 条、第 48 条） 13.1 VLAN 間通信を行う場合は、通信先 VLAN が適切に運用されていることを管理責

4

任者に確認したうえで、KUINS 接続機器登録データベースに登録する。 13.2 管理部署等のグループ化により通信回線を分離すべき場合は、VLAN を分割し、

個別の KUINS-Ⅲ情報システムとして管理する。 14. PPTP 固定 VLAN 接続（第 31 条） 14.1 利用者が PPTP 固定 VLAN 接続を希望する場合、学内外からの接続に関わらず、

接続する端末を確認する。 14.2 6.～9.および 11.のセキュリティ対策が行われていることを確認し、問題が無けれ

ば利用者の SPS-ID・ECS-ID を KUINS 接続機器登録データベースに登録する。 15. サポート終了ソフトウェアの使用（第 42 条） 15.1 サポートが終了したソフトウェアをやむを得ず使用する等、セキュリティの確保

が困難な機器を使用する場合、以下の対策を検討する。 1. ネットワークから切断し、個別の情報システムとして取り扱う。データ転送が必要

な場合は、外部電磁的記録媒体などを経由する。この場合、当該媒体の使用前後にお

いて、ウイルススキャンなどを実施する。 2. 当該機器をファイアウォールにより隔離されたネットワークを経由し、接続する。

ファイアウォールにより許可する通信は可能な限り限定する。 16. 時刻同期（第 47 条） 16.1 端末の時刻を NTP サーバと同期する。KUINS-Ⅲの場合、「ntp.kuins.net」を指

定する。 17. 廃止、移行時における情報の消去（第 49 条） 17.1 保存されている情報の重要度に応じて、媒体の処理方法を定める。 17.2 機密性 3 の情報を収めた媒体については、原則転用せず、物理的あるいは電磁的

破壊を実施する。必要であれば、廃棄証明が得られる業者を利用する。 17.3 機密性 2 以下の情報を収めた媒体についても、再利用は望ましくない。やむを得

ず転用する場合、消去専用ソフトウェアによる消去を実施する。 18. バックアップ（第 67 条、第 70 条） 18.1 技術担当者は、本部局情報システムに保存されている情報の格付けに応じて定期

的にバックアップを取得する。 18.2 バックアップが必要な場合、バックアップ対象に応じて、実施頻度等を決定する。

例１．要保護情報を保存している NAS 等のファイルサーバの場合、毎週○曜日○時に

バッチ処理で自動的にバックアップする。災害等への対策を検討し、同時被災等をし

ない保存先を選ぶ。

5

例２．要保護情報を保存している端末の場合、利用者が○○フォルダを毎週○曜日に

外付け HDD にコピーする。コピーを入れた外付け HDD は安全区域内の金庫等施錠で

きる場所に保存する。 19. 証跡の取得と保存（第 85 条、第 86 条） 19.1 要保護情報の取り扱い制限により、アクセス記録の保持、監査が求められる情報

があれば、これに関係するログを取得、保存する。 20. 本学支給以外の端末（第 100 条） 20.1 本学支給以外の端末（いわゆる BYOD 端末を含む）を KUINS-Ⅲに接続する場合、

接続する端末を確認する。要保護情報を処理する場合は、接続機器一覧表に利用終了日

（接続終了日）を必ず記入する。 20.2 6.～9.および 11.のセキュリティ対策が行われていることを確認する。 20.3 利用者に対し、KUINS-Ⅲ接続時は、本学の研究、教育あるいは業務等の利用に限

ること、及び私的な目的での利用は避けることを確認し、適切に運用されると判断した

場合は、接続を許可する。 20.4 要保護情報を処理する場合は、終了の報告を行うよう、利用者に指示する。利用

終了日までに報告が無い場合は、利用者に状況を確認する。

経営管理研究部・経営管理教育部

情報セキュリティインシデント発生時の連絡先

が生じた場合、下記担当まで連絡し、指示を受けること。

連絡先 経済学研究科情報セキュリティ連絡責任者 総務掛・中西 賢 TEL: 075-753-3400 FAX: 075-753-3492

参考資料: 京都大学情報セキュリティ関連規程等 http://www.iimc.kyoto-u.ac.jp/ja/services/ismo/use/regulation.html

