明治大学情报セキュリティ対策基準

２０２５年３月１９日制定&苍产蝉辫;

第１章総則
第２章導入?計画
第３章運用
第４章点検
第５章見直し
第６章情報の取扱い
第７章業務委託
第８章外部サービスの利用
第９章情報システムに係る文書等の整備
第１０章情報システムのライフサイクルの各段階における対策
第１１章情報システムの運用継続計画
第１２章情報システムのセキュリティ機能
第１３章情報セキュリティの脅威への対策
第１４章アプリケーション?コンテンツの作成?提供
第１５章端末?サーバ装置等
第１６章電子メール?ウェブ等
第１７章通信回線
第１８章情報システムの利用

第１章総則

第１条（趣旨）

この基準は、「明治大学情报セキュリティポリシー」に基づき、明治大学（以下「本学」という。）における适切な情报セキュリティ対策に関する基準について必要な事项を定めるものとする。

第２条（适用范囲）

この基準において適用対象とする範囲は、「明治大学情報セキュリティポリシー」「Ⅰ 情報セキュリティ基本方針３対象範囲及び対象者」のとおりとする。

第３条（定义）

この基準において、次の各号に掲げる用语の意义は、当该各号に定めるところによる。

（１）　可用性　情报へのアクセスを认められた者が、必要时に中断することなく、情报にアクセスできる特性をいう。可用性についての格付の区分は、「可用性１情报」「可用性２情报」とし、详细は「情报の格付け及び取扱制限に関する要纲」に定める。

（２）　完全性　情报が破壊、改ざん又は消去されていない特性をいう。完全性についての格付の区分は、「完全性１情报」「完全性２情报」とし、详细は「情报の格付け及び取扱制限に関する要纲」に定める。

（３）　机密性　情报に関して、アクセスを认められた者だけがこれにアクセスできる特性をいう。机密性についての格付の区分は、「机密性１情报」「机密性２情报」「机密性３情报」とし、详细は「情报の格付け及び取扱制限に関する要纲」に定める。

（４）　识别コード　主体を识别するために、情报システムが认识するコード（符号）をいう。代表的な识别コードとして、ユーザ滨顿が挙げられる。

（５）　主体　情报システムにアクセスする者又は他の情报システムにアクセスするサーバ装置、端末等をいう。

（６）　主体认証　识别コードを提示した主体が、その识别コードを付与された主体、すなわち正当な主体であるか否かを検証することをいう。识别コードとともに正しい方法で主体认証情报が提示された场合に主体认証ができたものとして、情报システムはそれらを提示した主体を正当な主体として认识する。

（７）　主体认証情报　主体认証をするために、主体が情报システムに提示する情报をいう。代表的な主体认証情报として、パスワード等がある。

（８）　特定用途机器　テレビ会议システム、滨笔电话システム、ネットワークカメラシステム、入退管理システム、施设管理システム、环境モニタリングシステム等の特定の用途に使用される情报システム特有の构成要素であって、通信回线に接続されている又は内蔵电磁的记録媒体を备えているものをいう。

（９）　复合机　プリンタ、ファクシミリ、イメージスキャナ、コピー机等の机能が一つにまとめられている机器をいう。

（１０）　要安定情報可用性２情報をいう。

（１１）　要管理対策区域　机関等の管理下にある区域（机関等が外部の组织から借用している施设等における区域を含む。）であって、取り扱う情报を保护するために、施设及び执务环境に係る対策が必要な区域をいう。

（１２）　要机密情报　机密性２情报及び机密性３情报をいう。

（１３）　要保护情报　要机密情报、要保全情报及び要安定情报に一つでも该当する情报をいう。

（１４）　要保全情报　完全性２情报をいう。

（１５）　利用者等　利用者及び临时利用者のほか、本学情报システム等を取り扱う者をいう。

（１６）　例外措置　利用者等がポリシー并びにそれに基づく规程及び手顺等を遵守することが困难な状况で、教育研究の适正な遂行を継続するため、遵守事项とは异なる代替の方法を採用し、又は遵守事项を実施しないことについて合理的理由がある场合に、そのことについて申请し许可を得た上で适用する行為をいう。

第２章導入?計画

第４条（対策推进计画の策定）

情報セキュリティ最高責任者(CISO:Chief Information Security Officer、以下「CISO」という。)は、明治大学情報セキュリティ委員会における審議を経て、情報セキュリティ対策を総合的に推進するための計画（以下「対策推進計画」という。）を定めること。また、対策推進計画には、本学の業務、取り扱う情報及び保有する情報システムに関するリスク評価の結果を踏まえた全体方針並びに以下に掲げる取組の方針?重点及びその実施時期を含めること。

（１）情報セキュリティに関する教育

（２）情報セキュリティ対策の自己点検

（３）情報セキュリティ監査

（４）情報システムに関する技術的な対策を推進するための取組

（５）前各号に掲げるもののほか、情報セキュリティ対策に関する重要な取組

第３章運用

第１節情報セキュリティ関係規程の運用

第５条（情报セキュリティ対策に関する実施手顺の整备?运用）

情报セキュリティ実施责任者は、本学における情报セキュリティ対策に関する実施手顺を整备し、実施手顺に関する事项を统括し、整备状况について颁滨厂翱に报告すること。

２情報セキュリティ実施責任者は、本学の情報システムが共通して満たさなくてはならない基本的なセキュリティ機能?設計?実装?運用に関する事項を記載した、「共通セキュリティガイドライン」を策定すること。

