不正アクセス被害の明治大学 二段階認証と「Microsoft 365」でどう対処したかメールセキュリティを強化

2018年に発生したメールアカウントへの不正アクセスを受け、明治大学は安全なメールシステムを構築するために「Microsoft 365 Education」を活用した。ライセンスの選定理由や導入状況について管理担当者が語る。

2019年07月31日 05時00分 公開
[大久保 心織TechTargetジャパン]
画像

 明治大学は、Microsoftのオンライングループウェア「Exchange Online」を利用し、2018年12月からメールシステムのセキュリティ強化に取り組んでいる。背景には2018年7月に判明したメールアカウントへの不正アクセスがある。

 製品とライセンス選定で重視したポイントや、システム構築と運用のために実施した取り組みはどのようなものだったのだろうか。2019年6月開催の教育ITイベント「New Education Expo 2019」の講演「大学ネットワークセキュリティを考える〜事例から考える効果的な対策の検討〜」に基づき、明治大学がセキュアなメールシステムをどのように構築したのかについて紹介する。

根本的なセキュリティ強化策が必要だった

 明治大学は、利用形態とセキュリティ要件の違いから、メールシステムを「学生・教員用」と「職員用」に分けて運用している。学生・教員用は2014年から、職員用は2018年から、Microsoftの教育機関向けオフィススイート「Office 365 Education」に含まれるExchange Onlineを用いて運用してきた。

 2019年6月時点でOffice 365 Educationのライセンスは「Office 365 A1」「Office 365 A3」「Office 365 A5」の3種類があり、利用できる機能や利用料金などに違いがある。Office 365 A1は学生、教職員用のアカウント共に月額無料で利用でき、必要十分な機能がそろっていたことから、同大学はOffice 365 A1を利用していた。

竹花氏 明治大学の竹花和也氏

 第三者による不正アクセスの被害を受けたのは、職員用と学内組織用の計2件のメールアカウントだった。攻撃者の行為は、侵害したメールアカウントを利用したスパムメールの送信だけでなく、該当アカウントの送受信データや添付データの詐取にも及んだ。それらのデータが個人情報を含んでいたことを明治大学は公表している。

 この不正アクセス被害を受け、明治大学は再発防止とセキュリティの向上に向けた取り組みを開始した。具体的には、メールアカウントのパスワードリセットや、学生と教職員に対する情報セキュリティのリテラシー教育を実施した。しかし「システム管理の現場から見ると、根本的な解決には不十分だと感じた」と、同大学でメールシステムを運用管理する竹花和也氏は語る。

メールシステムのセキュリティ強化

 メールシステムのセキュリティを強固にするため、竹花氏らは以下の要素を備えたメールシステムの構築を目標に据えた。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news130.jpg

Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...

news040.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。