17.3.1　認証とアクセス

ITリソースへのアクセス及びその利用は、適切に申請、承認、登録、監査されなければならなりません。非公開の情報格付けの情報資産又はITリソースにアクセスを許可された個人や主体をユーザーと定義します。

ユーザーは、ログイン情報、パスワード、その他のアクセス資格情報を常に安全に管理し、アカウント情報を保護する責任を有します。
アカウント情報やパスワードは本人のみが知り得て利用することができ、他者と共有することは禁止されています。

ITリソースを使用するにあたり、ユーザーは該当する全ての本学のポリシー、原則、手順と関連法規を遵守しなければなりません。またユーザーはOIST ITリソース利用規約を熟読したうえで、署名又はデジタル署名によりこれを理解したことを承認しなければなりません。

17.3.1.1 アカウントの作成
アカウントは以下のプロセスで作成されます。

• ユーザーが利用者の分類ごとの入校手続きを通じてOIST ID管理システムに登録されること。
• OIST ITリソース利用規約を理解したうえで署名（又はデジタル署名）すること。
• 規定以上のアクセス権限が必要な場合、上長による事前の承認があること。
• 個別に管理されているOIST情報資産にアクセスする場合は、情報資産管理責任者又は情報資産管理担当者の承認があること。

17.3.1.2 アカウントの延長
アカウントの延長は利用者の分類ごとの手続きを通じて、正当な理由をもって申請されなければなりません。アカウントの延長プロセスは上長と、必要に応じてそのほかの承認者による承認を必須とします。

17.3.1.3 アカウントの有効期限、無効化、削除
上記のアカウントの延長をしない限り、アカウントは大学でのユーザーの任期の満了時に自動的に無効になります。
システム管理者は、無効なアカウントを発見したときや、CIO、CISO又は統括弁護士による指示を受けた際は、速やかにそのアカウントを無効化し、その作業内容をCIOとCISOに報告します。

17.3.1.4 アクセス権限
ユーザーの職務や責任の変更に伴い、上長はITディビジョンや関連する情報資産管理責任者に必要なアクセス権限に更新するよう依頼する責任を有します。情報資産管理責任者は、アクセス権を適切に更新する責任を有します。

17.3.1.5 特権アカウント/システム管理者
管理者権限を有する特権アカウントを付与された者は、管理者としての業務遂行時に限定して、当該アカウントを利用しなければなりません。なお、特権アカウントのシステムへのアクセスは常時記録され、セキュリティ監視の対象となります。

17.3.1.6 共用アカウント
ユーザーによる共用アカウントの利用は原則禁止です。例外的にCIO又はCISOの同意を得たうえで、システム管理者の裁量で共用アカウントを利用することができます。

17.3.1.7 無許可のアクセス
システム管理者を含む全てのユーザーは、無許可のアクセス行為が疑われる事例を発見した場合には、速やかにCISOに報告しなければなりません。