1. 現在の状況 最近、岩手大学でも情報システムに関するセキュリティ問題が多発している。岩手大学 の構成員が加害者になっている場合も多く、対外的な責任問題にも発展している。例え ば、平成11年2月には、共同記者会見を行うなどの事態に発展した。一方、国家レベ ルでの取り組みとしては、資料1のようなものがある。また最近、「不正アクセス対策 法(正式名称:不正アクセス行為の禁止等に関する法律)」が成立した。この法律だけ では、まだ全てのインターネットにおける不正行為を取り締まることはできないが、こ れを機にさらに法律による規制の動きが活発化してくるであろう。他の大学においても、 セキュリティを扱うための委員会が発足されるなど、様々な取り組みがなされ始めてい る(資料2参考)。特に最近、東北地方のある大学では、セキュリティ対策が遅れてい ることを理由に、新聞で問題にされた。こういったことから、現在、岩手大学において も早急にセキュリティ問題に対する組織作りや対策が急務である。また、成案となるセ キュリティ対策は、今後の急速な技術的進歩に追従可能な、柔軟性を持ったものでなけ ればならない。 特に重要な問題点としてあげられるのは、 ・ セキュリティ問題が起こった際の責任者が明確でない。誰が責任者で、誰が対策を考えるかを明確にし、組織作りをする必要がある。 ・ 情報処理センターなどで、セキュリティ上の問題を指摘しても、強制力が無いため対策にならない。 ・ 危機的状況に陥ったときの危機管理体制が無い。 といったことがらである。責任者等を明確にする意味で、サーバ機の登録制度を基本と した対策を講じたい。 ここで「セキュリティ」とは、コンピュータネットワークやコンピュータ等の情報シ ステムに関わる機密性、保全性及び可用性を確保することを意味する。ただし、ここ では人為的な活動によるセキュリティ問題のみを扱うことにし、自然災害等について は対象外とする。 セキュリティ対策の概要 (1)組織作り、(2)規則作り、(3)連絡体制作り、(4)技術的対策、 (5)学内ユーザの啓蒙・教育が必要である。以下に各項目について詳細に述べる。 (1)組織 「情報システム安全対策指針」を参考にすると、セキュリティ対策委員会、セキュリテ ィ監査委員会、危機管理委員会の3つが必要である。しかし、岩手大学では委員会の数を 増やさないという方針があるので、現在の委員会組織を持って役割分担する。 (ア) 情報システム委員会 ・ 全学のセキュリティ対策の方針決定、そのための人や予算の確保 ・ 問題が生じた際には、専門委員会において審議する。 (イ) サーバのシステム管理者(サーバの届出の際に登録した者) ・ 情報システム委員会での決定に基づき、日常的なセキュリティに関する実務にあたる。 ・ 危機発生時には、情報処理センターと協力して実務にあたる。 (ウ) 情報処理センター運営委員会 ・ 情報処理センターからセキュリティに関する実情の報告を受けるとともに、対策等をセキュリティWGにおいて審議する。 ・ 講習会などは、教育広報WGが立案する。 (エ) 情報処理センター ・ セキュリティに関する実情を調査するとともに、資料を保存・管理する。情報処理センター運営委員会のセキュリティWG(ワーキンググループ)に実情を報告し、問題点を指摘する。 ・ 危機発生時には、情報処理センター長を中心にし、システム管理者と協力して実務にあたる。 ・ セキュリティ情報の切り分けを行い、効率的な情報交換を支援する。 ・ その他、必要に応じて支援を行う。 (オ) 情報処理センター専門委員会 ・ 情報処理センターの担当するセキュリティ対策に関して、実務上の審議が必要な場合は、情報処理センター専門委員会セキュリティ担当が審議し、運営委員会の承認を得て実行する。 (2)規則 ネットワークや計算機の不正利用時の、利用制限のための規則作りを行う必要がある。 (ア)セキュリティ上必要と認められた場合には、問題となっているユーザに関して、以下の対応を行えるように規則を作成することが必要である。 ・ 情報処理センター長の判断で、一時的にサーバ等への登録を停止する。 ・ 情報システム委員会委員長の判断で、一定期間サーバ等への登録を停止する。 (イ) セキュリティ上必要と認められた場合には、問題となっている計算機等に関して、以下の対応を行えるように規則を作成することが必要である。 ・ 情報処理センター長の判断で、一時的な運用の停止、あるいはルータによるパケットの除去を行う。 ・ 情報システム委員会委員長の判断で、一定期間の運用の停止、あるいはルータによるパケットの除去を行う。 (ウ)その他、本セキュリティ対策の実行上必要な規則。 (3)連絡体制 迅速かつ人手のいらない情報交換が必要である。そのためには、電子メール及びメーリ ングリストを活用するのが現時点では最善である。必要に応じて、ホームページも活用 する。以下に、具体的な案を示す。 ・ 「日常の連絡体制」と「危機発生時の連絡体制」とを別に定める必要がある。情報を流す際には、緊急の情報であるか一般情報であるかを明確にする。 ・ 「日常の連絡体制」は、セキュリティ・ホールに関する情報や、アタック情報、講習会情報などの交換を行うために必要である。 ・ 「危機発生時の連絡体制」は、危機発生時の早急な現状把握、対策を行うための情報交換に必要である。 ・ 連絡の際に不要な情報が氾濫するのを防ぐためには、間に情報処理センターを介在させ、情報分析・切り分けを行い、そこから先の情報の流れを制御する必要がある。 ・ 情報処理センターでは、運用責任者及びシステム管理者を全て登録したメーリングリストを作成し、セキュリティ情報の配布と相互連絡に利用する。 実際の連絡体制の案については、資料7を参照のこと。 (4)技術的な対策 (ステップ1)当面の対策 ・ 工学部情報工学科と情報処理センターが協力して、ファイアウォールを設定する。ただし、ファイアウォールのみでは、不正行為を防ぐことはできないことに注意。 ・ 学内ユーザ向けのセキュリティ対策の手引きを発行する。情報処理センター報告シグマをセキュリティ対策特集号とし、これにあてる。 ・ サーバの届出制を実施することにより、責任の範囲を明確にし、セキュリティ対策の対象となる計算機等を特定する。これにより、サーバ毎にシステム管理者と運用責任者を決める。 ・ 情報処理センターで、ゲートウェイにおけるフィルタリングを行う。 ・ ネットワークに接続し得る計算機上に、クラッキング・ツールを置いているユーザを発見した場合は、これに対して注意を行う。従わない場合には、サーバ等への登録の停止を行う。理由があって、クラッキング・ツールを所持しなければならない場合は、事前に情報処理センターに届け出ることとする。 ・ ソーシャル・エンジニアリング対策:パスワードを忘れた時は、本人の持参した身分証明書などにより、本人と確認した上で、再交付を行うこと。 ・情報処理センターで、模擬攻撃サービスを実施し、セキュリティ上危険な計算機等に対する警告を行う。 ・ セキュリティ対策のための機器を今回の新コンピュータシステムの仕様に盛り込む。 (ステップ2)予算確保後の対策 ・ 学外からの攻撃のみならず、学内からの攻撃をも検知するような装置を購入するのが最良である。 ・ ステップ1での措置を継続するかどうか、見直しを行う。 (5)学内ユーザの啓蒙・教育 学内ユーザに対する啓蒙活動は、最も重要な活動の一つである。ネットワークや計算機 に無関心な人は、学内での潜在的なセキュリティ・ホールであることを認識しなければ ならない。また、巷にあふれているクラッカー情報が、学内ユーザをクラッカー予備軍 に変える可能性があることにも注意すべきである。 ・ 学内ユーザが、ネットワークを使い始める前に、セキュリティに関する知識を持 つように啓蒙活動を行うべきである。現在行っているネットワーク実習講習会の他、様々 な活動により、ユーザの意識を高める必要がある。また、平成12年度から全学共通教育 として実施する情報処理科目の中に、セキュリティに関する内容を盛り込む。 サーバ機の届出制について サーバ機運用には責任が伴う。サーバ毎に運用責任者と、実務に当たるシステム管理者 を明確にする目的で、サーバ機の届出制を実施する。ネットワーク全体のセキュリティ 対策は全学として行うが、個々のサーバのセキュリティ対策は、原則として、個々のサ ーバの運用責任者及びシステム管理者が行うこと。情報処理センターでは、届け出られ た情報を元に実情調査を実施すること。 1.サーバとは、コンピュータネットワークにおいて、クライアントに対してなんらかの サービスを行うものである。サーバを岩手大学学内LANにおいて運用する場合は、情 報システム委員会(窓口は情報処理センター)に届け出なければならない。既に運用を 開始しているサーバと、新規に運用を開始するサーバの双方を含むものとする。届出の 内容は、 (1) サーバのドメイン名及びIPアドレス (2) 運用責任者名(所属・氏名・電話番号・電子メールアドレス) 運用責任者は、岩手大学の教職員とする。 (3) システム管理者名(所属・氏名・電話番号・電子メールアドレス) 岩手大学の教職員の他、学生も可。 (4) 運用するサービス名 (5) 運用開始年月日 (6) 情報処理システム委員会及び情報処理センターの指示に従うとの誓約への署名 とし、届出事項に変更が生じた場合には、すみやかに届け出ること。 2.届出の無いサーバは、情報処理センター長の判断により、一時的に運用を停止させる、 あるいはそのサーバからのパケットの除去を行うものとする。 3.届出事項と異なる運用を行っている、セキュリティ対策を行わないなど、管理が不充 分なサーバを運用している場合には警告を行い、改善されない場合には、情報処理セン ター長の判断により、一時的に運用を停止させる、あるいはそのサーバからのパケット の除去を行うものとする。 4.原則として、不要なサービスは行わないことが望ましい。サービスを行う際には、 それにともなって生じるセキュリティ対策が義務付けられる。 5.サーバを不特定多数の人間に利用させる場合には、特別の注意が必要である。この 場合には、詳細なログを取るとともに、十分なセキュリティ対策を実施すること。 資料1 公的なセキュリティのガイドライン 「著作権法」 http://home.highway.ne.jp/kogure/jouhou-kijun/chosaku.html 不正アクセス行為の禁止等に関する法律(不正アクセス対策法) http://legal.riyou.tains.tohoku.ac.jp/houritsu/fusei-access.html 通産省「システム監査基準」 http://home.highway.ne.jp/kogure/jouhou-kijun/kansa.html 通産省「情報システム安全対策基準」 http://home.highway.ne.jp/kogure/jouhou-kijun/anzen/index.html 通産省「コンピュータ不正アクセス対策基準」 http://home.highway.ne.jp/kogure/jouhou-kijun/cracker.html 通産省「コンピュータウィルス対策基準」 http://home.highway.ne.jp/kogure/jouhou-kijun/virus.html 通産省「ソフトウェア管理ガイドライン」 http://home.highway.ne.jp/kogure/jouhou-kijun/copy.html 通産省「民間部門における電子計算機処理にかかる個人情報の保護に関する ガイドライン」 http://home.highway.ne.jp/kogure/jouhou-kijun/privacy.html 消防庁・建設省「コンピュータシステムにかかる防火安全対策」 警察庁「情報システム安全対策指針」 http://home.highway.ne.jp/kogure/jouhou-kijun/keisatsu-anzen.html 郵政省「情報通信ネットワーク安全・信頼性基準」 http://www.mpt.go.jp/policyreports/japanese/group/internet/net-4-2.html 大蔵省「金融機関等コンピュータシステムの安全対策基準」 大蔵省「金融機関等がVANシステムを利用する場合の安全対策基準」 資料2 総合情報処理センターを有する大学でのモラル教育やセキュリティに関する取り組み(第11回学術及び総合情報処理センター 研究交流・連絡会議資料より抜粋) 山形大学 1. 山形大学総合情報処理センター利用細則:違反者には、センター長が利用承認の取り消し、または利用の停止を行う場合あり。 2. 情報処理テキスト第5章コンピュータ利用をめぐる問題 筑波大学 1. 筑波大学学術情報処理センター教育用計算機システムを利用した インターネットへの情報発信に関するガイドライン(暫定) http://www.ipe.tsukuba.ac.jp/guide.html 千葉大学 1. 千葉大学一般情報処理教育システム利用規則:違反者には、センター長が利用許可を緊急停止、あるいは利用許可を一定期間停止。重大な場合には、学則に定める懲戒を行うことが相当であると考えるときは、その旨の意見を付することができる。 2. 情報処理科目既修得者等に係わる一般情報処理教育システムの利用に関する申し合わせ:違反者は、大学教育委員会委員長が、利用許可の停止あるいは取り消しを行う場合あり。 東京工業大学 1. コンピュータリテラシ 情報倫理 情報ネットワーク演習室ガイド 2. 