東京大学情報ネットワークシステム利用ガイドライン
最終更新:
(趣旨)
東京大学情報ネットワークシステム(以下、UTNET)は、東京大学(以下、本学)における学術教育研究基盤として、情報基盤センター(以下、センター)が中心となって構築、運用管理している情報ネットワークです。UTNET及びUTNETに接続されたすべてのコンピュータ、通信機器、それらの上で動作するソフトウェアを利用する本学の教職員、学生、およびこれに準ずる者の全員が、教育研究活動及び大学運営の「ライフライン」であるUTNETの目的を十分に理解し、円滑な運用の維持に協力しなければなりません。東京大学情報ネットワークシステム利用ガイドライン(以下、本ガイドライン)は、UTNETの利用者ならびに部局や研究室のネットワーク管理者が上記の目的を理解し、その目的を効果的に達成できるように、利用ならびに運用管理上のセキュリティに関する注意事項をまとめたものです。本ガイドラインは、今後のUTNET及びネットワーク技術の発展を考慮し、必要に応じて更新する予定です。
なお、関連して、東京大学情報ネットワーク運用規則、東京大学情報倫理規則、東京大学情報倫理運用規程、情報倫理ガイドライン、東京大学情報セキュリティポリシーの対策基準など、さまざまな規則、規程、ガイドラインが定められています。また、所属部局毎にも規則等が定められている場合がありますので、それらにも従ってください。
(支線ネットワークおよび研究室ネットワークと学外ネットワークとの接続)
UTNETは部局や学外を繋ぐ基幹ネットワークと部局内で研究室などを繋ぐ支線ネットワークから構成されています。センターでは、基幹ネットワークの構築、運用管理を主に行っており、一部の例外を除き、基幹ネットワークと学外ネットワークとの間を流れるトラフィックを監視することで不正なアクセス等がないかをチェックし、学外ネットワークからUTNETを守る重要な役目を担っています。また、UTNETから学外ネットワークに対する不正なアクセスがないかも同時にチェックしています。したがって、支線ネットワークでの学外ネットワークとの接続は原則として禁止しています。特別な理由で学外ネットワークとの接続が必要となる場合は、UTNETのセキュリティを確保するために、以下の点に留意してください。
- 学外ネットワークとの接続が必要となった場合、UTNET部局担当者ならびにセンター担当者と相談し、その必要性に関して再度検討・確認すること。
- 学外ネットワークと接続する場合、UTNETのセキュリティを確保するために、学外通信回線と接続する機器は、ファイアウォールなどの十分なアクセス制御機能を有したものを利用すること。
- ネットワークシステムの異常を早期発見するために、侵入検知システム(IDS)などの監視装置を設置すること。
- UTNET・学外ネットワーク間のトラフィックに関するログを取得し、障害やインシデント発生時に状況分析ができるよう一定期間(例えば90日以上)保管すること。
- 取得したログのアクセス制御を適切に行い、管理者以外がアクセスできないようにすること。
(モバイルPCの利用)
UTNETの安全を保持するために基幹ネットワークと外部ネットワークとの間でのチェックを厳しく行ったとしても、モバイルPCによって学内に持ち込まれるコンピュータウイルスなどの不正プログラムを発見することはできません。したがって、UTNETに接続するモバイルPCについては、セキュリティに十分留意してください。最近は、USBメモリ経由で感染するコンピュータウイルスも見つかっていますので、USBメモリの利用にも注意が必要です。
また、学外ネットワークとの接続に述べたことと同様の理由で、モバイルPCをUTNETと学外ネットワークの双方に同時に接続し、両ネットワーク間をルーティングしてはいけません。仮にルーティングしていない場合でも、モバイルPCが学外ネットワーク経由でコンピュータウイルスに感染したり、クラッキングされたりした後に、そのモバイルPCからUTNETが攻撃されることも考えられます。
- モバイルPCで利用する基本ソフトウェアやアプリケーションソフトウェアは最新バージョンのものを利用し、必ずアンチウイルスソフトウェアをインストールすること。また、アンチウイルスソフトウェアでは、ウイルスのパタンファイルは常に最新バージョンを利用すること。
- モバイルPCをUTNETに再接続する場合は、接続に先だってアンチウィルスソフトウェア等でスキャンを実行し、不正なプログラムが検出されないことを確認すること。
- 学外ネットワークに接続中のモバイルPCをUTNETには接続しないこと。