・ サーバー機器への不正アクセスによる、情報漏洩、改ざん等の被害

・ 研究室、事務室内の情報機器に対するコンピュータウイルスの感染

・ 要保護情報(京都大学情報セキュリティ対策基準に定めるもの)を収

めた記憶媒体等の紛失

・ その他経営管理研究部・経営管理教育部内の情報セキュリティに関

する事案

用例３

平成 年 月 日 経営管理研究部・経営管理教育部

不正アクセス発生時初動対応フロー

コンピュータウイルス感染やサーバー乗っ取り等の不正アクセスが発生した場合、下記

の手順に従い初期対応を行うこと。 利用、運用している情報システム ＜様式１参照＞

初動対応フロー 1. 不正アクセスの発生、検出 ↓ 2. 部局情報システム技術担当者へ通知(発見者、部局連絡責任者、企画・情報部

情報基盤課セキュリティ対策掛より) ↓ 3. 部局情報システム技術担当者(技術担当者不在の場合、通知を受けたもの)による初動対応

不正アクセス発生時初期対応手順を実施する 部局情報システム技術担当者が不在の場合でも実施する最低限の内容を記載。別

途マニュアルがある場合は、参照ページ等を記載してもよい。 (例) 1. ○○研究室 PC 一覧リストから当該機器を特定する 2. 当該機器が LAN 接続されている場合、LAN ケーブルを取り外す 3. 管理責任者に連絡する

↓ 4. 初動対応の終了

初動対応の終了を部局連絡責任者に報告する。 経済学研究科情報セキュリティ連絡責任者 総務掛・中西 賢

TEL 075-753-3400 E-mailnakanishi.ken.6v@kyoto-u.ac.jp

この後、部局情報システム技術担当者は、部局連絡責任者の指示により、 不正アクセス発生の原因、被害調査 情報機器の回復作業 再発防止策の検討、実施 不正アクセス報告書の作成と提出

を行う。

用例４

平成 年 月 日

経営管理大学院情報セキュリティ技術責任者

無線 LAN アクセスポイントの設置報告について

2012 年 2 月に情報環境機構により「KUINS に接続する無線 LAN アクセスポイント設置

のガイドライン」（以下、「ガイドライン」という）が制定されました。このガイドライン

に沿った形で、経営管理研究部・経営管理教育部の研究室等において無線 LAN アクセスポ

イント（以下、「AP」という。）を設置する際の手続きを以下のように定めます。ご理解と

ご協力の程宜しくお願い申し上げます。 1 対象について 経営管理大学院教職員が管理責任者となっている KUINS-II、あるいは KUINS-III に AP

を接続する場合に適用されます。AP が NAT 機能を持ったルーター等を介し、間接的に

KUINS-II、KUINS-III に接続する場合も対象となります。 ポケットルーター、スマートフォン等を用いて、教職員、学生が個別に契約している通信

回線（KUINS に接続していないもの）を利用する場合は対象外です。 2 AP 設置報告書の提出について

AP を設置する場合は、情報セキュリティポリシー実施手順書様式６．AP 設置報告書（新

規・変更・撤去）を提出してください。 2.1 AP 設置報告書に関する主な注意事項

(1) AP 設置報告書は、原則として、以下の者より提出してください。 ・AP を KUINS-II に接続する場合、そのホストの管理責任者。さらに、この場

合 AP の設置について当該 KUINS-II のサブネット連絡担当者の同意を事前に

得てください。 ・AP を KUINS-III に接続する場合、その VLAN 管理責任者。

(2) アクセスポイントには、固定 IP アドレスを割り振るようにしてください。 (3) AP とクライアント間は、WPA または WPA2 で AES による暗号化を使用してく

ださい。また、10 文字以上の十分に予測困難なパスフレーズを設定(または適切な

無線 LAN 利用者認証サーバーを設置)し、当該 AP を利用できるものを限定する措

置を講じてください。 2.2 ガイドラインに沿った措置ができない場合は、事前に部局情報セキュリティ責任者に

ご相談ください。部局情報セキュリティ責任者の判断により接続の可否を決定いたし

ます。

用例５

3 提出された設置報告書の取り扱いについて

提出された AP 設置報告書の一覧は、部局情報セキュリティ技術責任者が管理し、部局

における情報セキュリティ対策、セキュリティインシデント対応の資料として利用し

ます。 4 参考資料

・KUINSに接続する無線LAN設置のガイドライン（平成24年2月8日情報環境機構長裁

定） ・無線LANの利用に関するQ＆A集

http://www.iimc.kyoto-u.ac.jp/ja/services/ismo/use/regulation.html#itsystem-use