情報システム利用ガイドライン
1.趣旨
このガイドラインは、学校法人中村産業学園の情報システムの利用にあたり、利用者が遵守すべき指針を定めたものである。
2.情報システムの定義
このガイドラインの適用範囲は、次のとおりである。
- (1) 教育研究システム(ARMO)
- (2) 学生教育支援・事務情報システム(K’sLife)
- (3) 学術情報ネットワークシステム(KIND)
- (4) 総合情報基盤センターが発行する利用者IDを利用するシステム
- (5) 上記の各システムに連携するシステム
3.利用者の定義
4.情報システム利用時の遵守事項
情報システム利用者は、各システムの安心・安全・円滑な運用のために以下に示す各事項を守って利用しなければならない。また、情報システムの各サービスの利用にあたり、別に定める申請書等の提出が必要な場合は、申請書の内容に準じて利用しなければならない。
5.利用者IDとパスワード
- (1) 利用者は、初めて利用者IDの貸与を受けた際は、利用者IDと共に通知される初期パスワードを別に定める期間内に変更しなければならない。
- (2) パスワードは別に定めるパスワードポリシーに基づいて変更し、利用しなければならない。
6.電子メール
(1) 受信
- ① 不審なメールには、絶対に応答してはならない。不審なメールに応答することは、メールアドレスの実在確認がなされ、その後も不審なメールが送られてくる原因となる。
- ② 不審なメールの添付ファイルは、絶対に中身を確認してはならない。Word、Excel、PDFファイルや圧縮ファイルなどの内容を確認するためにクリックして開いたり解凍したりすることは、コンピュータウィルスに感染してデータを破壊したり、ID、パスワード、パソコン内のデータを盗み取られる原因となる。
- ③ 不審なメールのリンクは、絶対にクリックしてはならない。リンク先を確認せずに安易にクリックすることは、実在する企業やサービスの本物そっくりな偽サイトから個人情報(ID、パスワード、メールアドレス、クレジットカード番号等)を入力させられ、騙し取られる原因となる。
- ④ 対処の判断が付かない場合は、総合情報基盤センターに照会すること。
(2) 発信
次の事項に該当する電子メールの発信を行ってはならない。
- ① 学習・教育・研究活動及び事務業務に係る以外の目的で利用するメール
- ② 機密事項など重要な情報のメール
- ③ 個人、学園、大学への誹謗、中傷など不利益をもたらす内容のメール
- ④ 人権及び個人情報・プライバシーの保護に違反するメール
- ⑤ 著作権・商標権等の知的財産権、肖像権、ライセンス権等の権利に違反するメール
- ⑥ チェーンメール(連鎖的に不特定多数への配布をするように求めるメール)やスパムメール(受信者の意向を無視して無差別かつ大量に一括送信するメール)
- ⑦ その他、公序良俗に反し、教育機関として相応しくない内容のメール
(3) メーリングリストの利用
- ① メーリングリストのメンバーをよく確認した上でメールを発信すること。
- ② メンバーが変わった際は、直ちにメーリングリストの更新申請を行うこと。
- ③ 全教職員宛のメーリングリストに発信する際は、発信文書の内容について、学部長(事務は事務部長)の許可を受けたうえで、原則として学科主任及び事務室長・課長補佐以上の者(システムに事前登録された者)によって発信すること。
- ④ メーリングリストは別に定める申請書に基づき利用しなければならない。
(4) その他
- ① 本来、保護情報等を電子メールでやり取りすべきではないが、個人情報等の要保護情報を電子メールでやむを得ず発信せざるを得ない場合は、添付ファイルの暗号化やパスワード設定を必ず行わなければならない。
- ② 他人になりすまして電子メールを発信してはならない。
- ③ 1つの電子メールアドレスを他人と共有して使用してはならない。
7.WWW(World Wide Web)
(1) Webサイトの閲覧
次の事項に該当するWebサイトの閲覧を行ってはならない。
- ① 学習・教育・研究活動及び事務業務に係る以外の目的での閲覧すること。
- ② 安易に検索結果のリンク先を閲覧すること。検索結果に有害なウェブサイトへのリンクが含まれている可能性がある。
- ③ 公序良俗に反する不適切情報を閲覧すること。
- ④ 送られてきた電子メールのリンク先を確認もせずに安易にクリックすること。成りすましサイトやワンクリック詐欺サイトへの誘導、Phishing(フィッシング)被害につながることがある。
(2) Webサイトへの情報送信
- ① Webサイトへの重要な情報のやりとりには SSL/TLS等の安全な通信を利用すること。その際、証明書の正当性を確認すること。