３情報セキュリティ実施責任者は、本学の情報システムを利用する際の遵守事項として「利用者向けセキュリティガイドライン」を策定すること。

４情報セキュリティ実施責任者は、情報セキュリティ対策における雇用の開始、終了及び人事異動時等（入学、卒業を含む。）に関する管理手順を整備すること。

５「明治大学情報セキュリティポリシー」の「II 情報セキュリティ対策基準２組織及び体制」で規定した情報セキュリティ対策推進体制は、CISOが規定した当該体制の役割に応じて必要な事項を遂行すること。

６情報セキュリティ管理者は、利用者等より情報セキュリティ関連校規等に係る課題及び問題点の報告を受けた場合は、情報セキュリティ実施責任者に報告すること。

７　情报セキュリティ実施责任者は、情报セキュリティ関连校规等に係る课题及び问题点を含む运用状况を适时に把握し、必要に応じて颁滨厂翱にその内容を报告すること。

第６条（违反への対処）

利用者等は、情报セキュリティ関连校规等への重大な违反を知った场合は、情报セキュリティ管理者または情报セキュリティ実施责任者にその旨を报告すること。
２情報セキュリティ実施責任者は、情報セキュリティ関連校規等への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合には、違反者及び必要な者に情報セキュリティの維持に必要な措置を講じさせるとともに、CISOに報告すること。

第２節例外措置

第７条（例外措置手続の整备）

颁滨厂翱は、例外措置の适用の申请を审査する者（以下「许可権限者」という。）及び、审査手続を定めること。

２情報セキュリティ実施責任者は、例外措置の適用審査記録の台帳を整備し、許可権限者に対して、定期的に申請状況の報告を求めること。

第８条（例外措置の审査手続）

颁滨厂翱は、例外措置について以下を含む手顺を定めること。

（１）例外措置の許可権限者

（２）事前申請の原則その他の申請方法

（３）審査項目その他の審査方法

第９条（例外措置の适用审査记録の台帐）

许可権限者は、例外措置の适用审査记録に以下の内容を记载し、适用审査记録の台帐として保管するとともに、情报セキュリティ実施责任者へ定期的に报告すること。

（１）審査した者の情報（氏名、役割名、所属、連絡先）

（２）申請内容

（３）審査結果の内容

第１０条（例外措置の运用）

利用者等は、定められた审査手続に従い、许可権限者に规定の例外措置の适用を申请すること。ただし、教育研究の遂行に紧急を要し、当该规定の趣旨を充分尊重した扱いを取ることができる场合であって、情报セキュリティ関连校规等の规定とは异なる代替の方法を直ちに採用すること又は规定されている方法を実施しないことが不可避のときは、事后速やかに届け出ること。

２許可権限者は、利用者等による例外措置の適用の申請を、定められた審査手続に従って審査し、許可の可否を決定すること。

３許可権限者は、例外措置の申請状況を台帳に記録し、情報セキュリティ実施責任者に報告すること。

４情報セキュリティ実施責任者は、例外措置の申請状況を踏まえた情報セキュリティ関連校規等の追加又は見直しの検討を行い、CISOに報告すること。

第３節教育

第１１条（教育体制等の整备）

情报セキュリティ実施责任者は、情报セキュリティ対策に係る教育について、対策推进计画に基づき教育実施计画を策定し、利用者等が毎年度教育を受讲できるように、体制を整备すること。

２情報セキュリティ実施責任者は、情報セキュリティの状況の変化に応じ利用者等に対して新たに教育すべき事項が明らかになった場合には、教育実施計画を見直すこと。

第１２条（教育のための资料の整备）

情报セキュリティ実施责任者は、利用者等の役割に応じて教育すべき内容を検讨し、教育のための资料を整备すること。

第１３条（教育の実施）

情报セキュリティ管理者は、利用者等に対して、情报セキュリティ関连校规等に係る教育を适切に受讲させること。

２利用者等は、教育実施計画に従って、適切な時期に教育を受講すること。

３情報セキュリティ管理者は、情報セキュリティ対策実施作業部会（CSIRT）に属する教職員に教育を適切に受講させること。

第４節情報セキュリティインシデントへの対処

第１４条（情报セキュリティインシデントに备えた準备）

情报セキュリティ実施责任者は、情报セキュリティインシデントの可能性を认知した际に备え、以下の手顺及び体制を整备すること。

（１）　报告手顺

（２）　対処手顺

（３）　紧急连络网

（４）　训练の内容及び体制

（５）　学外の者から报告を受けるための窓口

（６）　対処手顺が适切に机能することの确认&苍产蝉辫;

第１５条（情报セキュリティインシデントへの対処）

利用者等は、情报セキュリティインシデントの可能性を认知した场合には、本学の报告窓口に报告し、指示に従うこと。

２ CSIRT は、報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントであるかの評価を行い、以下の措置を講ずること。

（１）　応急措置の実施及び復旧に係る指示又は勧告

（２）　予め定められている関係机関への连络

（３）　対処全般に関する指示、勧告又は助言

（４）　本学を含む関係机関との情报共有

３情報セキュリティ対策実施作業部会長（CSIRT責任者）は、情報セキュリティインシデントであると評価した場合、CISOに速やかに報告すること。

４情報セキュリティ管理者は、認知した情報セキュリティインシデントが基盤となる情報システムに関するものであり、当該基盤となる情報システムの情報セキュリティ対策に係る関連校規等が定められている場合には、当該校規等に従い、適切に対処すること。

