セキュリティの今日、そして明日を読む

情報漏えいインシデントの発覚を受けてOffice 365のメールセキュリティを強化

弘前大学

2019年5月に創立70周年を迎えた国立大学法人 弘前大学。5 学部、7 大学院研究科、2 研究所、9 学内共同教育研究施設を擁する北東北最大の国立大学である。
現在、同大学が特に力を入れているのが「社会にアウトプットするまで責任を持つ」研究だ。「地域社会とともに課題解決に取り組み、教育研究の成果を地域に還元することを目指しています。例えば、長年、蓄積した弘前市周辺の住民の健診データを解析して、地域医療の発展に貢献するなど、様々な取り組みを行っています」と副学長の吉澤 篤氏は語る。

地域への貢献を掲げて、様々な成果を上げている同大学だが、一方で残念なニュースもあった。 同大学は「Microsoft®Office 365®(以下、Office 365)」を利用し、学生、教職員向けのメールサービスを運用しているが、2018 年5 月、フィッシングメール攻撃によって職員のID とパスワードが詐取され、総計3,151 通のメールが不正に外部へ転送。メールアドレスを含む個人情報の漏えいが発覚したのだ。 発覚後、ID とパスワードの入力を求めてくる偽サイトへのアクセスを遮断、自動転送設定機能の利用を禁止した上、全員のパスワードを一斉に変更することで、同大学は被害の拡散を防いだ。

「その後の調査でも、漏えい情報による二次被害は発生していないことがわかっています。しかし、いくら被害がなかったとはいえ、インシデントが発生したことは重く受け止めなければなりません。全学を挙げて再発防止に取り組んでいくことを決めました」と吉澤氏は述べる。

セキュリティの強化は、「組織対策」「人的対策」「技術的対策」という3 つの柱を立てて計画された。 まず組織対策としては、インシデント発生時に迅速に情報を共有できる体制を目指して組織を改編。全学を横断する「情報連携統括本部」を新たに設置した。 次の人的対策では教育に注力。管理者レベル、一般ユーザレベルと内容を分けたe-ラーニング受講の義務化、教職員向けセミナーの実施、標的型攻撃を想定したメール訓練などの教育プログラムを拡充した。そして、最後の技術的対策では、なりすましを防止するための端末認証を活用した多要素認証を導入した上で、Office 365 自体のメールセキュリティを強化することを決めた。

「従来もエンドポイントとゲートウェイでウイルス対策やトラフィックの監視を行ってきましたが、あくまでも水際対策に過ぎない。インシデントの発生を受けて、そもそも不正メールがユーザの受信フォルダに届かないよう、メールサービスの脅威の検出精度を高める必要があると考えました」と同大学の成田 順一氏は言う。
(2019年7月に掲載)

事例

関連するコンテンツ