- ② Webサイトへの個人情報の入力は、他の目的に利用される危険性を十分考慮すること。
(3) 不正プログラムに感染した時の対処
- ① ダウンロードしたファイルを実行し又は開いたことにより、不正プログラムに感染したか又は感染の疑いがある場合には、直ちに LAN ケーブルを抜くか、無線LANを切断するなどにより当該 PC をネットワークから分離し、総合情報基盤センターに連絡すること。
(4) ホームページの開設
学内でホームページを開設する場合、以下の点に留意して情報を発信すること。学外に公開する場合には、総合情報基盤センター運営委員会の承認を得ること。
- ① 大学関係者としての自覚
教職員及び学生は、大学関係者であることを自覚した上で情報発信を行うこと。
掲載情報については、次のような内容を発信しないよう十分注意すること。
ア 法令及び公序良俗に反する内容
イ 営利を目的とする内容
ウ 第三者の著作権その他の権利を侵害する内容
エ 第三者を誹謗中傷するような内容
オ その他大学から発信する情報として不適切な内容
- ② 情報の著作権と保護
ア インタ-ネット上における記載物(著作物)の知的所有権は、書籍等の印刷物と基本的に同様であるため、著作権に十分配慮すること。
イ ホームページに掲載する情報(論文、絵画、写真、音楽、デザイン、研究成果等)は、その著作権に十分配慮すること。
ウ 著作権の侵害は日本国並びに関係各国の法令によって、刑事上並びに民事上の責任を問われる場合があるので、決して侵害をしないこと。
エ 書籍やインタ-ネット上の資料・文章などを論文等で引用する際には、著作権法第32 条に即して「正当な範囲内で」著作者・通信タイトル(書名・誌名)・通信(発表)年月日時を必ず明記すること。
オ 特に写真の引用については、著作権者の許可を得ること。
- ③ 個人情報の掲載
ア ホームページにおける個人情報の掲載については、セキュリティ上の危険性を十分考慮すること。
イ 研究成果・サークル活動成果等の情報発信を行う上で、個人情報の掲載が必要と思われる場合には、掲載の目的と掲載による危険性を十分考慮すること。また、本人に対して掲載による危険性についても十分説明した上で同意を得ること。
- ④ 人権の擁護
ア ホームページを公開する場合には、人権に十分に配慮の上、不適切な表現等はしないこと。
イ 身体、性、学歴、出身、民族、宗教、病気等の表現については、十分な配慮を行うこと。
- ⑤ 掲載情報に対する指摘への対応
ア 第三者から掲載内容等の訂正や削除の要請を受けた場合には、速やかに検討し、指摘を受けた第三者の了解を得るように努力すること。その結果を総合情報基盤センターに報告すること。
(5) WWWサーバの構築
WWWサーバの構築に際しては、所定の申請書に基づいて申請し、総合情報基盤センター運営委員会の承認を得ること。
8.掲示板、SNS(Social Networking Service)
(1) 法令順守と権利の尊重
- ① プライバシー、名誉、肖像権、著作権、商標などの他者の権利や利益を不当に侵害することのないよう細心の注意を払うこと
- ② 関連する法令等を遵守すること。
(2) 人権の尊重
- ① 一人ひとりの個性や多様性を尊重し、異なる意見、考え方及び生き方を互いに認め合うことをコミュニケーション活動の基本とするよう心がけること。
(3) プライバシーの保護
- ① 写真や動画などの投稿には、個人、所有者等が特定されないよう画像に修正を行うなど、個人情報の保護を十分に配慮した上で行うこと。
- ② 一度インターネット上に発信された情報は、第三者によって保存、転載され、完全に削除することは、ほぼ不可能であることを認識すること。
(4) 正確な情報の発信
- ① 正確で誤解を与えない情報発信を行うこと。
- ② 虚偽情報や勝手な推測及び伝聞に基づく不正確な情報を発信することは、本人及び大学の名誉と信頼を損なうことを十分認識の上、決してしないこと。
(5) 守秘義務と機密保持
- ① 他人の個人情報や大学での研究上の秘密、職務上知り得た秘密などの情報は決して発信してはならない。
(6) 不適切な情報発信の禁止
- ① アルバイト中の不適切な動画の発信により、閉店に追い込まれたり、莫大な損害賠償等の事件が発生している。このような行為は決してしないこと。
(7) 誹謗・中傷の禁止
- ① 実名、匿名に関わらず、誹謗・中傷をしてはならない。
- ② 誹謗・中傷は、名誉毀損等で訴えられるものであり、一般社会で許されないことはネットワーク社会でも許されない。
- ③ インターネット上の匿名性は保証されない。匿名だからといって公序良俗に反する書き込みや誹謗・中傷等をしてはならない。