第１６条（CSIRT における情報共有と役割分担に係る対策）

CSIRT は、情報セキュリティインシデントではないと評価した場合であっても、注意喚起が必要と考えられるものについては、関係する者に情報共有を行うこと。

２ CSIRT 責任者は、認知した情報セキュリティインシデントの種類や規模、影響度合い等を勘案し、必要に応じて、CSIRT、情報セキュリティインシデントの当事者部署、その他関連部署の役割分担を見直すこと。

第１７条（情报セキュリティインシデントの再発防止?教训の共有）

情報セキュリティ管理者は、CSIRT から応急措置の実施及び復旧に係る指示又は勧告を受けた場合は、当該指示又は勧告を踏まえ、情報セキュリティインシデントの原因を調査するとともに再発防止策を検討し、それを報告書としてCISOに報告すること。

２ CISOは、情報セキュリティ管理者から情報セキュリティインシデントについての報告を受けた場合には、その内容を確認し、再発防止策を実施するために必要な措置を指示すること。

３ CSIRT 責任者は、情報セキュリティインシデント対処の結果から得られた教訓を、情報セキュリティ実施責任者、関係する情報セキュリティ管理者等に共有すること。

第４章点検

第１８条（自己点検计画の策定?手顺の準备）

情报セキュリティ実施责任者は、対策推进计画に基づき自己点検计画を策定すること。

２情報セキュリティ管理者は、利用者等ごとの自己点検票及び自己点検の実施手順を整備すること。

３情報セキュリティ実施責任者は、情報セキュリティの状況の変化に応じ、利用者等に対して新たに点検すべき事項が明らかになった場合は、自己点検計画を見直すこと。

第１９条（自己点検の実施）

情报セキュリティ管理者は、自己点検计画に基づき、利用者等に自己点検の実施を指示すること。

２利用者等は、情報セキュリティ管理者から指示された自己点検票及び自己点検の手順を用いて自己点検を実施すること。

第２０条（自己点検结果の评価?改善）

情报セキュリティ実施责任者及び情报セキュリティ管理者は、利用者等による自己点検结果を分析?评価し、评価结果を颁滨厂翱に报告すること。

２ CISOは、自己点検結果を全体として評価し、自己点検の結果により明らかになった問題点について、情報セキュリティ実施責任者及び情報セキュリティ管理者に改善を指示し、改善結果の報告を受けること。

第５章見直し

第２１条（情报セキュリティ関係规程の见直し）

颁滨厂翱は、情报セキュリティの运用及び自己点検?监査等の结果等を総合的に评価するとともに、情报セキュリティに係る重大な変化等を踏まえ、情报セキュリティ委员会の审议を経て、本基準を含むポリシー及びそれに基づく规程等について必要な见直しを行うこと。

２情報セキュリティ実施責任者は、情報セキュリティの運用及び自己点検?監査等の結果等を踏まえて情報セキュリティ対策に関する実施手順を見直し、又は整備した者に対して規定の見直しを指示し、見直し結果についてCISOに報告すること。

第２２条（対策推进计画の见直し）

颁滨厂翱は、情报セキュリティ対策の运用及び点検?监査等を総合的に评価するとともに、情报セキュリティに係る重大な変化等を踏まえ、情报セキュリティ委员会の审议を経て、対策推进计画について定期的な见直しを行うこと。

第６章情報の取扱い

第１節情報の取扱い

第２３条（情报の取扱い）

教职员等は、本学の教育研究の遂行に係る情报を取り扱う际、别に定める「情报の格付け及び取扱制限に関する要纲」において规定されている以下の手顺を遵守すること。

（１）　情报の入手?作成

（２）　情报の利用?保存

（３）　要管理対策区域?区域外での情报の取り扱い

（４）　情报の提供?公表

（５）　情报の运搬?送信（第叁者提供含む）

（６）　情报漏えいの防止、情报の改ざんの防止

（７）　情报の消去（リース契约含む）

（８）　情报のバックアップ&苍产蝉辫;

第２節情報を取り扱う区域の管理

第２４条（区域ごとに実施する対策）

情报セキュリティ管理者は、「情报を取り扱う区域の管理に関するガイドライン」に基づいて、施设及び教育研究の执务环境に係る対策を行う単位ごとの区域を定めること。

２情報セキュリティ管理者は、管理する区域について、「情報を取り扱う区域の管理に関するガイドライン」に従って、周辺環境や当該区域で行う教育研究の内容、取り扱う情報等を勘案し、当該区域において実施する対策を含め決定すること。また、利用者等が実施すべき対策については、利用者等が認識できる措置を講ずること。

３　情报セキュリティ管理者は、灾害から要安定情报を取り扱う情报システムを保护するために物理的な対策を讲ずること。

４　情报セキュリティ管理者は、管理する区域についての利用手顺等を整备し、当该区域を利用する利用者等に周知すること。&苍产蝉辫;

第７章業務委託

第２５条（业务委託に係る规定の整备）

情报セキュリティ実施责任者は、业务委託に係る以下の规定を整备すること。

（１）　委託先によるアクセスを认める情报及び情报システムの范囲を判断する基準

（２）　情报システムの委託先の选定基準及び委託判断基準

２　情报セキュリティ管理者は、前项の规定に基づいて、业务委託に係る仕様を策定すること。&苍产蝉辫;

第２６条（业务委託に係る対策?実施）

情报セキュリティ管理者は、契约に基づき、委託先における情报セキュリティ対策の履行状况及び情报の取扱いを确认すること。

２　情报セキュリティ管理者は、委託した业务の终了时に、委託先において取り扱われた情报が确実に返却、又は抹消されたことを确认すること。&苍产蝉辫;

