2019年07月31日 05時00分 公開
特集/連載

メールセキュリティを強化不正アクセス被害の明治大学 二段階認証と「Microsoft 365」でどう対処したか

2018年に発生したメールアカウントへの不正アクセスを受け、明治大学は安全なメールシステムを構築するために「Microsoft 365 Education」を活用した。ライセンスの選定理由や導入状況について管理担当者が語る。

[大久保 心織,TechTargetジャパン]
画像

 明治大学は、Microsoftのオンライングループウェア「Exchange Online」を利用し、2018年12月からメールシステムのセキュリティ強化に取り組んでいる。背景には2018年7月に判明したメールアカウントへの不正アクセスがある。

 製品とライセンス選定で重視したポイントや、システム構築と運用のために実施した取り組みはどのようなものだったのだろうか。2019年6月開催の教育ITイベント「New Education Expo 2019」の講演「大学ネットワークセキュリティを考える〜事例から考える効果的な対策の検討〜」に基づき、明治大学がセキュアなメールシステムをどのように構築したのかについて紹介する。

根本的なセキュリティ強化策が必要だった

 明治大学は、利用形態とセキュリティ要件の違いから、メールシステムを「学生・教員用」と「職員用」に分けて運用している。学生・教員用は2014年から、職員用は2018年から、Microsoftの教育機関向けオフィススイート「Office 365 Education」に含まれるExchange Onlineを用いて運用してきた。

 2019年6月時点でOffice 365 Educationのライセンスは「Office 365 A1」「Office 365 A3」「Office 365 A5」の3種類があり、利用できる機能や利用料金などに違いがある。Office 365 A1は学生、教職員用のアカウント共に月額無料で利用でき、必要十分な機能がそろっていたことから、同大学はOffice 365 A1を利用していた。

竹花氏 明治大学の竹花和也氏

 第三者による不正アクセスの被害を受けたのは、職員用と学内組織用の計2件のメールアカウントだった。攻撃者の行為は、侵害したメールアカウントを利用したスパムメールの送信だけでなく、該当アカウントの送受信データや添付データの詐取にも及んだ。それらのデータが個人情報を含んでいたことを明治大学は公表している。

 この不正アクセス被害を受け、明治大学は再発防止とセキュリティの向上に向けた取り組みを開始した。具体的には、メールアカウントのパスワードリセットや、学生と教職員に対する情報セキュリティのリテラシー教育を実施した。しかし「システム管理の現場から見ると、根本的な解決には不十分だと感じた」と、同大学でメールシステムを運用管理する竹花和也氏は語る。

メールシステムのセキュリティ強化

 メールシステムのセキュリティを強固にするため、竹花氏らは以下の要素を備えたメールシステムの構築を目標に据えた。

ITmedia マーケティング新着記事

news110.jpg

20歳前後の女子の「ヲタ活」実態、7割超が「ヲタ」の自覚あり――SHIBUYA109 lab.調べ
around20女子のヲタク活動=ヲタ活に関する調査結果です。

news086.jpg

Twitter動画広告に新課金体系、動画の50%表示で6秒再生されたタイミングで課金
Twitter動画広告の課金方法に「動画の50%表示で6秒再生」が新しく加わった。

news043.jpg

インターネット運用型広告の出稿先、50%がGoogle 年間400億円分――EVERRISE調べ
EVERRISEは、インターネット広告媒体費の多くを占める「運用型広告費」のうち、同社のサ...