情報セキュリティについて

はじめに
 高度情報化社会の進展に伴い、情報通信技術への依存が高まっています。しかしその利便性の裏側には様々なリスクが潜んでいます。例えば個人情報などを搾取されたり、Webサイトを書き換えられてしまうなどの被害が挙げられます。
 また意図的な行為だけでなく、知識の不足によって、アカウントを乗っ取られてマルウェア(コンピューターウイルスなど)拡散の踏み台にされてしまったり、Webサイトに情報搾取のツールなどを埋め込まれたり、思いがけず自身が加害者になってしまうケースも発生しています。
 このため、みなさんが本学の情報サービスを利用するにあたって、本学の情報資産の保護と情報システムの安全性及び信頼性を確保するために、情報セキュリティの重要性と、特に意識してほしいセキュリティポリシーについて説明します。



1 情報セキュリティを守るために

 01 はじめに
 02 情報の管理
 03 情報漏えいを防ぐ
 04 ウイルスを持ち込まないために
 05 情報システムの適正な運用のために
 06 加害者にならないために

2 情報社会を生きていくために

 01 意識していますか?気軽に「投稿」している、この世界のこと
 02 知っていますか?「著作権」や「肖像権」のこと
 03 「やってはいけないこと」をきちんと知りましょう
 04 アカウント、パスワード管理は、特に念を入れて

1 情報セキュリティを守るために

ここでは、公立大学法人大阪情報セキュリティポリシー及び実施規定に基づき、本学の情報資産および情報システムを利用する際、守って欲しいことをみなさんにむけて解説します。

情報セキュリティポリシーをここではポリシーと呼ぶことにします。簡単に説明すると、ポリシーとは「どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方や情報セキュリティを確保するための体制、組織及び運用を含めた規則」です。学生、教職員をはじめ、本学の情報システムの利用者はすべて、このポリシーを理解し、遵守することが義務づけられています。

本学のポリシーと情報セキュリティに関する事項は、「大阪公立大学 情報セキュリティセンターWebサイト」で確認できます。

 

01 はじめに                    

近年、テレビや新聞などで、個人情報の流出や不正アクセスが大きな社会問題として報道されています。これは自治体や企業だけでなく大学にとっても同様で、一度このような事件が起これば、大学の社会的信用を失墜させかねません。

本学にも、学生や教職員に関する個人情報や研究開発上の非公開情報など様々な情報が存在します。そして、その多くはコンピュータやネットワークからなる情報システムに保存されています。このような情報や情報システムが適正かつ安全に運用されなければ、情報漏えいによって個人が被害を受ける、不正アクセスによりホームページが改ざんされるなどの危険性が高まります。

みなさんにも情報管理の重要性と情報システムの適正な利用法を理解してもらうことが重要です。

              MEMO 用語解説                                     

情報資産
情報システム及び情報システムに記録された情報並びに情報システムの開発及び運用に係るすべての情報のこと。

情報セキュリティ
情報資産を、部外者に不正にアクセスされないよう保護し(機密性)、その内容が常に正しく維持される(完全性)とともに、正当な利用者が必要なときには常に提供できるよう(可用性)に維持すること。

 

02 情報の管理                                     

情報を正しく管理するためには「情報の重要性」と「その情報が漏えいしたり失われたりした時の影響」を知っておくことが大切です。

 

①パスワードや個人情報など、重要な情報は厳重に管理する。

・みなさんが個人で持っているデータにも、重要な情報が含まれている場合があります。 情報処理教育PCや学生ポータル(UNIPA)などにサインインするためのパスワード、サークルやゼミ、研究室に所属するメンバーの連絡先等の個人情報が該当します。

・各自が持っている情報の重要性を認識し、むやみに第三者に渡したり知らせたりせず、正しく管理してください。 パスワードや個人情報が悪意のある第三者の手に渡れば、不正アクセスに利用される、振り込め詐欺やフィッシング詐欺の標的にされる恐れがあります。

・特に、所属するゼミや研究室に関する情報や知的財産に属する研究情報など、重要な情報の取り扱いは、必ず指導教員の指示に従ってください。

・Web上でのユーザ登録やネットショッピングなどで個人情報を入力する場合は、慎重に行ってください。特にク レジットカード番号は、悪用されれば経済的被害に直結することを忘れず、取り扱いには注意しましょう。


