「教育付加価値日本一の学園」を目指す金沢工業大学。自ら考え行動する技術者の育成や、社会実装型の教育・研究を推進する同大学では、ICTを活用した高度な教育・研究環境を構築しています。同大学のICTを支える情報処理サービスセンターでは、学内ネットワークの整備を拡充し、教職員に向けては2002年からActive! mailによるWebメール環境を運用してきました。そして、2019年にActive! mailを最新版に更新するタイミングで、添付ファイル画像化オプションを採用し、標的型メールへの対策に活用しています。
教育機関を狙った悪質かつ巧妙な標的型メールの増加
金沢工業大学のICTを支えてきた情報処理サービスセンターでは、2002年から継続してActive! mailを使い続けてきました。その背景について、同センターのシステム部長を務める髙島伸治氏は、次のように説明します。
「私がこのセンターに赴任してきたのは2010年ですが、それ以前からActive! mailを導入していました。前任者に聞いた話では、メール情報を保護する観点から、オンプレミスでの運用を重視し、教職員の使い勝手に配慮して、特定のメールソフトにこだわらずにWebベースで利用できる点を評価して、Active! mailを採用したそうです」
同センターでは、研究情報などを外部のサーバーに保存するリスクを避けるためにオンプレミスでの運用を重視し、金沢以外の場所にあるデータセンターにバックアップを保存して、BCP対策も整えています。安全で信頼性の高い運用を継続する一方で、かねてから危惧していた問題もありました。それが教育機関を狙った悪質で巧妙な標的型攻撃メールの増加です。髙島氏は「この数年で急激に教職員がつい開いてしまいそうになる標的型攻撃メールが増えています。例えば、うちの大学のドメインと酷似したFromアドレスや、教育機関と関わりの強い行政機関からの通達であるかのようなメールもあり、悪質さと巧妙さが増しています。心当たりがないメールや不審なメールの添付ファイルは開かないように案内してもうっかり開いてしまいそうになるリスクはありました」と課題を振り返ります。
学校法人金沢工業大学
情報処理サービスセンター
システム部長
髙島 伸治氏
Active! mailの更新時に添付ファイル画像化オプションを知り導入を検討
金沢工業大学のネットワーク構築や基幹システムの運用は、株式会社金沢総合研究所が担ってきました。同社のSI推進事業部でシステムエンジニアを務める?見祐二氏は、3年前から同大学に赴任して、ヘルプデスクやシステム運用などに携わってきました。増加する標的型攻撃メールに対して、?見氏も「毎年、職員の方々にeラーニングを通して、セキュリティ関連の教育は行っています。それでも、年に何件かは『メールを開いても大丈夫だろうか?』という問い合わせが来ます。重大なインシデントなどは発生していなくても、問い合わせに対する調査なども運用の負担になっていました」と説明します。さらに、「学内からのメール利用であれば攻撃を阻止できる場合でも、外出先からではそうはいきません。働き方が多様化している今、Webメールのオプションで標的型攻撃メールの対策ができるのは有用だと判断しました。」と髙島氏。
教育や各自の意識だけでは、標的型攻撃メールからの被害を完全に防ぐのは困難だと考えていた情報処理センターは、Active! mailの更新時に添付ファイル画像化オプションを知りました。その経緯について髙島氏は「2019年の6月に、古いActive! mailの保守が切れるという案内をもらい、新しいバージョンへの切り替えを申し込みました。そのときに、Active! mailの添付ファイル画像化オプションのデモンストレーションを見せてもらう機会がありました。このオプションを導入すれば、教職員が標的型攻撃メールの添付ファイルを開くリスクを大幅に低くできると実感しました。価格も、大学の予算内で申請できる安さでした」と採用の経緯を振り返ります。
株式会社金沢総合研究所
SI推進事業部
システムエンジニア
?見 祐二氏
教職員が意識することなく円滑な導入と運用を実現
2020年1月から、Active! mailの添付ファイル画像化オプションは稼働を開始しました。添付ファイル画像化オプションの導入を担当した?見氏は「インストールには、既存のサーバー内に仮想化環境をひとつ新規に用意しただけでした。リソースの消費が少ないので、既存のシステムを増強することなく導入できました」と話します。
導入後の評価について髙島氏は「『怪しいメールな気がするが判断がつかない』、という添付ファイルも安心して中身を見られるようになりました。ユーザーからは、少なくとも悪い評価は来ていません。メールやセキュリティ関連のツールは、普通に使えることが当たり前なので、何かトラブルがあれば即座にヘルプデスクなどに連絡が来ますが、その反対に何も問題なく快適だと、『良くなった』とか『便利になった』などの高評価は届きません。そう考えると、稼働から数ヶ月が経過して、何もクレームが来ていないのは、導入の成果だと受け止めています」と説明します。
スパムメール対策にActive! hunterへの更新を検討
今後の課題について高島氏は「数年後に外資系ベンダーのスパムメール対策が更新になるので、Active! hunterへの更新を検討しています。現在のスパムメール対策は、有用なメールを隔離してしまう誤検知があるので、継続的な運用には不満があります。原因を開発元に問い合わせても、隔離した理由を教えてもらえないので、当センターとしても説明責任が果たせないのです。しかし、国内ベンダーの開発したActive! hunterであれば、問い合わせに応えてくれると期待しています」と話します。
また?見氏は「Active! hunterはActive! mailと連携するので、隔離されたメールがあることも教職員が容易に確認できるようになるでしょう。また、各自がホワイトリストを作成できるので、利用者へのサービスレベルも向上しヘルプデスクの運用負担も軽減できると思います」と期待を込めます。
さらに髙島氏は「将来的には、オンプレミスからクラウドでのメール運用も考えています。そのときにも、クオリティアのクラウド型サービスを活用した安全なメールセキュリテイについて、アドバイスをもらえたらと思っています」と将来に向けた展望を語りました。