表紙

B2599 用語の定義

【あ】

アカウント
主体認証を行う必要があると認めた情報システムにおいて、主体に付与された正当な権限をいう。アカウントの付与は、主体認証情報(識別コードと主体認証情報を含む。)の配布、主体認証情報格納装置の交付、アクセス制御における許可、またはそれらの組み合わせ等によって行われる。
アクセス制御
主体によるアクセスを許可する客体を制限することをいう。
安全区域
電子計算機及び通信回線装置を設置した事務室又はサーバルーム等の内部であって、部外者の侵入や自然災害の発生等を原因とする情報セキュリティの侵害に対して、施設及び環境面から対策が講じられている区域をいう。
委託先
情報システムに関する企画、開発、保守及び運用等の情報処理業務の一部又は全部を請け負った者をいう。
インシデント
意図的または偶発的に生じる、 情報管理やシステム運用に関してセキュリティ上の脅威となる現象や事案が発生した状態、 又はその発生の可能性がある状態をいう。
(a) 地震等の天災
(b) 火災、事故等によるネットワークを構成する機器や回線の物理的損壊や滅失によるネットワークの機能不全や障害
(c) ウイルス感染、不正アクセス、情報漏えい、迷惑メール送信、サービス拒否攻撃(DoSアタック)等 (d) 情報資産の不正使用、サービス妨害行為、データの破壊、意図しない情報の開示等
受渡業者
安全区域内で職務に従事する教職員等との物品の受渡しを目的とした者のことで、安全区域へ立ち入る必要のない者をいう。物品の受渡しとしては、宅配便の集配、事務用品の納入等が考えられる。

【か】

外部委託
情報システムに関する企画、開発、保守及び運用等の情報処理業務の一部又は全部を学外の者に請け負わせることをいう。
外部記録媒体
記録媒体のうち、情報機器から取り外しすることが可能な記録装置(磁気テープ、磁気ディスク、光ディスク、カセットテープ、MO、フロッピーディスク及びUSBメモリ等)をいう。
学外
本学が管理する組織又は大学施設の外をいう。
学外通信回線
物理的な通信回線を構成する回線(有線又は無線、現実又は仮想及び本学管理又は他組織管理)及び通信回線装置を問わず、本学が管理していない電子計算機が接続され、当該電子計算機間の通信に利用する論理的な通信回線をいう。
学外での情報処理
本学の管理部外で職務の遂行のための情報処理を行うことをいう。なお、オンラインで学外から本学の情報システムに接続して、情報処置を行う場合だけではなく、オフラインで行う場合も含むものとする。
学外窓口
インシデントについて学外から連絡・通報を受け、学外への連絡・通報、対外クレームをするための窓口をいう。
学生等
茨城大学の学生(外国人留学生、科目等履修生、特別聴講学生、委託生、研究生その他これに準じる者を含む。)をいう。
学内
本学が管理する組織又は施設の内をいう。
学外通信回線
物理的な通信回線を構成する回線(有線又は無線、現実又は仮想及び本学管理又は他組織管理)及び通信回線装置を問わず、本学が管理していない電子計算機が接続され、当該電子計算機間の通信に利用する論理的な通信回線をいう。
学内通信回線
物理的な通信回線を構成する回線(有線又は無線、現実又は仮想及び本学管理又は他組織管理)及び通信回線装置を問わず、本学が管理する電子計算機を接続し、当該電子計算機間の通信に利用する論理的な通信回線をいう。
可用性
情報へのアクセスを認可された者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保することをいう。 可用性についての格付の区分は、以下のとおりとする。
可用性1情報 可用性2情報以外の情報(書面を除く。)をいう。
可用性2情報 職務で取り扱う情報(書面を除く。)のうち、その滅失、紛失又は当該情報が利用不可能であることにより、研究・教育活動等に支障を及ぼす又は職務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報をいう。
