【情報公開】東京大学の全学無線LANサービスである UTokyo WiFi で、“情報セキュリティ対策” として、「教育・研究活動に必要ないサイト」へのアクセス制限が行われていることについて、情報公開請求してみた

右丼　タロウ @udon_tarou

2017年1月18日の情報システム戦略会議の資料3[17]からは、全学セキュリティファイアウォールによるURL フィルタリングの具体的なやり方の検討の様子がわかります。 [17] 2017年1月18日の情報システム戦略会議の資料3(2016年度情報システム戦略会議資料P.587-589) #UTokyoWiFi pic.twitter.com/jmZlLq0utG

拡大

拡大

拡大

右丼　タロウ @udon_tarou

この資料では、全学セキュリティファイアウォールにおけるURL フィルタリングによるアクセス制限を、1. Abused-drugs, 2. Adult, 3. Gambling, 4. Hacking, 5. Malware, 6. Phishing の、すでに試験的に実施している6つの項目について正式に行うことが、次の理由で、提案されています。 #UTokyoWiFi

右丼　タロウ @udon_tarou

「このうち4～5(筆者注:4～6か)は、アクセスにより情報セキュリティ上の危害が及ぶ可能性があるサイトである。」 #UTokyoWiFi

右丼　タロウ @udon_tarou

「1～3は、直接情報セキュリティに関連するものではないが、ほとんどの場合教育研究や業務に関係がなく、本学予算等により確保しているネットワーク帯域を有効活用するという点でも、アクセスを制限することが妥当であると思われる。」 #UTokyoWiFi

右丼　タロウ @udon_tarou

この記述から、東京大学の通信回線は、「飲む・打つ・買う」についての情報のやりとりででひしめきあっていることがわかります。 #UTokyoWiFi

右丼　タロウ @udon_tarou

この日の会議においては、上記の6つの項目に対し、さらに、Copyright Infringement, Private IP Address, Proxy Avoidance and Anonymizer の3つの項目を加えて、URL フィルタリングを正式に行う方針が決定されました[18]。 #UTokyoWiFi

右丼　タロウ @udon_tarou

[18] 2016年12月12日の情報システム戦略会議の議事メモ(案)の一部(2016年度情報システム戦略会議資料P.663) #UTokyoWiFi pic.twitter.com/DTVIrHGw1R

拡大

右丼　タロウ @udon_tarou

このような経緯を見ると、全学セキュリティファイアウォールは、「情報セキュリティ対策に含まれないアクセス制限」をも行っており、情報システム戦略会議も、そのことを了承していることがわかります。 #UTokyoWiFi

右丼　タロウ @udon_tarou

実際、東京大学は、東京大学情報セキュリティ・ポリシー[19]において、情報セキュリティ対策の目標を次の4つと定めています。 [19] 東京大学情報セキュリティ・ポリシー u-tokyo.ac.jp/gen03/public16… #UTokyoWiFi

右丼　タロウ @udon_tarou

「1. 東京大学保有の情報資産に関する、重要度による分類と相応の管理の徹底 2. 東京大学保有の情報資産に対する侵害からの防衛 3. 東京大学内外の情報資産に対する加害行為の防止 4. 東京大学内におけるセキュリティ侵害等の早期検出と迅速な対応の実現」 #UTokyoWiFi

右丼　タロウ @udon_tarou

全学ファイアウォールにおけるURL フィルタリングで実施される、1. Abused-drugs, 2. Adult, 3. Gambling の項目についてのアクセス制限は、東京大学が定める情報セキュリティ対策のどれにもあてはまらないため、「情報セキュリティ対策に含まれないアクセス制限」であることになります。 #UTokyoWiFi

右丼　タロウ @udon_tarou

その後、全学セキュリティファイアウォールは、2017年2月5日の時点で、当時試験段階の #UTokyoWiFi (東京大学の構成員がキャンパス内で利用出来る学内共通無線LANサービス)において運用され[20]、5月3日の時点で、3月1日にすでに正式に開始されていた UTokyoWiFiにおいて運用されています[21]。