東京工業大学情報ネットワーク運用内規:違反者に対して、部局管理者が、接続許可の取り消し、または利用制限を行う場合あり。 3. その他、学内外からの告発に対する連絡の流れと、処分や緊急対応のための流れを示す図あり。 新潟大学 1. 電子メールの利用について(新潟大学総合情報処理センター年報) 2. 新潟大学総合情報処理センター学生実習室及び学生実習室分室利用細則 富山大学 1. 富山大学総合情報処理センター運用管理端末装置を有する各部局サテライト端末及び情報システム利用内規:違反者には、センター長が利用の承認の取り消し、あるいは利用の一定期間停止を行う場合あり。 2. 富山大学におけるコンピュータとネットワークの不正利用についての罰則等について:違反者に対する罰則は、停学、IDの取り消し、システムの利用停止、注意、警告 岐阜大学 1. インターネット利用ガイドライン 2. 教育システム利用者の皆様へ 神戸大学 1. ネットワーク及び総合情報処理センターシステム利用上の注意 鳥取大学 1. インターネット利用のガイドライン:違反者には、ネットワーク管理者がアカウントを抹消を行う場合あり。 広島大学 1. ネットワーク市民の手引き 2. 教育研究用端末室の利用マナー 山口大学 1. 情報処理入門 徳島大学 1. ガイドライン(情報化推進委員会決定):違反者には、別途定める規定により利用制限、あるいは対応処置を行う場合あり。 長崎大学 1. 学生用ID利用に当たって:違反者には、IDの剥奪、ファイルの強制閲覧・削除等の処置を行う場合あり。 2. 長崎大学総合情報処理センター利用規程:違反者には、センター長が利用の承認の取り消し、あるいは利用の停止を行う場合あり。 資料3 サーバとみなす計算機 ・ サーバとは、コンピュータネットワークにおいて、クライアントに対してなんらかのサービスを行うものであり、計算機及びソフトウェア(必要であれば周辺機器も含まれる)から構成される。 ・ サーバの行うサービスには多様なものがあり、OSによる違いがあり、また新しいサービスも日々開発されているため、全てを列挙するのは困難である。以下に例を挙げるが、ドメインネームサーバ(DNS)、アプリケーションサーバ、メールサーバ、WWWサーバ、DHCPサーバ、代理サーバ(キャッシュサーバを含む)、FTPサーバ、リモートアクセス・サーバ、ニュースサーバ、ファイル・サーバ、プリントサーバ、IRCサーバなどである(サーバごとの注意事項参照)。 ・ UNIX OS(LINUX、 FreeBSD、 NetBSDなどのパソコンベースのUNIXも含む)の稼動している計算機、Windows NT Serverの稼動している計算機は、サーバとみなす。 ・ Windows NT Workstation、MS-DOS、MS-Windows 3.1、95、 98、BeOS、OS/2やMac OS等の稼動する計算機で、サーバを立ち上げているものはサーバとみなす。例えば、パーソナルウェッブサーバ等を立ち上げているものを含む。 ・ その他、専門委員会でサーバと判断するもの。 ただし、以下のものはこの限りではない。 (届け出なくとも良い計算機の例) ・ ファイル共有を行っている個人用のパソコン等 ・ プリンタの共有を行っている個人用のパソコン等 ・ ネットワークプリンタなどのプリントサーバ専用機 注意:ただし、以下の事項を遵守すること。 ・ 必ずパスワードを設定すること。パスワードを設定せず、不特定多数のユーザに対してファイルの共有を行っている場合には、匿名FTPサーバを立ち上げている場合に相当するため、届出が必要である。 ・ ソフトウェアの著作権に注意すること。たとえ個人ライセンスを持っていても、ネットワーク上で共有する場合は、新たにライセンスが必要であることが多いので注意すること。 資料4 サーバに関する遵守事項と注意事項 届出の必要のあるサーバの運用責任者やシステム管理者の遵守事項と注意事項について述べる。届出の不要なものについても、同様の注意をすることが望ましい。 遵守事項 1.MS-Windowsの稼動するサーバの場合 ・ 不正アクセスなどがあった場合には、その報告と(注意G1)、再発防止のための対策(注意G2)を行うこと。 ・ ウィルス対策を定期的に実施すること(注意G3)。 ・ 外部から抗議があった場合には冷静に対処し、状況を情報処理センターに通報すること(注意G4)。 ・ サーバの管理者は、管理者のメーリングリストに入り、そこからの情報に注意すること。 ・ 緊急事態が起きた際には、情報処理センターからの要請に従って対策にあたること。 ・ 情報システム委員会等から、ログの提出を求められた時には、速やかに提出すること。 ・ セキュリティ関連の講習会・講演会に参加すること。 ・ ユーザ認証などによるアクセス制御を行うこと。 ・ バックアップの定期的な作成を行うのが望ましい。 ・ データ管理にあたってはセキュリティ対策に努め、データが不用になった場合には、データの消去・記憶媒体の破損と廃棄を行うのが望ましい。 ・ 運用しているサービスについてのログを取り、3ヶ月間以上保存すること(注意A3)。 ・ 著作権を遵守すること(注意A2)。 ・ 不特定多数のユーザに対するサービスを行う場合、JPCERTからの勧告を読み、必要ならば、それに従ってセキュリティパッチを当てること。 ・ WindowsNT Serverの場合には、インストール時のチェックリスト http://www.microsoft.com/japan/security/iis/checklist.htm に従って、セキュリティ対策を行うこと。 ・ Windows関連のセキュリティの問題点とパッチを公開しているMicrosoft Security Advisor(日本語)http://www.microsoft.com/japan/security/を見て、対策することが望ましい。 ・ 資料5に示すような、サーバ毎のセキュリティ対策を行うことが望ましい。 2.Macintosh OSが稼動するサーバの場合 ・ 不正アクセスなどがあった場合には、その報告と(注意G1)、再発防止のための対策(注意G2)を行うこと。 ・ ウィルス対策を定期的に実施すること(注意G3)。 ・ 外部から抗議があった場合には冷静に対処し、状況を情報処理センターに通報すること(注意G4)。 ・ サーバの管理者は、管理者のメーリングリストに入り、そこからの情報に注意すること。 ・ 緊急事態が起きた際には、情報処理センターからの要請に従って対策にあたること。 ・ 情報システム委員会等から、ログの提出を求められた時には、速やかに提出すること。 ・ セキュリティ関連の講習会・講演会に参加すること。 ・ ユーザ認証などによるアクセス制御を行うこと。 ・ バックアップの定期的な作成を行うのが望ましい。 ・ データ管理にあたってはセキュリティ対策に努め、データが不用になった場合には、データの消去・記憶媒体の破損と廃棄を行うのが望ましい。 ・ 運用しているサービスについてのログを取り、3ヶ月間以上保存すること(注意A3)。 ・ 著作権を遵守すること(注意A2)。 ・ 不特定多数のユーザに対するサービスを行う場合、JPCERTからの勧告を読み、必要ならば、それに従ってセキュリティパッチを当てること。 ・ ベンダーの提供するセキュリティ情報に注意し、対策を施すことが望ましい。 ・ 資料5に示すような、サーバ毎のセキュリティ対策を行うことが望ましい。 3.UNIX OSが稼動するサーバの場合 ・ 不正アクセスなどがあった場合には、その報告と(注意G1)、再発防止のための対策(注意G2)を行うこと。 ・ 外部から抗議があった場合には冷静に対処し、状況を情報処理センターに通報すること(注意G4)。 ・ サーバの管理者は、管理者のメーリングリストに入り、そこからの情報に注意すること。 ・ 緊急事態が起きた際には、情報処理センターからの要請に従って対策にあたること。 ・ 情報システム委員会等から、ログの提出を求められた時には、速やかに提出すること。 ・ セキュリティ関連の講習会・講演会に参加すること。 ・ ユーザ認証などによるアクセス制御を行うこと。 ・ バックアップの定期的な作成を行うのが望ましい。 ・ データ管理にあたってはセキュリティ対策に努め、データが不用になった場合には、データの消去・記憶媒体の破損と廃棄を行うのが望ましい。 ・ 運用しているサービスについてのログを取り、3ヶ月間以上保存すること(注意A3)。 ・ UNIX OSを有するサーバの場合には、ユーザ毎のアクセス制限の他に、IPアドレスによるアクセス制限を行うこと(注意A1)。 ・ 著作権を遵守すること(注意A2)。 ・ 不特定多数のユーザに対するサービスを行う場合、JPCERTからの勧告を読み、必要ならば、それに従ってセキュリティパッチを当てること。 ・ 資料5に示すような、サーバ毎のセキュリティ対策を行うことが望ましい。 4.その他のOSの稼動するサーバの場合 ・ 不正アクセスなどがあった場合には、その報告と(注意G1)、再発防止のための対策(注意G2)を行うこと。 ・ ウィルス対策を定期的に実施すること(注意G3)。 ・ 外部から抗議があった場合には冷静に対処し、状況を情報処理センターに通報すること(注意G4)。 ・ サーバの管理者は、管理者のメーリングリストに入り、そこからの情報に注意すること。 ・ 緊急事態が起きた際には、情報処理センターからの要請に従って対策にあたること。 ・ 情報システム委員会等から、ログの提出を求められた時には、速やかに提出すること。 ・ セキュリティ関連の講習会・講演会に参加すること。 ・ ユーザ認証などによるアクセス制御を行うこと。 ・ バックアップの定期的な作成を行うのが望ましい。 ・ データ管理にあたってはセキュリティ対策に努め、データが不用になった場合には、データの消去・記憶媒体の破損と廃棄を行うのが望ましい。 ・ 運用しているサービスについてのログを取り、3ヶ月間以上保存すること(注意A3)。 ・ 著作権を遵守すること(注意A2)。 ・ 不特定多数のユーザに対するサービスを行う場合、JPCERTからの勧告を読み、必要ならば、それに従ってセキュリティパッチを当てること。 ・ ベンダーの提供するセキュリティ情報に注意し、対策を施すことが望ましい。 ・ 資料5に示すような、サーバ毎のセキュリティ対策を行うこと。 資料5 サーバ毎のセキュリティ対策 (1) ドメインネームサーバ(DNS) 推奨:攻撃目標になりやすいので、踏み台にされないように注意が必要。 推奨:DoS攻撃対策を施すことが望ましい。 (2)アプリケーションサーバあるいは、ファイル・サーバ ・ ファイルの共有により、リモートコンピュ−タから、アプリケーションの実行が可能になっている場合を含む。パスワードによるアクセス制限を行わない場合には、匿名FTPサーバと同様の注意が必要となる。 (3)メールサーバ 義務:spumメール対策を施してあること。 推奨:DoS攻撃対策を施すことが望ましい。 (4)WWWサーバ 非常に目立つことが多いので、注意が必要である。 義務:cgiの使用を制限すること(注意A4)。 義務:Webページの内容に注意すること(注意A5)。 推奨:JPCERTなどからの勧告を読み、それに従ってセキュリティパッチを当てることが望ましい。 (5)DHCPサーバ 匿名性があると悪の温床になりかねないので、特に注意が必要。 義務:不特定多数の人間が利用できないように、何らかのアクセス制限を行う。アクセス制限ができない場合には、どの端末からアクセスが行われたかを判断できるように、使用者のMACアドレスが残るようにログを取ること(注意A7)。 (6)代理サーバ(proxyサーバ) 匿名性があると悪の温床になりかねないので、特に注意が必要。 義務:誰がいつ代理サーバを使ったかが分かるようにログをとること。取ったログは、3ヶ月間以上保存すること(注意A3)。 推奨:できるだけ詳細にログを取ること。特に必要が無い場合には、代理サーバを立ち上げないこと。 (7)FTPサーバ 非常に危険なサービスの一つ。できるだけ立ち上げないことが望ましい。 義務:匿名FTP(anonymous FTP)サーバを立ち上げる場合には、JPCERTからの勧告を読み、必要ならば、それに従ってセキュリティパッチを当てること。 推奨:パスワード等による認証を行い、不特定多数のユーザが使用できないようにすること。 (8)リモートアクセス・サーバ セキュリティ・ホールになるので原則としては禁止。やむをえない場合は、システム専門委員会で許可するかどうか審議する。 (9)ニュースサーバ 義務:学外のニュースグループへの投稿については、不特定多数の人間が記事を投稿できないように、アクセス制限を行うこと。 義務:対外接続のトラフィック軽減のため、可能なものは情報処理センターのニュースサーバからのフィードを受けること。外部のサーバからフィードを受ける場合には、フィードを受けるグループ名を届け出ること。 推奨:購読するニュースグループは控えめにすること(注意A6)。 (10)プリントサーバ 原則として、プリントサーバ専用機については届け出る必要は無いが、UNIX機やWindowsNTサーバの場合には、届出が必要。 義務:不特定多数の人間がアクセスできる、パスワード無しのアカウント(例えばGuest)を作成しないこと。 (11)IRCサーバ 今のところ詳細は不明だが、現在伸びているサービスの1つであるので、届出を行うこと。 資料6 注意事項 注意G1:不正アクセス等の問題があった場合には、ただちに情報処理センターへ申し出ること。