国立51高専1法人のスケールメリットii ~情報セキュリ...
TRANSCRIPT
国⽴51⾼専1法⼈のスケールメリットII〜情報セキュリティ監査、
e-learning・標的型攻撃による情報倫理教育、ソフト・回線の共同調達〜
新井 イスマイル(明⽯⾼専/奈良先端⼤)⼊江 智和(⿅児島⾼専)千⽥ 栄幸(⼀関⾼専)松野 良信(有明⾼専)
池⽥ 耕(⾼専機構本部)⾦⼭ 典世(松江⾼専)寺元 貴幸(津⼭⾼専)仲野 巧(豊⽥⾼専)
野⼝ 健太郎(⾼専機構本部)脇⼭ 俊⼀郎(仙台⾼専)
加藤 靖(鶴岡⾼専/⾼専機構本部/仙台応⽤情報学研究振興財団)
シリーズ物にするはずが痛恨のミス
• 前回:「全国⽴⾼専1法⼈のスケールメリットI〜歴史的PIアドレスの集約、機器・ソフトの⼀括調達、ノウハウ・⼈材の共有〜」• 今回:「国⽴51⾼専1法⼈のスケールメリットII〜情報セキュ
リティ監査、e-learning・標的型攻撃による情報倫理教育、ソフト・回線の共同調達〜」
2016/6/23 IOT34 2
IdP of the Year 2015https://www.gakunin.jp/jo51y8vh1-538/
• 「全国51校の国⽴⾼等専⾨学校と機構本部が運⽤するIdP,それら全体のマネージメントを実施し,各⾼専のIdPの運⽤管理レベルを⾼いレベルで保ってきた」
2016/6/23 IOT34 3
⾼専(⾼等専⾨学校)
2016/6/23 IOT34 4
• 国⽴:51• 公⽴:3• 私⽴:3• 国⽴⾼専は1法⼈:(独)国⽴⾼等専⾨学校機構• 学⽣:51,674⼈(H26)• 教職員:6,337⼈(H27)
• 教員:3,702⼈(http://research.kosen-k.go.jp/researcher-list/)
• 交付⾦:622億円(H26)• 収⼊: 810億円(H26)• ⼈件費:579億円(H26)
⾼専機構組織図
2016/6/23 5
監 査 室 産学連携・地域連携・知的財産担当
理 事 長
運営協議会 役 員 会 企画委員会 業務改善委員会
教育・FD担当監 事 本部事務局
教育改革推進本部
入学試験運営担当
リスク管理本部危機管理室
男女共同参画推進担当法規調査室
国際交流担当
【特定業務企画本部】
広報担当事務部長会議
研究推進・産学連携本部
学生支援・課外活動担当
【全国共同利用施設】
国際交流センター
教育環境整備担当
校長会議
安全衛生管理・地球温暖化対策担当
ブロック校長会議
情報基盤担当高等専門学校 51校
前回のダイジェスト
• 歴史的PIアドレスの集約• 各⾼専の歴史的PIアドレスの総数は6B強• 各⾼専で課⾦(総額400万円/年)→⾼専機構⼀括課⾦(66万円/年)
• 機器・ソフトの⼀括調達• UTMと認証基盤(LDAP, RADIUS)を⼀括調達• 当初想定していた合計費⽤よりも1億円弱削減
• ノウハウ・⼈材の共有• 情報担当者研修会
• 年に1回、全国⽴⾼専の情報担当者を招集• ⼀括調達機器やサービスの活⽤⽅法をレクチャー
• メーリングリスト• 構成員:全国⽴⾼専の情報担当者• 部会メンバーのスカウトも・・・
2016/6/23 IOT34 6
国⽴⾼専の情報基盤整備の歴史第1期:H7第2期:H13第3期:H18(独法化)(6割だけ)第4期:H26〜(トップダウン)
今回のトピック
• 情報セキュリティ監査• e-learning・標的型攻撃による情報倫理教育• ソフト・回線の共同調達
2016/6/23 IOT34 7
情報セキュリティ監査
2016/6/23 IOT34 8
監査
• 監事監査• 監事が実施• 中期計画等、⾼専運営に関するもの• 監事講話
• 内部監査• 監査室が実施• 事務に関するもの
• 情報セキュリティ監査(H24〜)• 情報基盤担当が実施• セキュリティポリシーの運⽤状況の確認
• 17⾼専/年(3年で⼀巡)• 実質2⽇間(3⽇間の初⽇午後開始、最終⽇午前終了)
2016/6/23 IOT34 9
