平成30年度研究関連業務評価委員会評価報告書
176/364

を作成し周知した。 【効果】 情報セキュリティに関する脅威と対策方法を、様々な方法で繰り返し周知することで、役職員等が不審サイトや不審メールに対して注意を払うなど、サイバー攻撃に対する対応力等の向上に繋がった。 また、規程類を分かり易くまとめた文書を作成し、周知したことで、役職員等が、産総研が取るべき情報セキュリティ対策を適切に理解し、実行できるようになることが見込まれ、情報セキュリティインシデントの発生リスクの低減が期待できる。 【実績】 不正なアクセス事案を踏まえた情報セキュリティ監査を実施し、各部署が実施している情報セキュリティ確保のための取り組み等について改善を促した。 具体的には、規程類に沿った運用状況の監査(マネジメント監査)と、サーバ等のセキュリティ診断を、それぞれ別の契約案件として委託し実施した。さらに、イントラ業務システム等の運用管理を委託している業者に対して、外部専門機関によるマネジメント監査を新たに実施するとともに、これまで行っていなかった情報セキュリティ対策の履行状況の確認を行った。 セキュリティ診断については、従来の脆弱性診断に加えて、イントラ業務システムに侵入できるかの調査(ペネトレーションテスト)も実施した。 【効果】 産総研の内部監査では、USBメモリ等の管理台帳の整備状況やパスワードの強度等を確認したことで、各部署における情報セキュリティ対策の改善が図られた。 また、外部委託業者に対して監査を実施したことで、委託先におけるパスワードの管理方法等が改善され、情報漏えい等が起こるリスクの低減が図られた。 セキュリティ診断については、マネジメント監査とは別の契約案件として委託することで、より専門的かつ詳細な診断を実施することができた。さらに、ペネトレーションテストを新たに実施したことで、脆弱性の把握のみならず、侵入経路が存在しているのかを把握し、対策を講じることが可能となった。 これらの各監査や診断等により、産総研内部及び委託先における情報セキュリティ対策の水準が向上した。 【実績】 高度サイバー攻撃対処のための対策導入計画に加え、不正なアクセス事案に対する再発防止対策を策定し、情報セキュリティ対策の強化と体制整備を進めた。 - 172 -

元のページ  ../index.html#176

このブックを見る