情報資産を扱う情報システムを運用管理する者は、「情報セキュリティ事故の発生抑制および事故発生時の被害を最小化」に努めなければなりません。
そのためには、情報セキュリティのリスクを正しく把握する必要があるため、指針となるガイドラインを策定しています。
目次
STEP.1 ガイドラインの適用対象の確認
情報システムを運用管理する者のうち、以下を満たす場合、ガイドラインの適用対象となります。
- 運用主管が本法人内の組織または個人である場合
※上記に当てはまらない場合でも、本法人の組織または個人の名称でサービスを公開している場合、適用対象になります。 - 情報システムが複数の利用者や機器からアクセスを受ける場合
STEP.2 情報資産の重要度の確認
情報システムを導入すると「情報資産をネットワーク上で管理する」ことになります。
そのため、導入検討開始前に「どのような情報資産をシステム上で扱うのか」について確認したうえで、「情報資産の重要度に合わせた適切な管理が可能なシステムか」を選定する必要があります。
※重要度4の場合 クラウドサービスは利用できません。
STEP.3 適用されるガイドラインの種類の確認
「どのネットワークにつながるシステムか」によって適用されるガイドラインの種類が異なります(留意するポイントや必要な手続も異なります)。
- 法人内のネットワーク(オンプレミス)の場合
『立命館情報システム運用管理ガイドライン』 - 法人外のネットワーク(クラウドサービス)の場合
『立命館クラウドサービス利用ガイドライン』
STEP.4 ガイドラインに基づいた必要な届出・申請手続
法人内のネットワーク(オンプレミス)の場合
法人として適切に管理されているネットワーク下のため、一定のセキュリティは担保されます。
しかし、ネットワーク下にあるシステムで情報セキュリティ事故やシステム障害が発生した場合、ネットワークに接続している他のシステムに被害が拡大する危険性があります。
そのため、運用主管では、情報セキュリティ事故を発生させない情報システムを構築する必要があり、法人としても、どのようなシステムが法人内のネットワークに接続されているか把握しなければなりません。
※システム設置にあたり情報コンセントを利用する場合は、別途「情報コンセント利用(IPアドレス)新規申請」が必要です。
法人外のネットワーク(クラウドサービス)の場合
情報資産を外部のネットワーク上で管理するため、情報セキュリティのリスク管理をクラウドサービス事業者に委ねることになります。
また、クラウドサービスの種類によってクラウドサービス事業者と運用主管での責任分掌が異なります。
そのため、利用するクラウドサービスがどのような仕組みのシステムなのかを理解し、法人の求める情報資産の管理レベルに達しているか、情報資産を扱う者として運用主管で確実に把握しなければなりません。
STEP.5 情報システムのインターネット公開
情報システムをインターネットに公開する場合、信頼できるドメインと電子証明書(サーバー証明書またはSSL証明書)の使用が必須条件です。
そのため、ドメインやサーバー証明書の重要性を把握し、適切なものを選択しなければなりません。