諸注意<必ずお読みください>
プリンター・複合機
メーカーが提供している設定ツールの多くはネットワーク上のプリンターを自動的に検索しますが機器名、型番等が同一の場合、誤って他の利用者のプリンターに接続する可能性がありますので十分注意してください。
また、多様な管理機能を持つ機器では、印刷物の履歴、プリンターの状態を管理ツールやブラウザ経由で、学内どこからでも参照することが可能となります。
「プリンター」の多くは印刷データのファイル名といった限られた情報となりますが、「複合機」の場合、スキャン、FAX等のデータ保存機能があります。
パスワードを設定せずに、これらの機能を利用すると重大な情報漏洩に繋がる場合がありますので、ご利用の際は必ず、設定※の確認を実施し、曖昧なまま放置しないようお願いいたします。
設定に関してはプリンターマニュアルを参照の上、不明な点がありましたらメディアセンターまでご相談ください。
管理画面へのアクセスパスワードを設定することが、容易で効果的な対策です。
IP制限の場合、接続するPCが有線LANであれば、建物のフロア内ネットワークに限定することが可能です。更に絞る場合は、PCを固定IPにする必要があります。
【参考】各社の「複合機のセキュリティに関する報道について」
ファイルサーバ(NAS)、無線AP等
製品の初期パスワードは必ず変更してください。
不正アクセスによる被害は、管理者(所有者)ご本人を含む学内ネットワーク利用者全体、更に学外への攻撃の踏み台となり、各種サービスに甚大な影響を及ぼすことが予想されます。
出来るだけ、独自サービス利用は避けV-Campus等のご利用をお願いします。
V-Campusにないサービスについては、一度ご相談ください。
サービスとしての機能は果たすが、使いづらいといった場合のご意見もお聞かせ頂きサービス改善にご協力ください。
各種サーバ(Linux、Windows等)
各種サーバ運用については、本ページの内容をご確認いただき、事故のないよう運用をお願いいたします。
ネットワークプリンターの利用について
固定IPの申請
下記のリンクからIP管理システムへアクセスし、必要事項をご記入の上、システムから申請して下さい。
IP管理システムの利用
学内サーバについて
はじめに
立教V-Campusにおいては、各研究室内、事務部局内に自由にインターネットサーバーおよびイントラネットサーバー(注1)を構築することができます。
このページでは、サーバー構築の方法から、その管理の注意点までをまとめます。
とくにサーバーの不正利用を発見した場合は、本ドキュメントの末尾にまとめた「緊急時の対処方法」を参照し、それにしたがって対処して頂くことを期待します。
サーバーの登録から運用まで
1. 「サーバー管理者」とは?
本学の教職員、および本学の教職員の監督下にある学生は、自由にインターネットサーバーもしくはイントラネットサーバー(注1)を構築することができます。
しかし、構築した瞬間から、「サーバー管理者」として行動することが期待されます。
2. サーバーの登録
学内サーバーの登録について
自らサーバーを構築した教職員、または学生のサーバー構築を監督した教員は、システム管理専門委員会(事務局:各メディアセンター)に対して下記のリンクからIP管理システムへアクセスし、必要事項を記入し、システムから申請しなければなりません。
3. サーバーの構築
サーバーを構築するには、サーバーとして用いるコンピュータが次の用件を満たしていなければなりません。
- サーバーソフトウェア(注2)がインストールされていること
- 固定IPアドレスが割り振られていること
- サーバーにつけた名前が、DNSに登録されていること(注3)
注1)組織内ネットワークのこと。
イントラネットサーバーとした場合、立教学内LANからのみアクセス可能です。
注2)LinuxやFreeBSD等UNIX系のOS、もしくはWindows Serverなら、OSそのものにサーバー機能が備わっています。
MacintoshやWindows95/98などでは、WebサーバーやFTPサーバーの機能を果たすソフトウェアをインストールすることにより、サーバーとして利用することができるようになります。
注3)「vcampus.rikkyo.ac.jp」のように、わかりやすい名前でサーバーを使うためには、マシンにつけられたIPアドレスとこの名前の対照表が必要です。