第８章外部サービスの利用

第１節要機密情報を取り扱う場合

第２７条　（外部サービスの利用に係る规定の整备）

情报セキュリティ実施责任者は、以下を含む外部サービスの利用に関する规定を「明治大学クラウド利用ガイドライン」および、「クラウド事业者选定チェックリスト」として整备すること。

　（１）　外部サービスを利用可能な业务及び情报システムの范囲并びに情报の取扱いを许可する场所を判断する基準

　（２）　外部サービス提供者の选定基準

　（３）　外部サービス管理者と外部サービスの利用状况の把握

　（４）　外部サービスを利用した情报システムの导入?构筑时の対策　

　（５）　外部サービスを利用した情报システムの运用?保守时の対策&苍产蝉辫;

　（６）　外部サービスを利用した情报システムの更改?廃弃时の対策&苍产蝉辫;

第２８条　（外部サービスの选定）

情報セキュリティ管理者は、別に定める「情報の格付け及び取扱制限に関する要綱」を踏まえ、「明治大学クラウド利用ガイドライン」および、「クラウド事業者選定チェックリスト」に従って外部サービスの利用を検討すること。

２　情报セキュリティ管理者は、业务に特有のリスクが存在する场合には、必要な情报セキュリティ対策を外部サービス提供者の选定条件に含めること。

３　情报セキュリティ管理者は、取り扱う情报の格付及び取扱制限并びに外部サービスとの情报セキュリティに関する役割及び责任の范囲を踏まえてセキュリティ要件を定め、外部サービスを选定すること。&苍产蝉辫;

第２節要機密情報を取り扱わない場合

第２９条（外部サービスの利用に係る规定の整备）

情报セキュリティ実施责任者は、以下を含む外部サービス（要机密情报を取り扱わない场合）の利用に関する规定を「明治大学クラウド利用ガイドライン」および、「クラウド事业者选定チェックリスト」として整备すること。

（１）　外部サービスを利用可能な业务の范囲

（２）　外部サービス管理者と外部サービスの利用状况の把握

（３）　外部サービスの利用の运用手顺&苍产蝉辫;

第９章情報システムに係る文書等の整備

第１節情報システムに係る台帳等の整備

第３０条（情報システム台帳の整備）

情报セキュリティ実施责任者は、全ての情报システムに対して、当该情报システムのセキュリティ要件に係る事项について、情报システム台帐に整备すること。

２情報セキュリティ管理者は、情報システムを新規に構築し、又は更改する際には、当該情報システム台帳のセキュリティ要件に係る内容を記録又は記載すること。

第３１条（情報システム台帳の記載事項）

情报セキュリティ実施责任者は、以下の内容を含む台帐を整备すること。

（１）情報システム名

（２）管理する職場

（３）当該システム責任者の氏名及び連絡先

（４）システム構成

（５）接続する学外通信回線の種別

（６）取り扱う情報の格付及び取扱制限に関する事項

（７）当該情報システムの設計?開発、運用?保守に関する事項

２情報セキュリティ実施責任者は、民間事業者等が提供する情報処理サービスにより情報システムを構築する場合は、以下を含む内容についても台帳として整備すること。

（１）情報処理サービス名

（２）契約事業者

（３）契約期間

（４）情報処理サービスの概要

（５）ドメイン名

（６）取り扱う情報の格付及び取扱制限に関する事項

第３２条　（情報システム関連文書の整備）

情报セキュリティ管理者は、所管する情报システムの情报セキュリティ対策を実施するために必要となる文书として、以下を网罗した情报システム関连文书を整备すること。

（１）情報システムを構成するサーバ装置及び端末関连情报

（２）情報システムを構成する通信回線及び通信回線装置関连情报

（３）情報システム構成要素ごとの情報セキュリティ水準の維持に関する手順

（４）情報セキュリティインシデントを認知した際の対処手順

第３３条　（情報システム関連文書の記載事項）

情报セキュリティ管理者は、所管する情报システムを构成するサーバ装置及び端末に関连する情报として、以下を含む文书を整备すること。

（１）サーバ装置及び端末を管理する教職員等及び利用者を特定する情報

（２）サーバ装置及び端末の機種並びに利用しているソフトウェアの種類及びバージョン

（３）サーバ装置及び端末で利用するソフトウェアを動作させるために用いられる他のソフトウェアであって、以下を含むものの種類及びバージョン

（４）サーバ装置及び端末の仕様書又は設計書

２情報セキュリティ管理者は、前項（２）及び（３）の情報を収集するため、自動でソフトウェアの種類やバージョン等を管理する機能を有するIT 資産管理ソフトウェアを導入するなどにより、これら情報を効率的に収集する手法を決定すること。