完全性
情報が破壊、改ざん又は消去されていない状態を確保することをいう。完全性についての格付の区分は、以下のとおりとする。
完全性1情報 完全性2情報以外の情報(書面を除く。)をいう。
完全性2情報 職務で取り扱う情報(書面を除く。)のうち、その改ざん、誤びゅう又は破損により、大学の運営に支障を及ぼす又は職務の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報をいう。
機器等
情報機器等及びソフトウェアをいう。
基本規程
ポリシーが定める「B1001 基本規程」をいう。
基本方針
ポリシーが定める「B1000 基本方針」をいう。
機密性
情報に関して、アクセスを認可された者だけがこれにアクセスできる状態を確保することをいう。機密性についての格付の区分は、以下のとおりとする。
機密性1情報 機密性2情報又は機密性3情報以外の情報をいう。
機密性2情報 職務で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報をいう。
機密性3情報 職務で取り扱う情報のうち、秘密文書に相当する機密性を要する情報をいう。
記録媒体
情報が記録され、又は記載されるものをいう。なお、記録媒体には、書面、書類その他文字、図形等人の知覚によって認識することができる情報が記載された紙その他の有体物(以下「書面」という。)と、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理用に供されるもの(以下「電磁的記録」という。)に係る記録媒体(以下「電磁的記録媒体」という。)がある。また、電磁的記録媒体には、電子計算機や通信回線装置に内蔵される内蔵電磁的記録媒体と外付けハードディスク、CD-R、DVD、MO、USBメモリ、フラッシュメモリ等の外部電磁的記録媒体がある。
教職員等
本学を設置する法人の役員及び、本学に勤務する常勤又は非常勤の教職員(派遣職員を含む)その他、部局総括責任者が認めた者をいう。
共用識別コード
複数の主体が共用することを想定した識別コードをいう。原則として、1つの識別コードは1つの主体のみに対して付与されるものであるが、情報システム上の制約や、利用状況などを考慮して、1つの識別コードを複数の主体で共用する場合もある。このように共用される識別コードを共用識別コードという。
緊急連絡網
運用・管理規程に基づき整備された[インシデント/障害等]に備え、特に重要と認めた情報システムについて、 その部局技術責任者及び部局技術担当者の緊急連絡先、連絡手段、連絡内容を含む連絡網をいう。
区域情報セキュリティ責任者
情報取扱区域における情報セキュリティの確保のための管理対策を行う者で全学実施責任者が指名した者をいう。
クロスサイトスクリプティング(CSS、XSSの脆弱性)
入力データの正当性検査の甘いWebサイトの利用者を狙った攻撃で、データ入力の際に悪意のあるサイトを経由すると、そこでスクリプトと呼ぶプログラムが入力データに挿入される。挿入されたスクリプトは、入力データをチェックしていないサーバで利用者入力データとともにブラウザに送り返される。スクリプトはブラウザの画面には表示されないが、スクリプト実行を制限していないブラウザでは解釈実行されてしまい、重要な情報が盗み取られたりする。
権限管理
主体認証に係る情報(識別コード及び主体認証情報を含む。)の付与及びアクセス制御における許可情報の付与を管理することをいう。
公開されたセキュリティホール
誰もが知り得る状態に置かれているセキュリティホールのことであり、ソフトウェアやハードウェアの製造・提供元等から公表されたセキュリティホール、セキュリティ関連機関から公表されたセキュリティホール等が該当する。
個人情報
特定の個人が識別され、または識別され得る電子情報あるいは書面情報をいう。