ただし、不正アクセスが失敗に終わっているものについては、届け出るには及ばない。 もし、現在アタックを受けているなどの急を要する場合には、取り敢えず、ただちに情報処理センターに連絡を入れること。 急がない場合には以下の事項を添えて、情報処理センターに届け出ること。 ・ 不正アクセスのあった日時、届出の日時 ・ 不正アクセスされたサーバのドメイン名、IPアドレス ・ 不正アクセスの証拠(ログなど) ・ 届出者氏名、所属 ・ その他、特に気づいた点など 注意G2:様々なケースが考えられるが、セキュリティ対策委員会や情報処理センターと充分に相談して対策にあたる。 注意G3:パソコン用OSを持つサーバの場合には、定期的にウィルスチェックを実行すること。感染している場合には (1) ただちにネットワークから遮断する。 (2) ワクチンソフトの適用などの適切な処置を取ること。 (3) 情報処理センターに以下の事項を届け出ること。 ・ 発見日時 ・ 発生場所 ・ (分かれば)ウィルス等の名称 ・ 被害のあったマシンの台数、被害の範囲 ・ (分かれば)感染経路、感染源 ・ 処置方法とその結果 ・ 報告者名 (4) また、JPCERTからのウィルス情報に注意し、必要な場合には処置を講じること。 注意G4:状況が分からないうちは、謝ったり、個人情報を明かしたりしないこと。この際、公務員規則第100条の守秘義務を盾にすると良い。例えば「詳細はこちらで調査いたしますが、個人情報は原則として公開しません。」という毅然とした姿勢が必要。 注意A1:UNIX機の場合には、tcpwrapperでtelnet、 ftp、 fingerに対してアクセス制限を行うこと。方法については、情報処理センターで指示する。但し、WindowsNT、 Macintoshに関してはこの限りではない。tcpwrapperが使用できない場合には情報処理センターに相談すること。 注意A2:たとえ個人ライセンスを持っていても、ネットワーク上で共有する場合は、新たにライセンスが必要であることが多いので、ソフトウェアに添付されているライセンスの注意事項に良く目を通してから行うこと。 注意A3:ログの保存場所に困る時は、ソフトウェアによる圧縮を試みること。LHAなどの動的に辞書を作成する圧縮アルゴリズムを持つものを使うと、繰り返しの多いログの場合、1/10以下になることも珍しくない。それでも対応できなければ、情報処理センターのHD内にでログの置き場を準備する。 注意A4:phfなどの危険なcgi プログラムはシステムから削除する。JPCERTなどからの情報を良く読んで実行する。また、個人がcgiを作成する時には注意が必要。 注意A5:特に、著作権を守らないもの、他人を中傷する内容のものなどは注意しなければならない。そういうものについては、警察の捜査が入るものと考えて間違いないでしょう。運用責任者は、この点について責任を持つこと。 注意A6:近年、バイナリを投稿する例が増えており、学外接続のトラフィックの込み合いの原因にもなっているので、注意すること。 注意A7:dhcpでのログの取り方の例 http://www.msic.med.osaka-u.ac.jp/staff/man/dhcplog/dhcplog.html 資料7 情報の流れの例 セキュリティ情報が発生した場合、情報処理センターが常に窓口となり、情報の流れを制御する。情報処理センターでは必要に応じて、情報システム委員会委員長、情報処理センター長に報告し判断を仰ぐ。 ユーザ側の終端はシステム管理者とし、システム管理者は必要であれば、ユーザ及び運用責任者に連絡を取らなければならない。 A.「日常の連絡体制」 A-1. セキュリティ・ホールに関する情報(電子メール) JPCERT/CC −> 情報処理センター −> システム管理者 A-2. セキュリティ問題あるいはアタックの痕跡を発見した時の情報 一般ユーザあるいは、システム管理者 −> 情報処理センター −> 情報システム委員長あるいは情報処理センター長 注意:アタックは通常、大学全体で1日に数十〜数百件は起こっているものと推定される。これを全て責任者に報告することはできないので、システム管理者及び情報処理センターが重要なもののみを選ぶ必要がある。 A-3. 講習会、研修等の情報 主催する委員会または組織 −> 情報処理センター −> システム管理者 B.「危機発生時の連絡体制」 危機発生 −> システム管理者 −> 情報処理センター −> 状況分析・切り分け −> 情報処理センター長 −> システム管理者、情報処理センター