Japan Association for Medical Informatics

[2-K-2-1] セキュリティ啓発教育とサーバの脆弱性対策の取り組み

葭葉 純子1, 中村 直毅2,1, 長瀬 祥子3, 伊藤 和哉1, 高畑 知香1, 谷村 優介1, 冨永 悌二1 (1.東北大学大学院医学系研究科, 2.東北大学病院, 3.東北大学東北メディカル・メガバンク機構)

医学系研究科・医学部では、学部生を含めて患者情報等の機微な情報に接する機会が多く、情報セキュリティへの対策や個人情報保護が重要な課題となっている。堅固な情報セキュリティを実現するためには、ネットワーク侵入防止装置やファイアウォールなどのセキュリティ装置を導入するだけでなく、情報システム利用者へのセキュリティ啓発教育や、サーバ等の脆弱性診断と検出された脆弱性に対する適切な対応が重要となる。医学系研究科では、利用者向けセキュリティ啓発教育として、平成20年度より毎年1回、全学部生、大学院新入生、新任教職員に対し、個人情報保護、医学部固有の患者情報を取り扱う上での注意事項、大学本部で定める情報システム利用ガイドライン、情報システムを利用する際のセキュリティ対策の実践方法に関する情報セキュリティ教育を行っている。昨年度はさらに東北大学の全教職員に対するeラーニング形式の情報セキュリティ教育が始まったことから、本教育の対象範囲を大学院生、学部生にも拡大して実施した。また、情報システム部門が管理するサーバ機器はセキュリティパッチを適用する等の対策を定期的に実施しているが、研究室独自で稼働させているサーバとウェブホスティングサーバ上の約200のウェブサイトに対するセキュリティ対策は、利用者である研究室任せとなっていた。そこで脆弱性対策として脆弱性診断ツールを導入し、研究室独自で稼働させているサーバとホスティング上の全ウェブサイトの脆弱性診断を実施することにした。診断の結果、5段階のレベル3(Medium)以上で検出された脆弱性に対し、各ウェブサイトの管理者へコンテンツを修正するように依頼した。本対応によりウェブサイトに潜んでいた約130件の脆弱性を解消することができた。本稿では、利用者向けの対策として行った啓発教育、サーバの脆弱性診断の実施とその対応の詳細について述べるとともに、今後の課題について議論する。