②パスワードは他人に教えない、知られない。           

・アカウント(本学ではOMUID)とパスワードは、ユーザ本人を識別するための重要な情報であることを認識して  ください。

・アカウントとパスワードを他人に教えたり、貸したりしてはいけません。第三者が本人になりすまして悪質な行為を行った場合でも、ユーザ本人にも責任が及ぶことを忘れてはなりません。

・パスワードをメモしてコンピュータ等に貼り付けたりしないでください。

・パスワードを設定するときは、数字や英字の大文字と小文字を混ぜるなどして、長めに設定するよう心がけてください。

・容易に推測できるパスワードは避けてください。例えば、自分の名前やニックネーム、生年月日、電話番号等は簡単に他人に知られてしまいます。

 

03 情報漏えいを防ぐ                               

個人情報や、研究上の知的財産などの重要な情報が外部に漏れれば取り返しのつかないことになりかねませんので、常日頃から注意を怠らないようにしましょう。

③コンピュータを使用するときは、情報漏えいに細心の注意を払う。          

・コンピュータで作業を行う過程で作成・編集した個人情報等の重要な情報がコンピュータに残る場合があります。

・学外のコンピュータを使用する場合は、パスワード等の個人情報の管理に細心の注意を払ってください。

・Webブラウザでパスワードを入力すると、パスワードがコンピュータに記憶される場合があります。また、不特定多数が使用するコンピュータでは入力情報を密かに読み取るプログラムが仕掛けられている等、リスクがあることを知っておきましょう。

・情報漏えいや違法ダウンロードの原因となる危険性がありますので、ファイル共有ソフト(P2Pなど)は使用禁止とします。また遠隔操作するためのソフト等については原則として使用禁止とし、必要な場合は指導教員に相談してください。個人の持ち物であっても、これらのソフトがインストールされたPCに、大学の学習や研究に関する重要な情報は保存しないでください。なお、本学のOMUNET(キャンパス内のネットワークシステム)では、ファイル共有ソフトの使用を禁止しています。

 ④メールを送信するときは、宛先や送信する情報の内容を再確認する。     

・メールを送信するときは、送信先のアドレスが正しいものかどうか、送信前に必ず、もう一度確認してください。誤って第三者に送付することで、情報が漏えいすることも考えられます。

⑤コンピュータから一定時間離れるときは他人が操作できないようにする。

・オープンなスペース等では、席の周りにいる人は必ずしも知人とは限りません。個人情報が覗かれたり、悪意のあるメールを第三者に送られたりするかもしれません。一定時間席を立つときは、忘れずにサインアウトやシャットダウンするようにしましょう。

・研究室のコンピュータ等の場合は、パスワード付きのスクリーンセーバーも有効です。 

⑥コンピュータや記憶媒体の紛失・盗難を防ぐ。

・コンピュータやUSBフラッシュメモリ等の記憶媒体を紛失したり、盗難に遭ったりすると、情報漏えいに繋がりかねません。これらを持ち歩く場合には、紛失や盗難に十分注意してください。

・紛失や盗難の事態に備えて、USBフラッシュメモリにはストラップを付けたり、暗号化機能付きのものを使用することを推奨します。

・コンピュータや記憶媒体を廃棄する場合は、データを完全に消去しなければなりません。極力、物理的に破壊するようにしてください。

 

04 ウイルスを持ち込まないために

ソフトウェアの弱点をついてコンピュータに侵入し、破壊的な活動を行う悪質なプログラムが存在します。一度感染すると、そこを拠点に他のコンピュータへも侵入を試み、短時間でネットワークに蔓延してしまうことも珍しくありません。

コンピュータがウイルスに感染すれば、データを破壊されたり、ネットワークに障害を及ぼしたりするなど大きな被害が生じます。大切な情報をウイルスから守る心がけが必要です。

 

⑦差出人や件名に心当りのないメールは開かずに削除する。      

・ウイルスはメール経由で侵入する場合が多いため、差出人や件名に心当りのないメールを受け取った場合には、添付ファイルを開いたり、URLをクリックせず、直ちに削除してください。

 

