【情報公開】東京大学の全学無線LANサービスである UTokyo WiFi で、“情報セキュリティ対策” として、「教育・研究活動に必要ないサイト」へのアクセス制限が行われていることについて、情報公開請求してみた
- udon_tarou
- 4858
- 0
- 1
- 0
[27]のP.748 には、「東京大学の情報セキュリティ対策基本計画」について、「3月2日の情報セキュリティ委員会で確定する予定」とあります。 #UTokyoWiFi
2018-02-10 19:01:48そこで、2017年3月2日の情報セキュリティ委員会の会議資料を見ると、「東京大学の情報セキュリティ対策基本計画(案)」が提出されているとわかります[28]。 [28] 2017年3月2日の情報セキュリティ委員会の議事次第 (2016年度情報セキュリティ委員会資料P.50) #UTokyoWiFi pic.twitter.com/6VrFZpxKfG
2018-02-10 21:08:17その後、2017年3月14日に、科所長会議において、「東京大学における情報セキュリティ対策基本計画」が決定され、2017年3月17日の情報システム戦略会議で提出されています[29,30]。 [29] 2017年3月17日の情報システム戦略会議の議事次第 (2016年度情報システム戦略会議資料P.745) #UTokyoWiFi pic.twitter.com/jPcgeEOGRE
2018-02-10 21:11:12[30] 東京大学における情報セキュリティ対策基本計画 (2017年3月17日の情報システム戦略会議の資料8、2016年度情報システム戦略会議資料P.789-795) →次ツイートへつづく #UTokyoWiFi pic.twitter.com/7i2IuqFxUE
2018-02-10 21:12:01←前ツイートから引きつづき[30] #UTokyoWiFi pic.twitter.com/cQVTdBGd4O
2018-02-10 21:14:55なお、「東京大学における情報セキュリティ対策基本計画」の決定については、2016年度の情報システム戦略会議の資料には、誤った情報が記載されています。 #UTokyoWiFi
2018-02-10 21:15:48「東京大学における情報セキュリティ対策基本計画」について、2017年3月17日の情報システム戦略会議の議事メモ(案)[31]には、P.804 に、「3月9日の情報セキュリティ委員会でこのセキュリティ対策基本計画が決定された。その後3月14日の科所長会議に報告した」とあります。 #UTokyoWiFi
2018-02-10 21:16:03[31] 2017年3月17日の情報システム戦略会議の議事メモ(案) (2016年度情報システム戦略会議資料P.802-804) #UTokyoWiFi pic.twitter.com/P8YG1qG4hw
2018-02-10 21:16:422016年度の情報セキュリティ委員会の資料には、2017年3月9日の委員会の資料はなかったため、東京大学本部情報戦略課情報戦略チーム(*)に問い合わせたところ、上の誤った記述を訂正していただきました。 (*) 東京大学情報セキュリティ・ポリシー 問い合わせ先 u-tokyo.ac.jp/gen03/public16… #UTokyoWiFi
2018-02-10 21:16:57正しくは、次のようになります。 「2017年3月2日の情報セキュリティ委員会でこのセキュリティ対策基本計画が検討された。その後3月14日の科所長会議で決定した。」 #UTokyoWiFi
2018-02-10 21:17:075章 「東京大学における情報セキュリティ対策基本計画」は、「全学セキュリティファイアウォール」について、何を言っているか #UTokyoWiFi
2018-02-10 21:17:16本章では、3章、4章を踏まえて、「情報セキュリティ対策基本計画」は、全学セキュリティファイアウォールについて、何を言っているのかを検討します。 #UTokyoWiFi
2018-02-10 21:17:27「東京大学における情報セキュリティ対策基本計画」は、「情報セキュリティ対策」という語を含み、また、これを定義し直してはいないので、「情報セキュリティ・ポリシー」における「情報セキュリティ対策」の定義を踏襲していると考えられます。 #UTokyoWiFi
2018-02-10 21:17:41このことは、「情報セキュリティ対策基本計画」の策定のきっかけとなった、文部科学省から通知において、「情報セキュリティ対策基本計画の策定について」のP.302 で、「法人全体の情報セキュリティ対策としての整合性を担保する」ことが要請されていることからも、わかります。 #UTokyoWiFi
2018-02-10 21:17:53また、「情報セキュリティ対策基本計画」は全学セキュリティファイアウォールについて、P.790で次のように定めています。 「全学をカバーするセキュリティファイアウォールを導入し、大学全体としての情報セキュリティ対策を行うことで全学レベルの情報セキュリティを確保する」 #UTokyoWiFi
2018-02-10 21:18:04これらのことから、「情報セキュリティ対策基本計画」は、全学セキュリティファイアウォールの役割を、「情報セキュリティ対策」と定めていると考えられます。 #UTokyoWiFi
2018-02-10 21:18:14このように考えると、3章で扱った、全学セキュリティファイアウォールによる「情報セキュリティ対策に含まれないアクセス制限」の実施は、「情報セキュリティ対策基本計画」にもとづいてはいないことがわかります。 #UTokyoWiFi
2018-02-10 21:18:23なぜなら、「情報セキュリティ対策基本計画」により定められた全学セキュリティファイアウォールの役割である「情報セキュリティ対策」の中には、「情報セキュリティ対策に含まれないアクセス制限」は含まれないからです。 #UTokyoWiFi
2018-02-10 21:18:33前章では、全学セキュリティファイアウォールによる「情報セキュリティ対策に含まれないアクセス制限」の実施は、「情報セキュリティ対策基本計画」にもとづいてはいないことを見ました。 #UTokyoWiFi
2018-02-10 21:18:52全学セキュリティファイアウォールは、3章で見たように、情報システム戦略会議において整備されてきました。 #UTokyoWiFi
2018-02-10 21:19:09そのため、全学セキュリティファイアウォールの運営は、情報システム戦略会議の議長であるCIO(最高情報責任者)と、副議長であるCISO(最高情報セキュリティ責任者)のどちらか、または、両方の権限のもとで、行われていると考えられます。 #UTokyoWiFi
2018-02-10 21:19:201章を振り返ると、「東京大学における情報システムの運営に関する基本規則」により、CIOには、情報システムについての権限が、CISOには、情報セキュリティについての責任があたえられています。 #UTokyoWiFi
2018-02-10 21:19:29CISOは、情報セキュリティについての責任があたえられているため、全学セキュリティファイアウォールが行うことのうち、Hacking, Malware, Phishing の項目についてのURL フィルタリングを含む、「情報セキュリティ対策」である部分を行うことができます。 #UTokyoWiFi
2018-02-10 21:19:38