３情報セキュリティ管理者は、所管する情報システムを構成する通信回線及び通信回線装置関连情报として、以下を含む文書を整備すること。

（１）通信回線及び通信回線装置を管理する教職員等を特定する情報

（２）通信回線装置の機種並びに利用しているソフトウェアの種類及びバージョン

（３）通信回線及び通信回線装置の仕様書又は設計書

（４）通信回線の構成

（５）通信回線装置におけるアクセス制御の設定

（６）通信回線を利用する機器等の識別コード、サーバ装置及び端末の利用者と当該利用者の識別コードとの対応

（７）通信回線の利用部門

４情報セキュリティ管理者は、所管する情報システムについて、情報システム構成要素ごとのセキュリティ維持に関する以下を含む手順を定めること。

（１）サーバ装置及び端末のセキュリティの維持に関する手順

（２）通信回線を介して提供するサービスのセキュリティの維持に関する手順

（３）通信回線及び通信回線装置のセキュリティの維持に関する手順

第２節機器等の調達に係る規定の整備

第３４条（机器等の调达に係る规定の整备）

情报セキュリティ実施责任者は、机器等の纳入时の确认?検査项目を「共通セキュリティガイドライン」に记载すること。

２情報セキュリティ管理者は、「共通セキュリティガイドライン」において規定されている情報セキュリティ対策に基づいて確認?検査を行うこと。

第３５条（机器等の选定基準）

情报セキュリティ実施责任者は、机器等の选定基準におけるサプライチェーン?リスクを低减するための要件を「共通セキュリティガイドライン」に记载すること。&苍产蝉辫;

第３６条（納品時の確認?検査手続）

情报セキュリティ実施责任者は、机器等の纳入时の确认?検査手続には以下を含む事项を确认できる手続を「共通セキュリティガイドライン」に记载すること。

（１）調達時に指定したセキュリティ要件の実装状況

（２）機器等に不正プログラムが混入していないこと

第１０章情報システムのライフサイクルの各段階における対策

第１節情報システムの企画?要件定義

第３７条（実施体制の确保）

情报セキュリティ管理者は、情报システムのライフサイクル全般にわたって情报セキュリティの维持が可能な体制の确保を、颁滨厂翱に求めること。&苍产蝉辫;

第３８条（情報システムのセキュリティ要件の策定）

情报セキュリティ管理者は、情报システムを构筑する目的、対象とする业务等の业务要件及び当该情报システムで取り扱われる情报の格付等に基づき、构筑する情报システムをインターネットや、インターネットに接点を有する情报システム（外部サービスを含む。）から分离することの要否を判断した上で、「共通セキュリティガイドライン」に基づいて情报システムのセキュリティ要件を策定すること。

第３９条　（情报システムの构筑?运用?保守を业务委託する场合の対策）

情报セキュリティ管理者は、情报システムの构筑?运用?保守を业务委託する场合は、「共通セキュリティガイドライン」に基づいて委託先に実施させる事项を决定し、调达仕様书に记载するなどして、适切に実施させること。&苍产蝉辫;

第２節情報システムの調達?構築

第４０条　（机器等の选定?构筑?纳品検査时の対策）

情报セキュリティ管理者は、情报システムの机器等の选定?构筑?纳品検査において、「共通セキュリティガイドライン」に基づいて、以下を含む対策を実施すること。

（１）　情报システムの机器等の选定时の対策

（２）　情报システムの构筑时の対策

（３）　情报システムの纳品検査时の対策&苍产蝉辫;

第３節情報システムの運用?保守

第４１条（情报システムの运用?保守时の対策）

情报セキュリティ管理者は、情报システムの运用?保守において、「共通セキュリティガイドライン」に基づいて、情报システムに実装されたセキュリティ机能を适切に运用すること。&苍产蝉辫;

第４節情報システムの更改?廃棄

第４２条（情报システムの更改?廃弃时の対策）

情报セキュリティ管理者は、情报システムの更改又は廃弃を行う场合は、「共通セキュリティガイドライン」に基づいて、当该情报システムに保存されている情报について、当该情报の格付及び取扱制限を考虑した上で、以下の措置を适切に讲ずること。

（１）情報システム更改時の情報の移行作業における情報セキュリティ対策

（２）情報システム廃棄時の不要な情報の抹消

第５節情報システムについての対策の見直し

第４３条（情报システムについての対策の见直し）

情报セキュリティ管理者は、情报システムの情报セキュリティ対策について、新たな胁威の出现、运用、监视等の状况により、情报セキュリティ対策に関する実施手顺の见直しを适时検讨し、必要な措置を讲ずること。&苍产蝉辫;

第１１章情報システムの運用継続計画

第４４条（情报システムの运用継続计画の整备?整合的运用の确保）

情报セキュリティ実施责任者は、本学において非常时优先业务を支える情报システムの运用継続计画を整备する必要がある场合は、非常时における情报セキュリティに係る対策事项を検讨すること。

２情報セキュリティ実施責任者は、情報システムの運用継続計画の教育訓練や維持改善を行う際等に、非常時における情報セキュリティに係る対策事項が運用可能であるかを確認すること。

第１２章情報システムのセキュリティ機能

第１節主体認証機能

第４５条（主体认証机能の导入及びそれに係る対策）

情报セキュリティ管理者は、情报システムや情报へのアクセスを管理するため、主体を特定し、それが正当な主体であることを検証する必要がある场合、「共通セキュリティガイドライン」に基づいて、以下の措置を适切に讲ずること。

（１）　主体の识别及び主体认証を行う机能を设けること

（２）　识别コード及び主体认証情报を适切に付与し、それを适切に管理すること&苍产蝉辫;

第２節アクセス制御機能

第４６条（アクセス制御机能の导入）

情报セキュリティ管理者は、情报システムの特性、情报システムが取り扱う情报の格付及び取扱制限等に従い、権限を有する者のみがアクセス制御の设定等を行うことができる机能を设けること。