⑧OSやアプリは常に最新にし、ウイルス対策ソフトのパターンファイルを最新に保つ。         

・OSやアプリは、常に最新の状態を保つようにしてください。

・ウイルス対策ソフトによって、既知のウイルスの侵入を防ぐことはできますが、未知のウイルスには効果がありません。この危険性を少しでも減らすため、ウイルス対策ソフトは常に最新の状態を保つように更新しておかなければなりません。

・本学の学生はウイルス対策ソフト包括ライセンスを利用できます。利用方法は「大阪公立大学情報基盤センターWebサイト」を参照してください。

 

⑨USBフラッシュメモリやCD-R等の記憶媒体でデータを持ち込む場合は、必ずウイルスチェックをする。

・USBフラッシュメモリ等の記憶媒体でデータを受け取る場合、その媒体がウイルスに感染している可能性がありますので、ファイルを開く前にウイルス対策ソフトでチェックするようにしましょう。

 

⑩ウイルスの感染に気付いたときは速やかに対応する。            

・万一、ウイルス感染に気づいたときは、直ちにコンピュータをネットワークから切り離してください(Wi-Fi をオフにする、LANケーブルを抜くなど)。その後、最新のウイルス対策ソフトをCD-Rなどの記憶媒体経由でインストールし、ウイルスを駆除してください。

・情報処理教育PCをはじめ、自分で管理者権限を持たないコンピュータの場合は、教職員の指示に従ってください。

 

05 情報システムの適正な運用のために

大学のコンピュータやネットワークは、研究や学習を目的として設置された情報システムであり、個人のものではありません。本来の目的から外れた使い方は慎んでください。

⑪ネットワークや情報処理教育PCは学習・研究以外の目的で利用しない。

・本学のOMUNETや情報処理教育PCは、教育研究を目的として設置されたものです。休憩時間であっても、これらの目的から外れる利用は止めましょう。

・インターネットの利用についても同様です。学習や調査・研究に関連のないサイトの閲覧やメールの利用は、ウイルス感染、個人情報や機密情報の漏えいの原因となりますので、行わないでください。本来の目的に関係のない物品の売買やネットオークション等の取引行為は厳禁です。

 

⑫ソフトウェアのインストール・改変はしない。           

・情報処理教育PCに他のソフトウェアをインストールしないでください。また、インストールされているソフトウェアを許可なく改変・削除しないでください。

・研究室等で設置されているコンピュータについても同様に、指導教員の許可なくソフトウェアをインストールしたり、改変・削除を行ってはいけません。

 

06 加害者にならないために     

無断で他人の情報を盗用したり、他人になりすましてコンピュータを操作したりすると、あなた自身が不正利用の加害者となる可能性があります。無意識に行った行為が法律違反に該当するケースが増えています。コンピュータやインターネットを利用する上で、してはならないこと、慎むべきことを学びましょう。

 

⑬著作権など知的財産権を侵害しない。

・他人が創作した映像、画像、図、文章、プログラム等の情報は、著作権法により保護されています。許可なくWebページ等で利用すれば、盗用となります。

・正規に購入したソフトウェアであっても、使用許諾書で許可された台数以上のコンピュータにインストールすること、複製することは法律に違反する行為です。

・著作権者に無断で音楽や映像を公開することは違法です。また、不正にコピーされたものと知りながらダウンロードすることも違法行為です。

・インターネット上の音楽や映像を、ファイル共有ソフトを利用してダウンロードした結果、自分では意識しないで、音楽や映像をインターネット上にアップロードしている場合があります。「知らなかった」ではすまされません。安易にファイル共有ソフトを利用したり、インターネット上の音楽や映像をダウンロードしないでください。

⑭不正アクセスをしない、試みない。         

・他人のアカウントやパスワードを不正に入手してコンピュータや情報システムを使用することは、法律で禁止されています。たとえ大学内であっても、このような行為は法的な処罰の対象となる場合があります。

・特定のメールアドレスに大量のメールを送信したり、特定のサーバに大量のアクセスを集中させたりして、本来の機能を損なう行為を行ってはいけません。

2 情報社会を生きていくために

Webサービスの充実、スマートフォンの普及もあって、みなさんの周りには便利なコミュニケーションツールが増えてきました。LINE、Twitter、Facebook、Instagram、TikTokなどのソーシャルメディアが1つの例ですが、現代を生きるみなさんは常に「手軽に」何かを発信し、誰かとつながることができます。

