学校法人自治医科大学 様

IT視点での情報セキュリティ監査で情報セキュリティ管理のチェックと強化を支えています。

導入事例レポート 学校法人自治医科大学様

関東平野の北部、栃木県の中南部に位置する下野市。広々としたこの地に広大なキャンパスと病院を持つ自治医科大学様は、へき地や離島に住む人々の医療を確保し、住民の健康増進と福祉の充実を目指す医師の養成を目的として、昭和47年に全国の都道府県が共同で設立した医科大学です。

富士通エフサスは、ITベンダーの観点から情報セキュリティ監査を実施し、自治医科大学様の情報セキュリティ管理を支えています。

導入までの背景

ネットワークセキュリティポリシーに従い年1回情報セキュリティ監査を実施

自治医科大学様には、全国の都道府県から医師や看護師などを目指して集まった約1,200名の学生と、大学と病院を併せた教職員が約3,400名在籍し、約3,000台のパソコンが稼働しています。

大学では、様々な研究や情報収集が学内LANを利用して行われており、情報センターが管理する学内LANの重要性は益々高くなっていると言えます。学生や教職員が様々な目的でネットワークを利用する中、同大学様は学内LANの利用や運用に関するルールを明確にする必要性を感じ、5年前に学内LANネットワークセキュリティポリシー(以下、ポリシー)を策定されました。

「ポリシーの策定や監査は、専門的な知識が必要なため、外部のエキスパートに依頼しています」(同大学情報センター長・浜本敏郎教授)。さらに、ポリシーに基づいて情報セキュリティ管理が行われているか、情報セキュリティ監査を行い、セキュリティ委員会で監査結果を報告する運用を毎年継続して実施されています。

自治医科大学 情報センター長 浜本 敏郎教授 自治医科大学
情報センター長
浜本 敏郎教授
自治医科大学 総務部 電算課 課長 木村 賢二様 自治医科大学
総務部 電算課 課長
木村 賢二様

導入以前の課題

1.IT視点での監査を行うためにITベンダーに監査を依頼したい
2.ペネトレーションテストを実施したい

導入事例レポート 学校法人自治医科大学様

自治医科大学様は、学内LANの情報セキュリティレベルを把握するためには、学内関係者が行う内部監査よりも、第三者視点での外部監査を行う方が良いとお考えでした。また、ペネトレーションテスト(擬似攻撃)など、ITの専門知識を持った監査を希望されていたため、ITベンダーに依頼することになりました。

そこで、同大学様は数社のITベンダーの中から、「企業規模が大きく安心して任せられる実績のあるベンダーであったことと、すべての監査要件を予算内で網羅できたこと」(同大学総務部電算課課長・木村賢二様)を考慮し、富士通エフサスの情報セキュリティ監査サービスをご採用いただきました。

導入の概要

1.年1回、部門を抽出して監査を実施し、報告書をセキュリティ委員会に提出
2.監査の結果を受け、必要な対策を行いセキュリティを強化

自治医科大学様では、ポリシーを文書化し、そのルールに沿った運用を行っています。ポリシー通りに情報セキュリティ管理が行われているかを、富士通エフサスが監査しています。 富士通エフサスが提供している情報セキュリティ監査サービスは、経済産業省が定める情報セキュリティ監査制度に沿った助言型監査を実施するサービスです。自治医科大学様のポリシーと情報セキュリティ監査制度の情報セキュリティ管理基準を照らし合わせ、共通の管理項目を洗い出して富士通エフサスの監査担当者が監査項目を作成し、それを元に実施しました。

情報セキュリティ監査を実施するにあたり、初年度と次年度は監査の協力を得やすい学内LANの運用に身近な部門から被監査部門を抽出し、ポリシーに沿った運用を行っているか監査しました。3年目、4年目は学内LANの利用部門を中心に監査対象を広げて監査を実施しました。また、学内LANの公開サーバーに対して外部から擬似攻撃を行い、脆弱性がないかを調べるペネトレーションテストも行っています。

監査を行った結果は、富士通エフサスが報告書としてまとめ、同大学様のセキュリティ委員会に報告し、必要に応じて同大学様が改善を行なっています。

情報セキュリティ監査サービスの特長

情報セキュリティに関するスペシャリストが、「情報セキュリティ管理基準(経済産業省)」や「地域公共団体情報セキュリティ管理基準(総務省)」などの基準をベースに、情報セキュリティマネジメントの更なる工場を目的として、情報セキュリティ監査制度に基づく助言型監査を実施します。

公認情報セキュリティ監査人などの公的資格勇者が監査を実施

導入事例レポート 学校法人自治医科大学様

導入の効果

外部監査を行うことで、ポリシーを学内へ周知徹底

導入事例レポート 学校法人自治医科大学様

自治医科大学様には、学内だけでも120~130の部門があり、人の出入りも激しいことからポリシーの周知徹底が難しいという大学独特の事情があります。
「ポリシーとガイドラインに沿って学内LANを使っていただく必要がありますが、医師を含めた教員や学生など、様々な人がいるため周知徹底が難しいです。しっかりとした大手企業に外部監査を依頼することで、ネットワークの利用方法を間違えている人への周知徹底を、監査を活用して図るなどの効果があります」(電算課・木村様)。
また、情報センター長の浜本教授も初年度のセキュリティ委員会で報告を受け、「外部監査を受けたことで、外部からの脅威だけではなく、内部からの脅威に対しても注意を求められていることがわかった」と、セキュリティに対する認識が深まったことをご評価いただいています。

「担当者のレスポンスが早く、スケジュールを守ってポイントを突いた報告書を出してもらっています。内容の説明やそれに対する質問と回答もきちんとしていただいてますし、セキュリティ委員会でも説明をしてもらっています。これまでの実績から、非常にスムーズに進められるのがいいですね」(電算課・木村様)と、フォロー態勢を高くご評価いただいているご様子でした。

富士通エフサス 栃木支店 情報サービス営業課 山田 順也 富士通エフサス
栃木支店 情報サービス営業課
山田 順也

今後の展望

運用経験を活かした提案に期待

情報セキュリティ監査を通し、富士通エフサスのフットワークと技術力をご評価いただいている自治医科大学様。他大学でのセキュリティ対策などの情報が少ないため、今後は他の大学がどのようにネットワークを運用しセキュリティ対策を行っているか、情報の提供やアドバイスにも期待をされています。富士通エフサスでは、大学という特殊な環境が抱える課題に対し、これまで培った技術とノウハウを活かし、自治医科大学様の安全なネットワーク運用を支えていきます。

学校法人 自治医科大学 様

所在地 栃木県下野市薬師寺3311-1
理事長 香山 充弘氏
設立 1972年4月
学生数 1,218名 (2009年5月現在)
ホームページ http://www.jichi.ac.jp/

[掲載日:2009年9月1日]

本事例中に記載の肩書きや数値、固有名詞等は取材時のものであり、このページ の閲覧時には変更されている可能性があることをご了承ください。

本事例に関するお問い合わせ

Webでのお問い合わせ
お電話でのお問い合わせ
ページの先頭へ