２情報セキュリティ管理者は、情報システム及び情報へのアクセスを許可する主体が確実に制限されるように、アクセス制御機能を適切に運用すること。

３情報セキュリティ管理者は、アクセス制御機能の導入と運用にあたって、「共通セキュリティガイドライン」に基づいて、要件を策定すること。

第３節権限の管理

第４７条（権限の管理及びそれに係る対策）

情报セキュリティ管理者は、「共通セキュリティガイドライン」に基づいて、主体から対象に対するアクセスの権限を适切に设定するよう、措置を讲ずること。

２情報セキュリティ管理者は、管理者権限の特権を持つ主体の識別コード及び主体認証情報が、悪意ある第三者等によって窃取された際の被害を最小化するための措置及び、内部からの不正操作や誤操作を防止するため「共通セキュリティガイドライン」に基づいて、必要な措置を講ずること。

第４節ログの取得?管理

第４８条（ログの取得?管理?分析?点検及びそれに係る対策）

情报セキュリティ管理者は、情报システムのログの取得?管理?分析?点検を行うにあたって、「共通セキュリティガイドライン」に基づいて、要件を策定すること。&苍产蝉辫;

第５節通信の観測

第４９条（通信傍受の禁止）

情报システムを运用?管理する者及び利用者等は、ネットワークを通じて行われる通信を傍受してはならない。ただし、颁滨厂翱、情报セキュリティ実施责任者并びに当该ネットワークを管理する情报セキュリティ管理者は、セキュリティ确保のため、あらかじめ指定した者に、ネットワークを通じて行われる通信のセキュリティ确保目的の観测（以下「観测」という。）を行わせることができる。

２ CISO、情報セキュリティ実施責任者並びに情報セキュリティ管理者は、観測の範囲をあらかじめ具体的に定めておかなければならない。ただし、不正アクセス行為又はこれに類する重大なセキュリティ侵害に対処するために特に必要と認められる場合、CISO、情報セキュリティ実施責任者並びに情報セキュリティ管理者は、セキュリティ侵害の緊急性、内容及び程度に応じて、対処のために不可欠と認められる情報について、観測を行うよう命ずることができる。

３観測を行う者は、観測によって知った通信の内容又は個人情報を、他の者に伝達してはならない。ただし、前項ただし書きに定める情報については、CISO、情報セキュリティ実施責任者並びに情報セキュリティ管理者、及び、情報セキュリティ委員会に伝達することができる。

４　観测を行う者及び観测记録の伝达を受けた者は、セキュリティ确保のために必要な限りで、これを閲覧し、かつ、保存することができる。観测记録を不必要に閲覧してはならない。不必要となった観测记録は、直ちに破弃しなければならない。&苍产蝉辫;

第６節暗号?電子署名

第５０条（暗号化機能?電子署名機能の導入及びそれに係る対策）

情报セキュリティ管理者は、情报システムで取り扱う情报の漏えいや改ざん等を防ぐため、「共通セキュリティガイドライン」に基づいて、以下の措置を讲ずること。

（１）要機密情報を取り扱う情報システムについては、暗号化を行う機能の必要性の有無を検討し、必要があると認めたときは、当該機能を設けること。

（２）要保全情報を取り扱う情報システムについては、電子署名の付与及び検証を行う機能を設ける必要性の有無を検討し、必要があると認めたときは、当該機能を設けること。

第５１条（暗号化?電子署名に係る管理）

情报セキュリティ管理者は、暗号及び电子署名を适切な状况で利用するため、「共通セキュリティガイドライン」に基づいて、必要な管理措置を讲ずること。&苍产蝉辫;

第１３章情報セキュリティの脅威への対策

第１節ソフトウェアに関する脆弱性対策

第５２条（ソフトウェアに関する脆弱性対策の実施）

情报セキュリティ管理者は、「共通セキュリティガイドライン」に基づいて、サーバ装置、端末及び通信回线装置の设置又は运用中に、当该机器上で利用するソフトウェアに関连する脆弱性についての対策を実施すること。&苍产蝉辫;

第２節不正プログラム対策

第５３条（不正プログラム対策の実施）

情报セキュリティ管理者は、「共通セキュリティガイドライン」に基づいて、サーバ装置及び端末に不正プログラム対策ソフトウェア等を导入すること。

２情報セキュリティ管理者は、「共通セキュリティガイドライン」に基づいて、不正プログラム対策の状況を適宜把握し、必要な対処を行うこと。

第３節サービス不能攻撃対策

第５４条（サービス不能攻撃対策の実施）

情报セキュリティ管理者は、「共通セキュリティガイドライン」に基づいて、サービス提供に必要なサーバ装置、端末及び通信回线装置が装备している机能又は民间事业者等が提供する手段を用いて以下を含むサービス不能攻撃への対策を行うこと。

（１）　サービス不能攻撃を受けた场合を想定した対策

（２）　サービス不能攻撃を受けることに関する监视&苍产蝉辫;

第４節標的型攻撃対策

第５５条（標的型攻撃対策の実施）

情报セキュリティ管理者は、情报システムにおいて、标的型攻撃による组织内部への侵入を低减する対策（入口対策）を「共通セキュリティガイドライン」に基づいて讲ずること。

２情報セキュリティ管理者は、情報システムにおいて、内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、及び外部との不正通信を検知して対処する対策（内部対策及び出口対策）を、「共通セキュリティガイドライン」に基づいて講ずること。

第１４章アプリケーション?コンテンツの作成?提供

第１節アプリケーション?コンテンツ作成時の対策

第５６条（アプリケーション?コンテンツの作成に係る规定の整备）

情报セキュリティ実施责任者は、アプリケーション?コンテンツの作成?提供时に情报セキュリティを损ねる行為を防止するための规定を「共通セキュリティガイドライン」に记载すること。&苍产蝉辫;

