平成30年度研究関連業務評価委員会評価報告書
163/364

程類に沿った運用状況の監査(マネジメント監査)と、サーバ等のセキュリティ診断を、それぞれ別の契約案件として委託し実施した。さらに、イントラ業務システム等の運用管理を委託している業者に対して、外部専門機関によるマネジメント監査を新たに実施するとともに、これまで行っていなかった情報セキュリティ対策の履行状況の確認を行った。 セキュリティ診断については、従来の脆弱性診断に加えて、イントラ業務システムに侵入できるかの調査(ペネトレーションテスト)も実施した。 平成31年度は、マネジメント監査の実施時期を早め、年度内にフォローアップ監査までを終えることで、監査の実効性を高める予定である。 【効果】 情報セキュリティ監査と保有個人情報に関する監査を統合し、それぞれの視点を相互補完したことによって実効性が高まり、各部署における情報管理に対する理解度や情報セキュリティ対策に関する意識が向上した。 また、外部委託業者に対して監査を実施したことで、委託先におけるパスワードの管理方法等が改善され、情報漏えい等が起こるリスクの低減が図られた。 セキュリティ診断については、マネジメント監査とは別の契約案件として委託することで、より専門的かつ詳細な診断を実施することができた。さらに、ペネトレーションテストを新たに実施したことで、脆弱性の把握のみならず、侵入経路が存在しているのかを把握し、対策を講じることが可能となった。 これらの各監査や診断等により、産総研内部及び委託先における情報セキュリティ対策の水準が向上した。 【実績】 平成29年度に「サイバーセキュリティ戦略について」(サイバーセキュリティの基本的な方向性を示す国家戦略として閣議決定されたもの)を踏まえ、高度サイバー攻撃に対する対策導入計画を策定した。 平成30年度には、不正なアクセス事案に対する再発防止対策を策定し、情報セキュリティ対策の強化と体制整備を進めた。 具体的には、システムの強化として、イントラ業務システムへの2要素認証の導入や、メールシステムの認証方法の見直し、所内ネットワークの事務用と研究用との分離等を実施することとした。 また、運用の見直し強化として、パスワードの設定・送付ルールや機密文書の取り扱い方法の見直し、サーバ等の定期的なセキュリティ点検と報告の義務化等を行った。 加えて、組織体制の見直しとして、研究ユニットに情報セキュリティを担うチームを新設し、CSIRT(Computer Security Incident Response Team:情報セキュリティインシデントに対処する組織)と連携する体制を構築した。 - 159 -

元のページ  ../index.html#163

このブックを見る