しかしソーシャルメディアはその「手軽さ」ゆえに、思わぬリスクもあります。意図しないトラブルを起こし、気軽な投稿が自分や友人の将来に取り返しのつかない影響を与えてしまうこともあるのが、この世界の持つリスクなのです。

ここでは、そんなソーシャルメディアのリスクや利用時のポイントについてまとめています。それぞれの項目を確認し、安易な情報発信が個々人にとって本当に必要なのか、利益とリスク、責任などの相反をしっかりと認識し、安全かつ有益に、ソーシャルメディアを利用しましょう。

01 意識していますか? 気軽に「投稿」している、この世界のこと

①あなたの投稿は、世界中の人たちに見られています。

例えば、あなたがTwitterに「投稿」した文章は、世界中の人たちが見ることができます。「鍵つき」や「限定公開」など、公開範囲を限定的に設定していたとしても、思わぬ形で人の目に触れる可能性があるのがこの世界です。

「気軽な」投稿のその先には、友達や家族だけではなく、いろいろな文化や主義主張、捉え方の人がいることを日ごろから忘れないでください。本人の思わぬところで不快に感じたり、傷つく人がいるかもしれないと意識し、穏やかで誠実な投稿を心がけましょう。万一トラブルになったときは真摯な態度で謝罪し、指導教員などにすぐに相談しましょう。

②匿名投稿でも、本人が特定できる世界だということを知りましょう。

「炎上」という言葉を聞いたことがありますか?不用意な写真投稿や発言が、悪意を持ってWeb上をまたたく間に拡散していくことを指します。こういった事例は、自分の本名等を登録しない「匿名アカウント」による投稿で起こることも多いですが、Webの世界で「匿名」という概念は基本的に存在しないということを意識してください。

こういった炎上の場合、多くのWeb閲覧者が協力して、過去の発言やソーシャルメディア以外の情報等を組み合わせ、ついには本人を特定して公開することが非常に多くあります(晒し(さらし)行為)。

自分だけでなく家族や友人を含めあらゆる個人情報が公開される場合もありますし、何よりもWeb上では情報は半永久的に残りますので、自分たちの後々の人生にまで深く影響することがあります。慎重な投稿を行いましょう。

 

③投稿は残ります。カッとならずに、一息入れて冷静に対応しましょう。

一度拡散してしまった情報を、完全に削除することは不可能です。一時的な感情(怒り、妬み、嫌がらせ等)で、感情的な発言や自他の情報を絶対に投稿しないようにしましょう。自分の投稿にネガティブな意見を書き込まれた場合等、カッとなってもすぐに対応することは極力控え、気持ちを落ち着かせてから冷静に対応しましょう。

冷静な対話にならない相手に対しては、無視するのも手段のひとつです。対応に困る場合は、指導教員などにすぐに相談しましょう。


自分が間違っていたら真摯かつ速やかに訂正する。
相手の意見に誤りがある場合でも、コメントを返す際には冷静に。
「投稿」ボタンを押す前に、文章をもう一度読み返す。

 

02 知っていますか?「著作権」や「肖像権」のこと                     

④公開されている情報でも、他者の創造物にはすべて「著作権」があります。 

TwitterやInstagramなどのインターネット上に公開されている文章や写真等には、すべて執筆した人や撮影した人が有する「著作権」があります。これはWeb上だけの話ではなく、すべての表現物に適用されるものです。投稿の際、引用や転載を行う場合は、引用元を明らかにすると共に著作権に対するポリシーをそれぞれのサイトなどで確認し、法律で認められた範囲で行いましょう。

 

⑤すべての人に「肖像権」があり、写真は許可なく投稿してはいけません。              

芸能人でなくとも、人間には「肖像権」があります。「私生活をみだりに撮影・公開されない権利」として、「プライバシー権」という権利もあります。
こういった権利を侵害しないよう、他の人が写っている写真を投稿する際には、必ずその人たちに了承を得てから投稿してください。

人の文章等をそのまま転載しない。(著作権の侵害行為)

Web上に公開されている写真を、公開者に無断で使用しない。(著作権の侵害行為)