第５７条（アプリケーション?コンテンツのセキュリティ要件の策定?対策）

情報セキュリティ管理者は、アプリケーション?コンテンツの開発?作成を業務委託する場合において、「共通セキュリティガイドライン」に基づく内容を調達仕様に含めること。

第２節アプリケーション?コンテンツ提供時の対策

第５８条（本学ドメイン名の使用）

情報セキュリティ管理者は、ウェブサイト等に対して、meiji.ac.jp や meiji.jp 等で終わるドメイン名（以下「本学ドメイン名」という。）を使用すること。ただし、明らかに本学のものであると確認できる場合はこれに限らない。

２教職員等は、ウェブサイト等の作成を業務委託する場合においては、前項に規定する本学に適したドメイン名を使用すること。

第５９条（不正なウェブサイトへの诱导防止および検索サイトに係る対策）

情报セキュリティ管理者は、利用者が検索サイト等を経由して本学のウェブサイトになりすました不正なウェブサイトへ诱导されないよう以下の対策を讲ずること。

（１）　検索エンジン最適化措置（SEO 対策）

（２）　検索结果に不审なサイトが存在した场合、その検索サイト业者への速やかな报告、および、本学のウェブサイト等における注意唤起の掲示や学内関係部署への报告等&苍产蝉辫;

第６０条（アプリケーション?コンテンツの告知に係る対策）

利用者等は、アプリケーション?コンテンツを告知する场合は、告知する対象となるアプリケーション?コンテンツに利用者が确実に诱导されるよう、「利用者向けセキュリティガイドライン」に基づいて必要な措置を讲ずること。

２利用者等は、学外の者が提供するアプリケーション?コンテンツを告知する場合は、告知するURL 等の有効性を保つこと。

第１５章端末?サーバ装置等

第１節端末

第６１条（端末の導入?運用?終了時の対策）

情报セキュリティ管理者は、要保护情报を取り扱う端末について、「共通セキュリティガイドライン」に基づいて以下の措置を讲ずること。

（１）　物理的な胁威からの保护

（２）　利用を认めるソフトウェアの定期的な见直し

（３）　端末の运用终了时の対策

（４）　要管理対策区域外で使用する端末の导入及び利用时の対策

（５）　本学支给以外の端末の导入及び利用时の対策&苍产蝉辫;

第２節サーバ装置

第６２条　（サーバ装置の导入?运用?终了时の対策）

情报セキュリティ管理者は、要保护情报を取り扱うサーバ装置について、「共通セキュリティガイドライン」に基づいて以下の措置を讲ずること。

（１）　物理的な胁威からの保护

（２）　可用性の确保

（３）　利用を认めるソフトウェアの定期的な见直し

（４）　不适切な状态にあるサーバ装置の确认

（５）　意図しない事象の监视

（６）　要安定情报を取り扱うサーバ装置の対策

（７）　サーバ装置の运用终了时の対策

（８）　サーバ装置の运用时?运用管理作业の记録?监视?復元时の対策&苍产蝉辫;

第３节复合机?特定用途机器

第６３条（複合機および特定用途機器の導入?運用?終了時の対策）

情报セキュリティ管理者は、复合机および特定用途机器について「共通セキュリティガイドライン」に基づいて以下の措置を讲ずること。

（１）　情报セキュリティインシデントへの対策

（２）　运用终了时の対策

（３）　机器の特性に応じた対策&苍产蝉辫;

第１６章電子メール?ウェブ等

第１節電子メール

第６４条（電子メールの導入?運用時の対策）

情报セキュリティ管理者は、电子メールの送受信を行うシステムの导入?运用において、「共通セキュリティガイドライン」に基づいて、以下を含む必要なセキュリティ対策を讲ずること。

（１）　电子メールの受信时及び送信时の主体认証

（２）　电子メールのなりすまし等の防止&苍产蝉辫;

第２節ウェブ

第６５条（ウェブサーバの導入?運用時の対策）

情报セキュリティ管理者は、ウェブサーバの导入?运用において、「共通セキュリティガイドライン」に基づいて、必要なセキュリティ対策を讲じること。

第６６条（ウェブアプリケーションの開発時?運用時の対策）

情报セキュリティ管理者は、ウェブアプリケーションの开発时?运用时において、「共通セキュリティガイドライン」に基づいて、ウェブアプリケーションの脆弱性の排除を含む、必要なセキュリティ対策を讲ずること。&苍产蝉辫;

第３節ドメインネームシステム（DNS）

第６７条（DNS の導入?運用時の対策）

情报セキュリティ管理者は、顿狈厂サーバの导入?运用において、「共通セキュリティガイドライン」に基づいて、以下を含む必要なセキュリティ対策を讲ずること。

（１）　コンテンツサーバに係る対策

（２）　キャッシュサーバに係る対策

（３）　DNS キャッシュポイズニング攻撃に係る対策

第４節データベース

第６８条（データベースの導入?運用時の対策）

情报セキュリティ管理者は、データベースの导入?运用において、「共通セキュリティガイドライン」に基づいて、以下を含む必要なセキュリティ対策を讲ずること。

（１）　データベースの管理者権限に係る対策

（２）　データベースの操作ログに係る対策

（３）　データベースにおける脆弱性に係る対策

（４）　データベースにおける暗号化に係る対策&苍产蝉辫;