(光ファイバ専用利用)
研究プロジェクトなどで利用する学外ネットワークを本学のキャンパス内に延長するために、センターの提供するUTNET光ファイバケーブル専用利用サービスを用いる場合でも、センターが当該ネットワークの状況を把握し安全性を確保することはできません。したがって、セキュリティ確保のため、以下の点に留意してください。
- 接続する機器のセキュリティの保持に十分留意すること。
- アクセス記録や認証記録などのログを取得し、障害やインシデント発生時に状況分析ができるよう一定期間(例えば90日以上)保管すること。
- 取得したログのアクセス制御を適切に行い、管理者以外がアクセスできないようにすること。
(VPN)
Virtual Private Network(以下、VPN)により、学外ネットワークを専用回線のように利用することで、キャンパス外でモバイルPCを支線ネットワークに接続することが可能です。これにより、研究室にあるファイルサーバに安全にアクセスしたり、学内限定Webサービスなどを学外ネットワークから利用できるなど、効率的で柔軟な教育研究活動が可能となると期待されます。しかし、セキュリティに関して十分な設定を行わずに利用すると、その安全性は確保されませんので、十分に注意してください。
SSL-VPNは、SSLに対応したWebブラウザさえあれば容易に利用できる便利なVPN構築技術です。しかし、インターネットカフェなど不特定多数が利用する端末を用いて接続した場合に、その端末がコンピュータウイルスや不正プログラムに感染しているとUTNETに接続後、ネットワーク内の計算機等を攻撃するといったことも考えられます。したがって、利用の際にはセキュリティ確保のため、以下の点に留意してください。
- 無線通信など盗聴される危険性のある通信経路を利用する場合には、暗号化により内容が解析できないようにすること。
- 接続に用いられる機器の識別および利用者等の認証を適切に行うこと。
- VPN経由でアクセスすることが可能なネットワークおよびサービスの範囲を必要最小限に制限すること。
- アクセス記録や認証記録などのログを取得し、障害やインシデント発生時に状況分析ができるよう一定期間(例えば90日以上)保管すること。
- 取得したログのアクセス制御を適切に行い、管理者以外がアクセスできないようにすること。
(リモートアクセス)
部局や研究室において、Webサーバ、メールサーバなど学外ネットワークから利用できるサーバやサービスを運用する場合は、セキュリティには十分留意してください。ファイアウォール内でそれらのサーバを運用していたとしても、学外ネットワークからアクセス可能であることに変わりなく、提供するサービスプログラムのバグなどの脆弱性により不正にアクセスされる可能性があります。
- 学外ネットワークからアクセスできる機器およびサービスは必要最小限にすること。
- 学外ネットワークから学内ネットワークに対する適切なアクセス制御が可能なネットワーク構成にすること。
- 学外ネットワークからアクセスを許可する機器は、十分なアクセス制御機能を有したものを利用すること。
- 通信に利用する機器の識別および通信を行う者の認証を適切に行うこと。
- アクセス記録や認証記録などのログを取得し、安全な方法で一定期間保管すること。
- リモートアクセスに用いる経路における盗聴などを防ぐため、暗号化などの対策を講じること。
(障害、インシデント)
UTNETを安全に利用・運用するため、各自が管理するコンピュータやネットワークの状況は常にチェックにしてください。コンピュータウイルスに感染した状態で数日放置されるというようなことがあってはなりません。以下の事項に留意し、万一、障害やインシデントが発生した場合にも、迅速な対応が可能なように日頃からの準備を心掛けてください。
障害原因の分析など運用管理のために情報を収集する際、管理者であっても正当な理由や利用者の承諾なしに、通信の秘密を侵害してはなりません。また、業務上、知り得た個人情報の取り扱いには十分注意してください。
- 定期的にネットワークや機器に対するアクセス記録などのログを分析・監視すること。
- 異常を発見した場合には、原因の追及、被害状況の把握・拡大防止、復旧作業を関係者と協調して行うこと。
- 原因を分析し、再発防止のための対策を講じること。
- インシデント発生の場合には、直ちに部局CERTへ報告すること。
- 業務上知り得た個人の情報を漏らさないこと。管理業務を離れた後においても、同様とする。また、第三者が知り得る状態に置かないこと。
以上