【さ】

サービス
サーバ装置上で動作しているアプリケーションにより、接続してきた電子計算機に対して提供される単独又は複数の機能で構成される機能群をいう。
最少特権機能
管理者権限を実行できる範囲を管理作業に必要な最少の範囲に制限する機能をいう。
識別
情報システムにアクセスする主体を特定することをいう。
識別コード
主体を識別するために、情報システムが認識するコード(符号)をいう。代表的な識別コードとして、認証IDが挙げられる。
実施規程
ポリシーに基づいて策定される規程及び、基準、計画をいう。
実施手順等
実施規程に基づいて策定される具体的な手順やマニュアル、ガイドラインを指す。
事務情報資産
事務情報資産とは情報資産のうち次のものをいう。
(1) 「法人文書の管理に関する規程」の対象となる法人文書
(2) (1)以外の法人文書で、部局長が指定した文書
事務情報システム
事務情報資産を扱う情報システムをいう。
事務従事者
本学教職員(本学において高等教育機関の事務に従事している者)及び 本学の指揮命令に服している者(例えば、派遣労働者等)のうち、 本学の管理対象である情報及び情報システムを取り扱う者をいう。
主体
情報システムにアクセスする者や、他の情報システム及び装置等をいう。主体は、主として、人である場合を想定しているが、複数の情報システムや装置が連動して動作する場合には、情報システムにアクセスする主体として、他の情報システムや装置も含めるものとする。
主体認証
識別コードを提示した主体が、その識別コードを付与された主体、すなわち正当な主体であるか否かを検証することをいう。
主体認証情報
主体認証をするために、主体が情報システムに提示する情報をいう。代表的な主体認証情報として、パスワード等がある。
主体認証情報格納装置
主体認証情報を格納した装置であり、正当な主体に所有又は保持させる装置をいう。所有による主体認証では、これを所有していることで、情報システムはその主体を正当な主体として認識する。 代表的な主体認証情報格納装置として、磁気テープカードやICカード等がある。
証跡管理
ログの収集・検索に加え、システムの運用ルールを定め、ルール外のログを詳細調査することで、システムが正しく運用されているかを監査することをいう。
情報
情報システム内部に記録された情報、情報システム外部の電磁的記録媒体に記録された情報及び情報システムに関係がある書面に記載された情報をいう。したがって、作業途上の文書も適用対象であり、書面に記載された情報には、電磁的に記録されている情報を記載した書面(情報システムに入力された情報を記載した書面又は情報システムから出力した情報を記載した書面をいう。)及び情報システムに関する設計書が含まれる。
情報の移送
要管理対策区域外に、電磁的に記録された情報を送信すること並びに情報を記録した電磁的記録媒体及び書面を運搬することをいう。
情報の抹消
廃棄した情報が漏えいすることを防止するために、全ての情報を復元が困難な状態にすることをいう。削除の取消しや復元ツールで復元できる状態は、復元が困難な状態ではない。
重要な設計書
情報システムに関する設計書のうち、当該情報システムの適切な管理に必要なものであり、その紛失、漏えい等により、高等教育機関の事務の遂行に支障を及ぼすものをいう。情報の格付では、要機密情報に相当する。
情報資産
情報資産には次のものを含む。
(ア)情報システム
(イ)情報システム内部に記録された情報
(ウ)情報システム外部の電磁的記録媒体に記録された情報
(エ)上記(イ)(ウ)の情報が紙媒体に記載されたもの
(オ) その他業務上必要な情報
情報システム
コンピュータ、ネットワーク機器、記録媒体、ソフトウェア等から構成される 情報処理及び通信に係るシステムをいい、次のものを含む。
(a) 本学により所有又は管理されているもの
(b) 本学との契約あるいは他の協定に従って提供されるもの
(c) 役職員及び学生によって物理的に接続されるもの
情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
機密性:アクセス権を持つ者だけが、情報にアクセスできることを確実にすること 完全性:情報及び処理方法が正確であること及び完全であることを保護すること 可用性:認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること
情報セキュリティ関係規程
本基準及び本基準に定められた対策内容を具体的な情報システムや業務においてどのような手順に従って実行していくかについて定めた実施手順をいう。
情報取扱区域
本学の内外において情報を取り扱う区域をいう。情報取扱区域のうち、求める対策の基準ごとに「クラス」の区分を定める。情報取扱区域におけるクラス及びクラスにおける区分の基準は、それぞれ以下のとおりとする。
クラス 区分の基準
クラス3 クラス2より強固な情報セキュリティを確保するための厳重な管理対策及び利用制限対策を実施する必要がある区域
クラス2 クラス1より強固な情報セキュリティを確保するための管理対策及び利用制限対策を実施する必要がある区域
クラス1 最低限必要な情報セキュリティを確保するための管理対策及び利用制限対策を実施する必要がある区域
クラス0 クラス3、クラス2及びクラス1以外の区域であり、情報セキュリティを確保するため、利用制限対策を実施する必要がある区域
情報ネットワーク
情報ネットワークには次のものを含む。
(1) 本学により、所有または管理されているすべての情報ネットワーク
(2) 本学との契約あるいは他の協定に従って提供されるすべての情報ネットワーク
ソフトウェア
電子計算機を動作させる手順及び命令を電子計算機が理解できる形式で記述したものをいう。オペレーティングシステム、オペレーティングシステム上で動作するアプリケーションを含む広義の意味である。

【た】

対策用ファイル
パッチ又はバージョンアップソフトウェア等のセキュリティホールを解決するために利用されるファイルをいう。
端末
利用者等が直接操作を行う電子計算機(オペレーティングシステム及び接続される周辺機器を含む。)であり、いわゆるPCのほか、PDA等も該当する。
通信回線
これを利用して複数の電子計算機を接続し、所定の通信様式に従って情報を送受信するための仕組みをいう。 回線及び通信回線装置の接続により構成された通信回線のことを物理的な通信回線といい、物理的な通信回線上に構成され、電子計算機間で所定の通信様式に従って情報を送受信可能な通信回線のことを論理的な通信回線という。
通信回線装置
回線の接続のために設置され、電子計算機により回線上を送受信される情報の制御を行うための装置をいう。いわゆるリピータハブ、スイッチングハブ及びルータ、ファイアウォールのほか、情報コンセントや無線ネットワークアクセスポイント等も該当する。
電子計算機
コンピュータ全般のことを指し、オペレーティングシステム及び接続される周辺機器を含むサーバ装置及び端末をいう。
電磁的記録
電子的方式、磁気的方式、その他、人の知覚によっては認識することができない方式で作られる記録であって、コンピュータによる情報処理用に供されるものをいう。
特権利用者
各種情報システムにおいて管理者権限を有する利用者のことをいう。 例えば、Windowsでは「administrator」、UNIXやLinuxでは「root」など、 アプリケーションのインストールやシステム設定の変更ができるアカウントにアクセスできる者をいう。
取扱制限
情報の取扱いに関する制限であって、複製禁止、持出禁止、再配付禁止、暗号化必須、読後廃棄その他情報の適正な取扱いを確実にするための手段をいう。

