策定済みは半数足らず？ NIIが大学向けのポリシーサンプル規定集を公開

国立情報学研究所（NII）は、国立大学法人向けの情報セキュリティポリシーのサンプル規定集を策定し、公開した。

[高橋睦美，ITmedia]

　国立情報学研究所（NII）は2月26日、国立大学法人向けの情報セキュリティポリシーのサンプル規定集を策定し、公開した。情報セキュリティ政策会議で決定された「政府機関統一基準」に沿った内容であり、各大学での効率的なポリシー策定、ひいてはセキュリティ対策の水準向上を支援する。

　取りまとめに当たったNII客員教授で、東北大学情報シナジーセンター副センター長の曽根秀昭氏は、不正アクセス事件の発生やWinny経由の情報流出を背景に「大学でも、情報セキュリティ対策が必要だという意識は確かにある」と述べた。問題は、具体的に何をどうすればいいのかが分からないことだという。

　ちなみに、実際にセキュリティポリシーを策定している大学となると、全国1100校を超えるという大学／短期大学のうち半分程度。きちんと運用にまで落とし込んでいるところとなると、1割に達するかどうかという状況ではないかと推測されるという。

　また「大学には多様な人々が関わっており、『企業における従業員』という位置付けの人だけではない。しかも、教育や研究を目的としているため、画一的なポリシーをすべてに適用するわけにはいかない」（同氏）

　今回策定したサンプル規定集は、こうした状況を踏まえてまとめられた。個人情報保護法など、さまざまな法律への対応も含めた情報セキュリティ対策が求められている大学に対し、ひな形を提示することにより、ポリシー策定作業の効率化と高品質化を狙う。同時に「情報セキュリティの重要性を認識し直してもらいたい」（曽根氏）という。

　サンプル集ではまず、大本となる基本方針と運用基準のほか、情報格付け規定や利用規程、監査規定など、実施規定および手順（プロシージャ）の一部がまとめられており、NIIのWebサイトで入手可能だ。追って、各種マニュアル類や認証手順、外部委託時の対策実施手順といった手順の細目も整備していく方針だ。

　NIIは同時に、全国7大学の情報基盤センターなどと共同で、全国共同電子認証基盤（UPKI）の共通仕様を公開したことも発表した。複数の大学間で連携可能な、PKI（Public Key Infrastructure：公開鍵基盤）に基づく認証システムの構築をにらんで策定されたものだ。

　UPKI仕様策定に参加した大学のうち、大阪大学や東京工業大学では、先行してPKIに基づく学内認証局を構築し、学生や教員向けに電子証明書を発行してアクセス管理などに活用し始めている。この仕様はそのノウハウを参考にし、PKI調達仕様や認証局運用のルールに当たる「CP/CPS」について、項目ごとに解説と記述例をまとめた。

　このガイドラインは強制力を持つものではない。だが、大学ごとにばらばらの仕様に基づき、個別にキャンパスPKIを導入する代わりに、共通仕様の下で認証システムを構築、運用することにより、将来的な連携／相互接続や大学間でのシングルサインオンが実現できる。同時に、コスト削減効果にも期待できるという。

　NIIらはこの共通仕様を通じて、各大学が構築する電子認証基盤の相互接続を支援し、「大学間の単位互換や共同研究などを行うときの共通基盤」（NII客員教授、京都大学学術情報メディアセンターの岡部寿男教授）となることを目指す。

　具体的には、Webサービスを介した講義に関するさまざまな情報の提供にはじまり、研究者間でやり取りされる電子メールの暗号化と電位署名の付与、「eduroam」に基づく無線LANローミングサービスなどへの適用を計画している。また、グリッドコンピューティングによる資源の共有などにも応用する予定だ。

　NIIでは3月2日まで、UPKI仕様に対するパブリックコメントを受け付けている。UPKI構築事業事態は2006年度から3年計画で進められており、まず同仕様に基づく各大学における認証基盤の構築から進めていくという。