情報セキュリティ監査のチェック項⽬5分類80項⽬1. 組織、危機管理、⾃⼰点検及び⾒直し2. 情報システムの利⽤遵守(ルール)3. 利⽤者ID及びパスワードの運⽤管理4. 情報システムの運⽤管理5. 情報システムの調達及び外部委託
2016/6/23 10
表 1 情報セキュリティ監査の項目数・確認方法と指摘数分類 項目数 確認方法 指摘数
閲覧 ヒアリング 視察 (H27)
1 12 12 7 0 24
2 20 20 19 1 54
3 18 5 18 2 8
4 26 8 26 10 17
5 4 4 4 0 0
運営
現場担当
指摘項⽬トップ5
• パソコン等の端末の外部持出ルール:パソコン等の端末、記録媒体、情報資産を外部に持ち出す場合のルールを整備し適切に運⽤されているか(8校)
• ソフトウェア購⼊⼿続き:⾼専機構「ソフトウェア管理規則」に基づき、ソフトウェアの購⼊⼿続きが適切に⾏われているか。(管理担当者がソフトウェア管理を適切に実施できるフローになっているか等)(8校)
• ソフトウェアの管理:⾼専機構「ソフトウェア管理規則」に基づき、ソフトウェアのオリジナルディスク、使⽤許諾契約書、ライセンス証明書等が適切に管理されているか(7校)
• パソコン等の修理⼿続き:記録媒体を内蔵する機器(データを消去していないパソコン等)を外部の事業者に修理させる場合、情報が漏洩しない対策(修理を委託する事業者との機密保持契約等)が講じられているか(6校)
• 記憶装置の情報消去:廃棄またはリース返却する機器内部の記憶装置から全ての情報が消去され、復元が不可能な状態にされているか。(物理的もしくは時期的破壊)(5校)
2016/6/23 IOT34 11
e-learning・標的型攻撃による情報倫理教育
2016/6/23 IOT34 12
e-learningによる情報倫理教育
• 学⽣に対しては情報システム利⽤前に情報倫理教育をやっているが、教職員は⼤丈夫!?→⼤丈夫じゃない• 校内でも全教職員を集めて講習を開くのは困難
→e-learning
• H26:りんりん姫(NII)• 全⾼専学認参加
• H27:教職員のための情報倫理とセキュリティ2015年版(⽇本データパシフィック社)
2016/6/23 IOT34 13
e-learning受講状況
2016/6/23 14
表 2 e-learning の受講結果年度 受講対象 受講完了 未完了校 受講完了率26 7,084 6,811 12 96.1
27 7,112 7,030 13 98.8
0
20
40
60
80
100
11/2 11/12 11/22 12/2 12/12 12/22 1/1 1/11 1/21
(%)
図 3 e-learning による情報倫理教育の受講完了率の推移(H27)
標的型攻撃メール
2016/6/23 IOT34 15
• メル訓クラウド(アイエックス・ナレッジ社)• 1回事前告知して教職員に対して2回実施• 2015/12/22:1,080名• 2016/2/1:1,900名
• 1/18に⽂科省が不審メール警告表 3 標的型攻撃メールの内容 (1 回目)
From 総務課 < 適当なユーザ ID@ランダムな英数字.jp>
件名 【周知】冬季休業日に関するお知らせ本文 各位
今年度の冬季休業日における注意事項等を周知いたします。詳しい内容は添付資料をご覧下さい。
添付 お知らせ.pdf
表 4 標的型攻撃メールの内容 (1 回目)
From 総務課 < 適当なユーザ ID@ランダムな英数字.jp>
件名 【重要】「標的型攻撃」最新報告本文 各位
いつもお世話になっております。 先日「標的型攻撃」に関する報告書が発表されました。 最新レポートの URLをご案内いたしますので、ご覧下さい。 非常に見ごたえがある内容となっております。
(レポート概要)
セキュリティ会社が数年に渡って追跡調査している最新情報をレポー トしています。 レポートでは ・すでに感染しているかもしれない!?あなたの PC
の見分け方 ・感染したらどうなるか ・感染を未然に防ぐためには 等をまとめています。http://www2...........