好きな芸能人の写真を無断でTwitterやInstagramのプロフィール画像にしない。(パブリシティ権の侵害行為)

集合写真をメンバーの許諾なく公開しない。(肖像権の侵害行為)

風景写真等でも、見知らぬ人が個人を特定できる範囲で写っている場合は無断で公開しない。(肖像権、プライバシー権の侵害行為)

03 「やってはいけないこと」をきちんと知りましょう                   

⑥個人情報やプライベートな情報を書くことはやめましょう。

「鍵つき」や「限定公開」等、公開範囲を限定的に設定していたとしても、様々な方法で情報を取ることができます。例えば、アカウントが乗っ取られた場合に、それまでの投稿内容を抜き取られる可能性があります。

自分自身や他人を問わず、自宅住所や個人の電話番号、メールアドレス、クレジットカード番号、マイナンバー等を絶対に書き込まないように心がけましょう。

また、スマートフォン等で撮影した写真にはGPS機能により位置情報が保存され、撮影場所が特定される可能性がありますので設定に注意しましょう。

 

⑦言ってはいけないことは、書いてもいけません。          

大学生になると「言ってはいけないこと」、いわゆる「守秘義務を有するもの」を知ることも増えていきます。例えば、アルバイトの業務上で知り得た情報、インターンシップや就職活動中に知り得た情報、企業との共同研究などで知り得た情報等は、企業の機密情報や信頼に影響する情報もあり、知ったあなたには守秘義務が課されます。

そういった情報は決して口外しないことが基本です。「これくらいなら大丈夫だろう」と、うかつな判断でソーシャルメディアに投稿することも控えましょう。もちろん、写真やデータをそれらの組織から持ち出してもいけません。

 

⑧情報漏えいにつながる、データ提供や情報提供の誘いに乗ってはいけません。            

特定の情報には価値があります。例えば、アルバイトしている塾の受講生名簿、サークルやゼミ、研究室の名簿等、個人情報や機密情報の類を外部の業者等が有料で買い取るといった誘いを受けることもあるかもしれません。しかし、こうした個人情報の目的外提供に伴うリスクは高く、現行の法律では学生でも最高で1年以下の懲役または100万円以下の罰金刑(2022年2月時点)となります。法を犯してまで報酬を得たところで、その行為はその報酬の割に合わないほどのリスクを背負っているということを認識して、冷静な対応に努めてください。 アルバイト先に著名人が来たこと、顧客のプライバシーに関わること、企業の収益情報等、知り得た情報を投稿して炎上した事例は数多くあります。

具体的な企業名を出さなくても周辺の情報から類推できるので、アルバイト先やインターンシップ先、共同研究先などに関する投稿は控えましょう。

企業によっては特定の大学との関係(インターンシップの受け入れや共同研究など)自体を秘密にしている場合もあります。

就職活動中に見聞きした情報にも機密事項が含まれていることがあるので、投稿する際は注意が必要です。
事情があって投稿する場合は、相手先の企業、指導教員などに相談してください。   

04 アカウント・パスワード管理は、特に念を入れて

⑨使用しなくなったソーシャルメディアアカウントは放置せずに。  

ソーシャルメディアサービスの種類はどんどん増えています。一方で、人の時間は1日24時間で有限、すべてのサービスに時間を割くわけにはいきません。そのうちに新しくて便利なサービスに切り替え、使わなくなるサービスも出てくるかもしれません。

そうやって放置されたアカウントは、不正にログインされて悪用されることがあります。過去の投稿内容が思わぬことで将来に悪影響を与える場合もあります。管理できなくなったアカウントは放置せず、責任を持って削除(または一時停止)しましょう。ただし、アカウントを削除しても過去の投稿はネット上に残る場合もありますので日ごろからの注意は必要です。
 

⑩アカウントやパスワードの管理は特に念入りに。         

アカウントやパスワードは、自分でも分からなくなってしまわないよう、各自工夫して管理してください。パスワードは、誕生日や電話番号、学籍番号など、推測されやすいものを使うのは避けましょう。また、複数のソーシャルメディアで同じパスワードを使い回すのはリスクが高いので避けましょう。「ID・パスワード管理アプリ」や他の端末を使ってログイン認証する「2段階認証」などの機能は、ぜひ効果的に活用してください。