これがDNSという仕組みで、学内のDNSサーバーに任意の名前(といっても、ある程度の命名ルールがある)を登録することによって、その名前でサーバーを使えるようになります。
なおサブネット内のサーバー情報は当該サブネット内のDNSの管轄となります。
このうち、(注2)と(注3)は上記1.で述べたシステム管理専門委員会への書類提出によって発行および登録されるものです。
4. インターネットサーバーとイントラネットサーバー
立教V-Campusにおいては、インターネット上に公開するサーバーだけでなく、イントラネットにのみ公開するサーバーを構築することもできます。
イントラネットにのみ公開するサーバーを構築することの利点は、利用者を立教大学関係者(学生と教職員、V-Campusに加入した校友)に限ることができるということです。
5. サーバー運営の心構え
インターネットサーバーは、構築よりも運営が難しく、とくにセキュリティの確保には最大限の努力を要します。
下記「立教大学情報倫理規程」を熟読しておい下さい。
立教大学情報倫理規程
6. 不正アクセスの予防
システム管理者は、不正アクセスの防止につとめなくてはなりません。(注4)
次の項目にとくに留意して下さい。
注4)言うまでもありませんが、不正アクセスを許すと、そこから本学の他のサーバーが危険にさらされたりすることもあります。
インターネットにおいては、セキュリティを破られることによって、自らが被害者となるだけでなく、加害者の一味となってしまう可能性もあることを記憶にとどておかなければなりません。
(1) 管理者パスワードの設定と管理に注意する
管理者パスワードが破られると、システムを自由にクラックされてしまいます。
サーバーの正規利用者のプライバシーが侵害されるうえ(注5)、他のシステムにアタックする際の基地にされることもあります(これを「踏み台にされる」といいます)。
また、侵入者によって管理者パスワードが変更されると、システムが乗っ取られてしまいます。
管理者パスワードにはとくに破られにくいパスワード(注6)を設定し、随時変更してください。
また、Windows Serverの場合、デフォルトで設定されるAdministratorというユーザー名を、まったく別の、想像しにくい名前に変更しておくと同時に、guestユーザーに対する権限を抹消しておくことが必要です。
とくに注意すべきなのは、学生をシステム管理者としている場合の、学生の管理です。
管理者パスワードの設定の段階は監督者が一緒にやり、その変更を随時促すようにしなければなりません。
(2) 一般利用者の権限を低くしておくこと
サーバー利用者に対して与える権限が低ければ低いほど、セキュリティは高くなります。
余分な権限は与えないことが望ましいとされます。
Windows Serverでは、ファイルへのアクセス権限の設定に注意してください。
デフォルトではEveryoneに許可されているので、重要なファイルはアクセス権をAdministratorsに限るように設定しなおしてください。
(3) サービスを限ること
余計なサービスもなければないほどよいです。
とくにメールサービスとtelnetサービスは、セキュリティを確保する「腕」に自信がない限り、提供しないことが望ましいとされます(注7)。
V-Campus上に信頼性の高いメールサービスを用意してあるので、そちらをご利用下さい。
(4) サーバーの利用者の意識を高めること
学生ホームページを管理するftpパスワードが破られるだけでは、システムに打撃は与えられないかもしれません。
それでも、ホームページが猥褻画像に書き換えられ、大学が打撃を受ける可能性があります。
自ら運営するサーバーの全利用者に対して、セキュリティ意識を高めるよう努力することが望ましいです。
その基本はパスワード管理です。
自らのホームページに見知らぬ他人の誹謗中傷が書き込まれたりした場合、パスワードの管理責任が問われる可能性もあることを周知徹底してください。
(5) システムの監視
システム管理者は、各種ログを定期的にチェックし、不正利用の兆候がないか確認しなくてはなりません(学生をシステム管理者にしている場合は、定期的に監督者への報告を義務づけることが望ましい)。
(6) システムのバックアップとスナップショットの保存