第１７章通信回線

第６９条（通信回線の導入?運用時の対策）

情报セキュリティ実施责任者は、通信回线构筑时に、当该通信回线に接続する情报システムにて取り扱う情报の格付及び取扱制限に応じた适切な回线种别を选択し运用するために、以下の内容を「共通セキュリティガイドライン」に记载すること。

（１）　通信経路の分离に係る対策

（２）　通信回线の秘匿性确保に係る対策

（３）　通信回线への情报システムの接続に係る対策

（４）　通信回线及び通信回线装置の保护に係る対策

（５）　要安定情报を取り扱う情报システムが接続される通信回线に係る対策

（６）　学内通信回线と学外通信回线との接続に係る対策

（７）　远隔地から通信回线装置に対して行われるリモートアクセスに係る対策

（８）　通信回线の运用时の対策

（９）　作业记録?设定情报等のバックアップの取得と保管

（１０）　無線LAN 環境導入時の対策

２情報セキュリティ管理者は、通信回線の構築および運用時には「共通セキュリティガイドライン」に基づく内容を仕様に含めること。

第７０条（通信回線の運用終了時の対策）

情报セキュリティ管理者は、通信回线装置の运用を终了する场合には、当该通信回线を构成する通信回线装置が运用终了后に再利用された时又は廃弃された后に、运用中に保存していた情报が漏えいすることを防止するための适切な措置を讲ずること。&苍产蝉辫;

第１８章情報システムの利用

第１節情報システムの利用

第７１条（情报システムの利用に係る规定の整备）

情报セキュリティ実施责任者は、本学の情报システムの利用のうち、情报セキュリティに関する规定として、以下の内容を「利用者向けセキュリティガイドライン」に记载すること。

（１）　情报システムの基本的な利用のうち、情报セキュリティに関する手顺

（２）　电子メール及びウェブの利用のうち、情报セキュリティに関する手顺

（３）　识别コードと主体认証情报の取扱手顺

（４）　暗号と电子署名の利用に関する手顺

（５）　不正プログラム感染防止の手顺

（６）　アプリケーション?コンテンツの提供时に学外の情报セキュリティを损ねる行為の防止に関する手顺

（７）　ドメイン名の使用に関する手顺

（８）　奥别产会议サービス利用时の手顺

（９）　鲍厂叠メモリ等の外部电磁的记録媒体を用いた情报の取扱いに関する利用手顺&苍产蝉辫;

第７２条（情报システム利用者の规定の遵守を支援するための対策）

情报セキュリティ管理者は、利用者等による规定の遵守を支援する机能について情报セキュリティリスクと业务効率化の観点から支援する范囲を検讨し、当该机能を持つ情报システムを构筑することで利用者等へ情报セキュリティインシデントが発生しにくい利用环境を提供し组织全体のセキュリティ水準を确保すること。

第７３条（情报システム利用者の规定の遵守を支援するためのウェブサイト、电子メールに係る対策）

情报セキュリティ管理者は、学外のウェブサイトについて、利用者等が閲覧できる范囲を制限する机能を导入すること。

２　情报セキュリティ管理者は、利用者等が不审なメールを受信することによる被害をシステム的に仰止する机能を导入すること。&苍产蝉辫;

第７４条（情报システムの利用时の基本的対策）

利用者等は、情报システムを利用するときに「利用者向けセキュリティガイドライン」に记载されている基本的対策に基づいて利用すること。&苍产蝉辫;

第２節ソーシャルメディアサービスによる情報発信

第７５条　（ソーシャルメディアサービスによる情報発信時の対策）

情报セキュリティ実施责任者は、本学が管理するアカウントでソーシャルメディアサービスを利用することを前提として、以下を含む情报セキュリティ対策に関する运用手顺等を定めること。また、当该サービスの利用において要机密情报が取り扱われないよう规定すること。

（１）　本学のアカウントによる情报発信が実际の本学のものであると明らかとするために、アカウントの运用组织を明示するなどの方法でなりすましへの対策を讲ずること。

（２）　パスワード等の主体认証情报を适切に管理するなどの方法で不正アクセスへの対策を讲ずること。

２　利用者等は、要安定情报の一般利用者への提供にソーシャルメディアサービスを用いる场合は、本学の管理するウェブサイトに当该情报を掲载して参照可能とすること。&苍产蝉辫;

第３節テレワーク

第７６条　（実施规程の整备）

情报セキュリティ実施责任者は、テレワークを実施する场合は情报セキュリティ対策に係る规定を整备すること。

第７７条　（実施环境における対策）

情报セキュリティ管理者は、テレワークの実施により学外通信回线を経由して本学の情报システムへリモートアクセスする形态となる情报システムを构筑する场合は、第７６条の规定に従い、通信経路及びリモートアクセス特有の攻撃に対するセキュリティを确保すること。

２　情报セキュリティ管理者は、リモートアクセスに対し多要素主体认証を行うこと。

３　情报セキュリティ管理者は、リモートアクセスする端末を最新の脆弱性対策や不正プログラム対策が施されている端末に限定すること。&苍产蝉辫;

第７８条　（実施时における対策）

情报セキュリティ管理者は、第７６条の规定に従い、テレワーク実施前及び実施后に利用者等がチェックするべき项目を定め、利用者等に当该チェックを実施させること。

２　利用者等は、画面ののぞき见や盗聴を防止できるようテレワークの実施场所を选定すること。また、自宅以外でテレワークを実施する场合には、离席时の盗难に注意すること。

３　利用者等は、原则として情报セキュリティ対策の状况が定かではない又は不十分な学外通信回线を利用してテレワークを行わないこと。

黑料社区