不正アクセス被害の明治大学 二段階認証と「Microsoft 365」でどう対処したか：メールセキュリティを強化

2018年に発生したメールアカウントへの不正アクセスを受け、明治大学は安全なメールシステムを構築するために「Microsoft 365 Education」を活用した。ライセンスの選定理由や導入状況について管理担当者が語る。

[大久保 心織，TechTargetジャパン]

　明治大学は、Microsoftのオンライングループウェア「Exchange Online」を利用し、2018年12月からメールシステムのセキュリティ強化に取り組んでいる。背景には2018年7月に判明したメールアカウントへの不正アクセスがある。

　製品とライセンス選定で重視したポイントや、システム構築と運用のために実施した取り組みはどのようなものだったのだろうか。2019年6月開催の教育ITイベント「New Education Expo 2019」の講演「大学ネットワークセキュリティを考える〜事例から考える効果的な対策の検討〜」に基づき、明治大学がセキュアなメールシステムをどのように構築したのかについて紹介する。

根本的なセキュリティ強化策が必要だった

　明治大学は、利用形態とセキュリティ要件の違いから、メールシステムを「学生・教員用」と「職員用」に分けて運用している。学生・教員用は2014年から、職員用は2018年から、Microsoftの教育機関向けオフィススイート「Office 365 Education」に含まれるExchange Onlineを用いて運用してきた。

　2019年6月時点でOffice 365 Educationのライセンスは「Office 365 A1」「Office 365 A3」「Office 365 A5」の3種類があり、利用できる機能や利用料金などに違いがある。Office 365 A1は学生、教職員用のアカウント共に月額無料で利用でき、必要十分な機能がそろっていたことから、同大学はOffice 365 A1を利用していた。

明治大学の竹花和也氏

　第三者による不正アクセスの被害を受けたのは、職員用と学内組織用の計2件のメールアカウントだった。攻撃者の行為は、侵害したメールアカウントを利用したスパムメールの送信だけでなく、該当アカウントの送受信データや添付データの詐取にも及んだ。それらのデータが個人情報を含んでいたことを明治大学は公表している。

　この不正アクセス被害を受け、明治大学は再発防止とセキュリティの向上に向けた取り組みを開始した。具体的には、メールアカウントのパスワードリセットや、学生と教職員に対する情報セキュリティのリテラシー教育を実施した。しかし「システム管理の現場から見ると、根本的な解決には不十分だと感じた」と、同大学でメールシステムを運用管理する竹花和也氏は語る。

併せて読みたいお薦め記事

メールセキュリティについて学ぶ

• MicrosoftのWebメール「Outlook.com」で不正アクセス　何が起きたのか？
• いまさら聞けない「メールセキュリティ」の7大基礎技術
• サイバー攻撃者の視点で理解する「なぜメールばかりが狙われるのか」

大学のIT活用

• 京都大学が基幹系をオンプレミスから「AWS」へ移行した理由
• 青山学院大学が「出願から入学手続きまで丸ごとIT化」した理由

メールシステムのセキュリティ強化

　メールシステムのセキュリティを強固にするため、竹花氏らは以下の要素を備えたメールシステムの構築を目標に据えた。