添付 なし (URL にてサイトに誘導)
2016/6/23 IOT34 16
表 5 標的型攻撃メールの開封率・報告率(上段:1 回目, 下段:2 回目)
職種 被訓練者数 開封率 全体報告率 開封者報告率全体 1,080 15.9 19.4 82.6
1,900 15.3 19.3 30.0
管理職等 260 15.0 16.9 89.7
270 17.0 9.3 19.6
教員 371 16.7 12.7 56.5
840 15.8 15.8 27.1
事務職員 287 17.8 29.6 92.2
632 12.7 29.7 46.3
技術職員 162 12.3 20.4 125.0
158 19.6 25.3 16.1
2016/6/23 IOT34 17
①, 21.1
①, 35.2
②, 29.8
②, 21.1
④, 31.6
④, 26.8
⑤, 12.3
⑤, 16.9
③5.3
0% 20% 40% 60% 80% 100%
2回目
1回目
①:習慣で開封した②:不審な点はないと判断して開封した③:不審に思ったが気にせず開封した④:不審に思ったが所属している組織(会社・団体など)に関係する内容と考え、開封した⑤:不審に思ったが自分の業務に直接関係する内容と考え、開封した
図 4 開封者のアンケート結果
半数が不審に思わず開封
ソフト・回線の共同調達
2016/6/23 IOT34 18
ソフトウェアの共同調達(主にMicrosoft製品:総額8,000万円)• EES:9,795⼈(教職員)• Office Professional Plus• Windows Professional Upgrade• Core CAL Suite(全学⽣BYOD⽤)• 特典
• Taecher/Student Advantage(Office 365 ProPlus)• 従来のメディア販売オプション1億円削減
• DreamSpark• Standard:全校全学科• Premium:各校1学科
• Azure(別途プリベイド)• H27:1,800万円(300万円弱余)• H28:2,080万円
• Enterprise Mobility Suite(EMS)
2016/6/23 IOT34 19
認証システム
2016/6/23 IOT34 20
UnifIDone(各⾼専認証サーバ) Office365
Office365連携⽤ADサーバ
LicenseSync
Azure
MSアカウン
ト管理
DirSync学認Idp
UnifIDone(各⾼専認証サーバ)
学認Idp
UnifIDone(各⾼専認証サーバ)
学認Idp
UnifIDone連携ツール
学認SP← 全国各拠点へユーザ情報を照会
ユーザ情報を SP に渡す →
全国⾼専アカウント情報
集約サーバ
各種 アカウント連携済み業務⽤サーバ
旅費/給与明細/Xythos 等各種 アカウント連携済み
業務⽤サーバ旅費/給与明細/Xythos 等
各種 アカウント連携済み業務⽤サーバ
旅費/給与明細/Xythos 等
各サーバからアカウント情報照会
各種 校内認証システム演習室AD/802.1X 他各種 校内認証システム
演習室AD/802.1X 他
Office365⽤ライセンス付与
アカウント作成パスワード更新
LDAP/RADIUS全国各拠点より
全国各⾼専内
全国各拠点より
MS クラウドサービス (Azure 内)
回線の共同調達
• SINET5移⾏のタイミングで全⾼専の回線を⾒直し• 基本的に全⾼専最寄りのSINET DCに1Gbps帯域保証接続• 過去の状況
• 100Mbpsベストエフォート回線あり• 商⽤ISPのグローバルIPアドレスを使⽤している⾼専あり• フレッツPPPoE接続廃⽌による回線費⽤負担増
• NII共同調達• 4⾼専が先⾏• 仕様に合わない地域あり→⾼専独⾃の共同調達
2016/6/23 IOT34 21
2016/6/23 IOT34 22
表 6 ネットワーク回線の共同調達結果ブロック/例外高専 回線提供業者/調達方法北海道 北海道総合通信東北 東北インテリジェント通信関東信 アルテリア・ネットワークス北陸 アルテリア・ネットワークス東海 TOKAI コミュニケーションズ関西 ケイ・オプティコム中国 エネルギア・コミュニケーションズ四国 愛媛 CATV
九州 九州通信ネットワーク沖縄 オキット苫小牧、長岡、明石、奈良 NII 共同調達
敷設時期
2016/6/23 IOT34 23
平成28年04⽉
(2016.04)
平成29年04⽉
(2017.04)
平成30年04⽉
(2018.04)
2016.03末41拠点+本部2
2016.09末福井⾼専
2016.11末⼤分⾼専
2017.03末富⼭⾼専(射⽔)⾹川⾼専(⾼松)
都城⾼専
2017.05末⼩⼭⾼専
2017.11末東京⾼専
(2016.01) (2017.01) (2018.01)
2016.06末九州地区7拠点(⼤分、都城以外)
今後
• 未報告事項• 情報セキュリティトップセミナー(CISOセミナー)• ⼈材育成
• LDAP講習• 無線LAN技術講習
• セキュリティポリシー⾒直し• ガイドライン策定
• ソーシャルメディア• BYOD
• 今後• H30基盤システム刷新
• 基幹スイッチ• 校内光ファイバー
• 学務システム共通化• SINET L2VPN活⽤による⾼専網構築• ⾼専CSIRT
2016/6/23 IOT34 24