平成30年度研究関連業務評価委員会評価報告書
177/364

具体的には、システムの強化として、イントラ業務システムへの2要素認証の導入や、メールシステムの認証方法の見直し、所内ネットワークの事務用と研究用との分離等の実施を計画した。 また、運用の見直し強化として、パスワードの設定・送付ルールや機密文書の取り扱い方法の見直し、サーバ等の定期的なセキュリティ点検と報告の義務化等を行った。 加えて、組織体制の見直しとして、研究ユニットに情報セキュリティを担うチームを新設し、CSIRT(Computer Security Incident Response Team:情報セキュリティインシデントに対処する組織)と連携する体制を構築した。 【効果】 イントラ業務システムへの2要素認証の導入や、メールシステムの認証方法の見直しによって、仮に本人以外の第三者がIDとパスワードを不正に入手しても、容易にログインすることはできなくなる。また、所内ネットワークを分離することで、仮に産総研内部に侵入されたとしても、被害の拡大を防止できるようになる。 さらに、パスワードの設定・送付方法や機密文書の取り扱い方法に明確なルールを設けたことで、情報漏えいのリスクが低減するとともに、営業秘密の特定及び管理の徹底が図られた。また、サーバ等の定期的なセキュリティ点検と報告を義務化したことで、仮に不正にアクセスされたとしてもすぐに発見できるようになった。 加えて、研究ユニットに情報セキュリティを担うチームを新設し、CSIRTと連携することで、情報セキュリティインシデントへの対処が迅速に行えた。 【実績】 情報セキュリティ対策を強化した次期基幹業務システムハードウェアの構築を進めており、平成30年度は情報セキュリティ対策を考慮したOSやミドルウェア等の基盤構築が完了した。引き続き、次期基幹業務システムハードウェアの構築を続け、平成31年度には構築が完了する見込みである。 【効果】 次期基幹業務システムハードウェアについては、ネットワークの設計や運用方針から見直しを行い、より強固な標的型攻撃への対策を施すとともに、万が一サイバー攻撃等による不正なシステム利用が発生した場合、次期基幹業務システムハードウェア用にカスタマイズした新しいセキュリティ対策機能の導入により速やかな検知が可能となることにより、被害拡大のリスクを減少することが見込まれる。 - 173 -

元のページ  ../index.html#177

このブックを見る