9.情報セキュリティ
情報システムにおける資産を各種の脅威から保護することを情報セキュリティという。資産には、システムを構成するハードウェア、ソフトウェア及び情報などがある。
脅威としては、災害、故障や過失などの偶発的なものから、コンピュータウィルスやシステム侵入者による不正行為などの意図的なもの(コンピュータ犯罪)まで幅広く捉えられる。これらの脅威に対し、完璧な防御を行うことは不可能であるが、多くの場合、利用者がシステムの資産を守るための基本的事項を実行していれば被害を未然に防ぐことができ、もし被害にあっても迅速な復旧が可能となる。
ネットワークにおけるセキュリティ問題が特別な意味を有する理由の一つは、「一つのシステムに問題が起きた場合に、別のシステムにも悪影響を及ぼす危険性が高い」ということにある。従って、外部からの『悪意』や『ウィルス』などの侵入を防ぐことは、インターネットや情報システムの資源の恩恵を享受する全ての利用者の義務であると考えられる。
そこで、まず、情報セキュリティを脅かす問題のいくつかを紹介し、次に、注意すべきこととして、パスワードの管理や文書の管理方法について述べる。
(1) 自然災害
自然災害には、地震、火山噴火、台風、水害等様々であり、ある日突然発生することが多い。これによって、建物や情報機器の損壊、浸水、停電、ネットワークケーブルの断線などの被害が発生する。これらの被害を事前に想定して、揺れに強い設置方法、浸水しない場所、無停電装置による一時的な電源供給、ケーブル断線に対応した別系統の確保などの対策を行っておく必要がある。
(2) 盗聴
正当な送信先にメッセージが到達したとしても、その内容が第三者に漏れているかもしれない。基本的に、ネットワーク上を流れる情報の盗聴は可能である。また、コンピュータから出る電磁波を傍受し、利用者IDやパスワード等を不正に入手して不正侵入することによってデータ等に多大な損害を与えることが可能になる。
(3) なりすまし、データの改ざん
あるユーザになりすまして、データを改竄したり、別のホストを攻撃し、システムを破壊する行為がある。あるユーザに成りすますことにより、追跡調査をされても自分(企てた者)には被害のないようにする悪質な行為である(踏み台・攻撃)。
(4) コンピュータウィルス
ネットワークやメディアを介して”感染”を繰り返し、一定の条件が整うまで「潜伏」又は突然「発病」し、他人のソフトウェアやデータベースに対して、意図的に何らかの被害を及ぼしていく。こうした目的で作られたプログラムがコンピュータウィルスであり、次の3つの機能の一つ以上を有するものと言われている。
- ① 自己伝染機能
自らの機能によって他のプログラムに自らをコピーし、又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能。
- ② 潜伏機能
発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能。
- ③ 発病機能
プログラムやデータなどのファイルの破壊や、設計者の意図しない動作をする等の機能。
- ④ ウィルスの感染ルートとしては、次のものがある。
ア Webページの閲覧やダウンロードから感染
イ 電子メールの添付ファイルから感染
ウ 電子メールに記載のURLをクリックさせて感染
エ USBメモリやCD、DVDなどから感染
オ インターネットからファイルのダウンロードで感染
カ ネットワークの接続により感染
キ ファイル共有ソフトから感染
特に、依頼した覚えもないところからファイルが送られてきた場合には、ファイルを開かずに破棄すること。上述したように、様々な経路から、ウィルスが侵入する可能性がある。USBメモリを介して、プログラムやデータを他人と交換した時や、自分のUSBメモリを他のパソコンで使用した時、それらの媒体にウィルスに感染していないかどうかウィルス対策ソフトウェアによって検査を行うことを励行して欲しい。
(5) サービス不能攻撃
ネットワークの共有資源を占有又は破壊し、他のユーザのサービスを受け付けられなくすることをいい、処理能力に対して過大な要求を出す攻撃(過負荷攻撃)がこれにあたる。
(6) メール爆弾
ホストに多大な負荷をかけようとするもので、大量又は容量の大きなメールを送り付けるものである。これによって、資源の浪費、業務妨害、システムダウンなどを生じさせる。
(7) チェーンメール
ネズミ算式に増える連鎖メールで、メーリングリストへの転載などによってネットワークを混乱させる。