右丼　タロウ @udon_tarou

[20] #UTokyo WiFi の説明(2017年2月5日) warp.da.ndl.go.jp/info:ndljp/pid… [21] UTokyo WiFi の説明(2017年5月3日) web.archive.org/web/2017050315…

右丼　タロウ @udon_tarou

4章 「東京大学における情報セキュリティ対策基本計画」の策定のきっかけから決定までの経緯 #UTokyoWiFi

右丼　タロウ @udon_tarou

情報システム戦略会議の資料の中で、「全学セキュリティファイアウォール」という言葉が最初に出てきたのは、2016年6月16日の会議資料においてでしたが、その3日前の2016年6月13日に、ある通知が、東京大学総長に対して届きました。 #UTokyoWiFi

右丼　タロウ @udon_tarou

2016年6月13日のその通知は、「国立大学法人等最高情報セキュリティ責任者(CISO)会議」が2016年6月29日に開催されることを、文部科学省が、国立大学法人の長らに対し、告げ知らせるものでした[22,23]。 #UTokyoWiFi

右丼　タロウ @udon_tarou

[22] 2016年7月11日の情報システム戦略会議の議事次第 (2016年度情報システム戦略会議資料P.231) [23] 2016年7月11日の情報システム戦略会議の資料8の「平成28年度 国立大学法人等最高情報セキュリティ責任者会議の開催について(通知)」(2016年度情報システム戦略会議資料P.295-296) #UTokyoWiFi pic.twitter.com/IXHCrWIcuS

拡大

拡大

拡大

右丼　タロウ @udon_tarou

この通知には、「別添」と「別紙」が添付されています。 #UTokyoWiFi

右丼　タロウ @udon_tarou

「(別添) 国立大学法人等における情報セキュリティ強化について[24]」では、情報セキュリティ強化のためにどのような対策が必要であるかが考察されています。 #UTokyoWiFi

右丼　タロウ @udon_tarou

「(別紙1,2) 情報セキュリティ対策基本計画の策定について[25]」には、それらの対策のひとつである「情報セキュリティ対策基本計画」の策定のCISOに対するお願いと、そのやり方が書かれています。 #UTokyoWiFi

右丼　タロウ @udon_tarou

[24] 2016年7月11日の情報システム戦略会議の資料8の「(別添) 国立大学法人等における情報セキュリティ強化について」 (2016年度情報システム戦略会議資料P.297-300) #UTokyoWiFi pic.twitter.com/b41DWrxnXU

拡大

拡大

拡大

拡大

右丼　タロウ @udon_tarou

[25] 2016年7月11日の情報システム戦略会議の資料8の「(別紙1,2) 情報セキュリティ対策基本計画の策定について」 (2016年度情報システム戦略会議資料P.301-307) →次ツイートへつづく #UTokyoWiFi pic.twitter.com/7tdRlS1t4w

拡大

拡大

拡大

拡大

右丼　タロウ @udon_tarou

←前ツイートから引きつづき[25] #UTokyoWiFi pic.twitter.com/gC5UxCQGrL

拡大

拡大

拡大

右丼　タロウ @udon_tarou

その後、2017年2月13日に、情報システム戦略会議において、「東京大学の情報セキュリティ対策基本計画」の原案が提出され、その後の方針について検討されました[26,27]。 #UTokyoWiFi

右丼　タロウ @udon_tarou

[26] 2017年2月13日の情報システム戦略会議の議事次第 (2016年度情報システム戦略会議資料P.662)←資料7に、「 東京大学の情報セキュリティ対策基本計画(案)」 [27] 2017年2月13日の情報システム戦略会議の議事メモ(案) (2016年度情報システム戦略会議資料P.746-748) #UTokyoWiFi pic.twitter.com/Bi1DGthlYy

拡大

拡大

拡大

拡大