システムチェックのタイミングにあわせて、システムのバックアップをとっておきます。
不正利用に気づくのが遅れた場合に備えて、数世代は遡れるようにバックアップを残しておく必要があります。
各種ログファイルは定期的に保存します(スナップショットの保存)。
過去に遡ってログを解析するたことができるようにするためです。
また、システムを更新するたびに、最終アクセス日付などを含めたシステムファイルの一覧情報を出力しておくと良いでしょう。
見知らぬファイルがいつの間にか紛れ込み、それが何らかのシステム破りをすることもあります(これを「トロイの木馬」といいます)。
注5)システム管理者は、サーバー利用者の利用状況をすべて見ることが可能です。
メールアカウントを発行している場合、メールボックスの中身もすべて閲覧できます
(これはインターネットの仕組み上、仕方のない「穴」であり、そこからPGPのような暗号化技術が利用されるようになった)。
注6)基本的には、英大文字、英小文字、数字、記号をすべて混在させた意味不明の文字列にすることが望ましいです。
数字だけ、人の名前、英語の辞書に掲載されている文字列、などの利用を避けてください。
注7)メールサービスがあると、スパムメールの中継サーバーに利用される可能性や、サービスすることによって、結果としてユーザーのプライバシーが侵害される可能性があります。
telnetを使って侵入されると、踏み台にされる可能性が高います。
pop before smtpやsshを導入する「腕」と相談することが望ましいです。
7. セキュリティホールへの対処
上記5.の各項目にいくら留意していても、利用しているサーバーソフトウェアに不具合があり、そこからシステムが破られることがあります。
この不具合をセキュリティホールといいます。
セキュリティホールは、クラッカーと開発者のいたちごっこの象徴です。
クラッカーがシステム破りに成功するたびに、開発者がその穴をふさぎます。
穴をふさぐためのソフトウェア(パッチ)は、インターネットを使って無償公開されています。
システム管理者は常にセキュリティホールの情報に気を配り、パッチが公開されれば、遅滞なくアップデートしなければならなりません。
セキュリティホールとそのパッチに関する情報は、以下のURI、ソフトウェアベンダーのWebページで入手することができます。
JPCERT コーディネーションセンター
なお、セキュリティに関する情報交換のための以下のメーリングリストを設置してあります(システム管理者は登録手続きをとったところで強制加入となります)。
security@ml.rikkyo.ac.jp
8. SSL サーバ証明書の発行について
メディアセンターでは、国立情報学研究所が提供している「UPKI 電子証明書発行サービス」に加入しており、本サービスを利用したSSLサーバ証明書の発行を受け付けております。
詳しくは、下記のページをご覧下さい。
SSL証明書発行サービスについて
緊急時の対処法
システム管理者は、自ら管理するサーバーが不正利用されている(可能性がある)と気づいた時点で、まずシステム管理専門委員会に報告しなければなりません。
システム管理専門委員会は、状況の報告を受けてから、管理者に対して対処方法を指示してください。
不正利用に対して、報告もなく、システム管理者が単独で対処にあたることは禁じられています。
その理由は以下の通りです。
- 被害の程度を見極めたり、犯人を特定したりするために、ある程度、クラッカーを「泳がせる」ことも必要な場合があります。
あるサーバーがやられているということは、同じシステムを用いた学内の他のサーバーもやられている可能性が高く、大学全体で情報を共有しながら、対処を進める必要があります。
(大規模な事件の場合、警察から犯人特定への協力を求められることもあります) - 犯人の特定を諦め、追い出すにしても、学内のすべてのサーバーが一斉にセキュリティ対策を施すことがとても重要です。
これが「立教大学は手ごわい」という印象・風評をつくり、不正利用の予防措置の一つとなります。
不正利用への対処の予備知識
システム管理者は、不正利用に対処するための備えとして、「JPCERT コーディネーションセンター ライブラリ」を熟読しておいてください。
JPCERT コーディネーションセンター ライブラリ