導入事例レポート 自治医科大学様

自治医科大学様には、全国の都道府県から医師や看護師などを目指して集まった約1,200名の学生と、大学と病院を併せた教職員が約3,400名在籍し、約3,000台のパソコンが稼働しています。
大学では、様々な研究や情報収集が学内LANを利用して行われており、情報センターが管理する学内LANの重要性は益々高くなっていると言えます。学生や教職員が様々な目的でネットワークを利用する中、同大学様は学内LANの利用や運用に関するルールを明確にする必要性を感じ、5年前に学内LANネットワークセキュリティポリシー（以下、ポリシー）を策定されました。
「ポリシーの策定や監査は、専門的な知識が必要なため、外部のエキスパートに依頼しています」（同大学情報センター長・浜本敏郎教授）。さらに、ポリシーに基づいて情報セキュリティ管理が行われているか、情報セキュリティ監査を行い、セキュリティ委員会で監査結果を報告する運用を毎年継続して実施されています。

自治医科大学様は、学内LANの情報セキュリティレベルを把握するためには、学内関係者が行う内部監査よりも、第三者視点での外部監査を行う方が良いとお考えでした。また、ペネトレーションテスト（擬似攻撃）など、ITの専門知識を持った監査を希望されていたため、ITベンダーに依頼することになりました。
そこで、同大学様は数社のITベンダーの中から、「企業規模が大きく安心して任せられる実績のあるベンダーであったことと、すべての監査要件を予算内で網羅できたこと」（同大学総務部電算課課長・木村賢二様）を考慮し、富士通エフサスの情報セキュリティ監査サービスをご採用いただきました。

自治医科大学様では、ポリシーを文書化し、そのルールに沿った運用を行っています。ポリシー通りに情報セキュリティ管理が行われているかを、富士通エフサスが監査しています。
富士通エフサスが提供している情報セキュリティ監査サービスは、経済産業省が定める情報セキュリティ監査制度に沿った助言型監査を実施するサービスです。自治医科大学様のポリシーと情報セキュリティ監査制度の情報セキュリティ管理基準を照らし合わせ、共通の管理項目を洗い出して富士通エフサスの監査担当者が監査項目を作成し、それを元に実施しました。
情報セキュリティ監査を実施するにあたり、初年度と次年度は監査の協力を得やすい学内LANの運用に身近な部門から被監査部門を抽出し、ポリシーに沿った運用を行っているか監査しました。3年目、4年目は学内LANの利用部門を中心に監査対象を広げて監査を実施しました。また、学内LANの公開サーバに対して外部から擬似攻撃を行い、脆弱性がないかを調べるペネトレーションテストも行っています。
監査を行った結果は、富士通エフサスが報告書としてまとめ、同大学様のセキュリティ委員会に報告し、必要に応じて同大学様が改善を行なっています。

自治医科大学様には、学内だけでも120～130の部門があり、人の出入りも激しいことからポリシーの周知徹底が難しいという大学独特の事情があります。
「ポリシーとガイドラインに沿って学内LANを使っていただく必要がありますが、医師を含めた教員や学生など、様々な人がいるため周知徹底が難しいです。しっかりとした大手企業に外部監査を依頼することで、ネットワークの利用方法を間違えている人への周知徹底を、監査を活用して図るなどの効果があります」（電算課・木村様）。
また、情報センター長の浜本教授も初年度のセキュリティ委員会で報告を受け、「外部監査を受けたことで、外部からの脅威だけではなく、内部からの脅威に対しても注意を求められていることがわかった」と、セキュリティに対する認識が深まったことをご評価いただいています。

「担当者のレスポンスが早く、スケジュールを守ってポイントを突いた報告書を出してもらっています。内容の説明やそれに対する質問と回答もきちんとしていただいてますし、セキュリティ委員会でも説明をしてもらっています。これまでの実績から、非常にスムーズに進められるのがいいですね」（電算課・木村様）と、フォロー態勢を高くご評価いただいているご様子でした。