パスワードを安易なものに設定しておくと、ハードディスク内に保管していたプログラムや文書などが削除されたり、書き換えられたりすることがあり得る。電子メール等を自分が知らないうちに誰かに読まれたりする危険性も非常に高い。そこで、各自が推測されないようなパスワードを設定することが大切である。また、本学のパスワードのみならず、インターネット上のSNS、ネットショップ、オンラインバンキング等において同じパスワードを使い回すことは、どれか一つでもパスワード情報が漏洩すれば、芋づる式に不正侵入されて被害が甚大になる。決して同じパスワードを使い回してはならない。
パスワードを変更する場合には、パスワードポリシーに基づき、以下のことに注意してほしい。
【パスワードポリシー】
- パスワードの文字の長さは、8文字以上14文字以下で設定する。
- パスワード文字列には、半角英字小文字 (a~z) と半角英字大文字 (A~Z)また、半角数字(0~9) を各1文字以上使用する。
- パスワード文字列には、以下の記号が使用できない。
- \,'”` (Yenマーク、カンマ、シングルクォート、ダブルクォート、バッククォート、
スペース)
- パスワードにはユーザIDを含むことはできない。また、現在使用しているパスワードは設定できない。
- ① 推測しやすいパスワードを設定しないこと
ア あなたの名前、親の名前、兄弟姉妹の名前、親族の名前
イ 親しい人の名前、同級生の名前、有名人の名前、ペットの名前
ウ 利用しているパソコンの名前、ホスト名
エ あなたの電話番号、車のナンバー、誰かの誕生日
オ あなたから簡単に推測できる情報
カ 英語や英語以外の辞書の単語
キ 地名、場所、固有名詞
ク 同じ文字だけのパスワード (ex:Aaaaaaa)
ケ キーボード入力で簡単なパターン (ex:Qwerty)
コ 上記の逆又は前若しくは後ろに1文字の数字をいれる
- ② 知られにくいパスワード
ア 大文字と小文字を混ぜて使う
イ 文字と一緒に数字や区切り記号を入れる
ウ 覚えやすいが書きにくい
エ 8文字以上
オ 誰かに覗かれていても覚えられないように、すばやく打てる
- ③ 簡単で知られにくいパスワードの例
ア RoboT!4[my] #eYe-cOn& (2つの単語に1つの特別な文字、数字、記号を挿入)
イ NoTFsw=39 [ None of this Fancy Stuff Works ] (あなたの特別な言葉の略語)
ウ ALpebC/-! [ All Linux Programmers Eat Blue Cheese ] (あなたの特別な言葉の略語)
- ④ その他、パスワードに関して注意するべきこと
ア パスワードは、見破られないように注意する。
イ パスワードは、必ず覚える。メモする際は、一部を伏字にしたり、ヒントを書く。
ウ パスワードを他人に教えてはならない。
エ パスワードの使い回しをしない。
パスワードの変更方法については、総合情報基盤センターのWebサイト
http://www.cnc.kyusan-u.ac.jp/service/web-service.html#B を参照する。
(2) ファイルのバックアップについて
プログラム、文書、データなどの各種ファイルのバックアップは、コンピュータの利用において、欠くことのできない作業の一つである。ファイルの破壊・消滅は、事故・自然災害・侵入などにより、いつ起こるか予測はできない。しかし、バックアップした記録媒体があれば、ほとんど復元することが可能であるので、この作業を習慣としておくことが望ましい。以下によく発生するファイル破壊・消滅の例を挙げる。
- ① ユーザの操作ミス
操作ミスによってファイルを消したり、別のフォルダに移動させて分からなくなってしまうことがある。
- ② ハードウェアの障害
ハードウェアの予期せぬ障害等によってデータが破壊される。
- ③ 外部からの侵入による破壊
セキュリティパッチの未対応やパスワードの管理を疎かにしたことによって、外部からの侵入に遭い、ファイルが暗号化されて見られなくなったり、破壊されたりする。
- ④ 盗難
コンピュータ情報は、高価に売却できるものもあり、盗難に遭わないよう対策する。
- ⑤ 自然破壊
自然破壊については、全く予測ができず、その被害は甚大なものとなる。
上記のように、ファイルが破壊される事を前提に、定期的にバックアップを行っておけば、復元することができる。建物の倒壊、浸水等に備え、バックアップの保管は、災害に強い遠隔地などにも保管することを心掛ける。
以上、情報システムを利用する際の基本的な遵守事項について説明してきた。利用者はこれに基づき、情報システムを有意義に適切な利用を心掛けてほしい。
附則
1 このガイドラインは、令和元年9月27日から施行する。
2 令和元年9月27日 インターネット利用ガイドラインは、廃止する。