【は】

非常事態
本学情報システムの運用に関するインシデントのうち、特に緊急性を要するものをいう。
phishing(フィッシング)
たとえばオークションサイトと類似の画面を持ったなりすましサイトに利用者を誘導し認IDやパスワードを盗み出すような行為である。ニセのサイトには、電子メール等でHTMLメールのリンクから誘導する。
部局等
各学部(各大学院研究科及び各学部事務部を含む。)、全学共同利用施設及び事務局(管理運営部門を含み、各学部事務部を除く。)をいう。 (国立大学法人茨城大学組織規則第4章第18条、第25条、第26条、第28条、第29条による。)
不正プログラム
コンピュータウイルス、スパイウェア等の電子計算機を利用する者が意図しない結果を電子計算機にもたらすソフトウェアの総称をいう。
不正プログラム定義ファイル
アンチウイルスソフトウェア等が不正プログラムを判別するために利用するデータをいう。
附属学校等
附属幼稚園、附属小学校、附属中学校、特別支援学校をいう。
付与(主体認証に係る情報、アクセス制御における許可情報等に関して)
発行、更新及び変更することをいう。
ポリシー
本学が定める 「基本方針」及び「基本規程」 をいう。
本学支給以外の情報システム
本学が支給する情報システム以外の情報システムをいう。いわゆる私物のPCのほか、本学への出向者に対して出向元組織が提供する情報システムも含むものとする。
本学支給以外の情報システムによる情報処理
本学支給以外の情報システムを用いて職務の遂行のための情報処理を行うことをいう。なお、直接装置等を用いる場合だけではなく、それら装置等によって提供されているサービスを利用する場合も含むものとする。ここでいうサービスとは個人が契約している電子メールサービス等のことであり、例えば、本学の業務に要する電子メールを、個人で契約している電子メールサービスに転送して業務を行ったり、個人のメールから業務のメールを発信したりすることである。

【ま】

明示等
情報を取り扱うすべての者が当該情報の格付けについて共通の認識となるように措置することをいう。 なお、情報ごとの格付けの記載を原則とするが、特定の情報システムについて、当該情報システムに記録される情報の格付けを規定等により明記し、当該情報システムを利用するすべての者に当該規定を周知することなどについても明示に含むものとする。
モバイルPC
端末の形態に関係なく、業務で利用する目的により必要に応じて移動する端末をいう。特定の設置場所だけで利用するノート型PCは、モバイルPCに含まれない。

【や】

役職員
国立大学法人茨城大学の役員及び教職員をいう。
要安定情報
可用性2情報をいう。
要管理対策区域
施設及び環境に係る管理対策が講じられている区域であって、情報取扱区域におけるクラス1以上の区域をいう。
要管理対策区域外
情報取扱区域におけるクラス0の区域をいう。
要管理対策区域外での情報処理
利用者等が情報取扱区域におけるクラス0の区域において教育研究事務の遂行のための情報処理を行うことをいう。なお、オンラインで学外から本学の情報システムに接続して、情報処理を行う場合だけではなく、オフラインで行う場合も含むものとする。
要機密情報
機密性2情報及び機密性3情報をいう。
要保護情報
要機密情報、要保全情報 及び 要安定情報をいう。
要保全情報
完全性2情報をいう。

【ら】

利用規定
情報システム利用規程」とそれにもとづく手順、その他本学の情報ネットワークや情報システムの利用上のルールをいう。
利用者
本学の情報資産を利用する者および本学の情報システムを利用するすべての者をいう。
(a) 本学に勤務する常勤又は非常勤の教職員(派遣職員を含む)
(b) 本学学則に定める学部学生、大学院学生、科目等履修生、聴講生、研究生、研究員、研修員並びに研究者等
(c) 委託業者,来学者
(d) その他, IT基盤センター長が特に認めた者
臨時利用者
教職員等及び学生等以外の者で、本学情報システムを臨時に利用する許可を受けて利用するものをいう。
例外措置
利用者等がポリシー並びにそれに基づく規程及び手順等を遵守することが困難な状況で、教育研究事務の適正な遂行を継続するため、遵守事項とは異なる代替の方法を採用し、又は遵守事項を実施しないことについて合理的理由がある場合に、そのことについて申請し許可を得た上で適用する行為をいう。
ログイン
何らかの主体が主体認証を要求する行為をいう。ログインの後に主体認証が行われるため、ログインの段階ではその主体が正当であるとは限らない。
ログオン
ログインの結果により、主体認証を要求した主体が正当であることが情報システムに確認された状態をいう。
URI(Universal Resource Identifier)
http://wwww.example.com/のような、Webサイトをアクセスするためのキーとなる情報。URL(Universal Resource Locator)と呼ばれる。