平成30年度研究関連業務評価委員会評価報告書
164/364

平成31年度は、システムの強化を完了させ、より情報セキュリティが確保される環境を整備する予定である。 【効果】 イントラ業務システムへの2要素認証の導入や、メールシステムの認証方法の見直しによって、仮に本人以外の第三者がIDとパスワードを不正に入手しても、容易にログインすることはできなくなる。また、所内ネットワークを分離することで、仮に産総研内部に侵入されたとしても、被害の拡大を防止できるようになる。 さらに、パスワードの設定・送付方法や機密文書の取り扱い方法に明確なルールを設けたことで、情報漏えいのリスクが低減するとともに、営業秘密の特定及び管理の徹底が図られた。また、サーバ等の定期的なセキュリティ点検と報告を義務化したことで、仮に不正にアクセスされたとしてもすぐに発見できるようになった。 加えて、研究ユニットに情報セキュリティを担うチームを新設し、CSIRTと連携することで、情報セキュリティインシデントへの対処が迅速に行えた。 【実績】 平成28年度に、ファイル転送サービスとメールセキュリティサービスを導入し、平成29年度には、統合情報セキュリティサービスを導入した。 平成30年度には、不正なアクセス事案を踏まえ、統合情報セキュリティサービスの契約内容を見直し、通信ログの分析機能を強化した。また、情報セキュリティ対策を強化した次期基幹業務システムハードウェアの構築を進めており、平成31年度に構築が完了する予定である。 【効果】 ファイル転送サービスにより、機密性の高い情報を含むファイルやメールでの送信が困難な大容量のファイルを、安全に受け渡すことが可能となった。また、メールセキュリティサービスは、不審メール等を検知・遮断・隔離し、役職員等に届くことを防いでいる。 統合情報セキュリティサービスについては、最新のアンチウィルスソフトウェアが産総研の端末にインストールされるとともに、端末の24時間監視及び遠隔操作が可能となった。さらに、アンチウィルスソフトウェアの情報と、ファイアウォールの通信の相関関係を監視・分析している。加えて、契約内容の見直しにより、通信の監視と分析機能が強化され、昨今の巧妙化されたサイバー攻撃に対応できるようになった。 サーバ仮想基盤については、標的型攻撃が困難なシステムに強化されるとともに、万が一サイバー攻撃等による不正なシステム利用が発生したとしても、速やかな検知が可能となり、被害拡大のリスクを減少させることが見込まれる。 - 160 -

元のページ  ../index.html#164

このブックを見る