導入事例

学校法人東京工芸大学

tokyokogei.png

(写真)東京工芸大学 大学事務局 教育研究情報課 主査 古川 康平氏

写真を初めとするテクノロジーとメディアアートの最先端教育・研究機関として進化を遂げてきた東京工芸大学では、巧妙化する標的型メールへの対策の一環として、SPC 標的型メール訓練を導入。毎月定期的に訓練を実施することで、職員の意識に変化が見られるといいます。ご担当者に、導入の経緯と成果について詳しく伺いました。(取材日:2020年6月)

学内のデータにアクセスする頻度の高い職員から訓練を開始

―標的型メールの訓練を実施しているねらいや経緯について教えてください。

当学では、2020年2月から月1回のペースでSPC 標的型メール訓練 を利用した標的型メール訓練を行っています。対象者は、職員約100名となります。

―なぜ、職員のみを対象としているのでしょうか。

まずは常日頃から業務で学内のデータにアクセスする頻度が高い職員から訓練を開始しました。今後は、訓練対象を教員にも広げていきたいと考えています。
学生に関しては、教職員とはメールの利用用途も頻度も異なり、学内のデータにアクセスすることがほとんどないため、教職員に比べ情報漏えいリスクが低く、学生全体で行った場合のコスト負担も大きいことから、現在検討中です。

標的型メールの訓練は、毎月実施することに意義がある

―SPC 標的型メール訓練 の導入を検討した背景を教えてください。

近年、社会的問題にもなっている標的型メールによる攻撃が急増し、当学に対する攻撃も増え続けています。特に、大規模なイベントや行事が開催されると、それを題材とした内容の標的型メールが増加する傾向にあるようです。
当学においても、標的型メールとして推察される怪しいメールを受信しないようシステム側で入口対策を実施していますが、現状は100%防ぎきることは難しく、最終的な対応は各職員に委ねざるを得ない状況でした。
そのため、標的型メールに対する訓練を実施した方が良いのではないかという漠然とした思いは持っていたのですが、単発もしく1年に1回程度で実施した場合に、どこまで効果があるのか疑問がありました。
1年に1回といった単発的な標的型メール訓練であっても、標的型メールの存在を知らしめることはできるかもしれません。しかし、訓練期間が3ヶ月以上空いてしまうと、その期間で標的型メールに対する意識はかなり薄れてしまいますし、新たな標的型メールに対応できない可能性も考えられます。

―ではなぜ今回、ソースポッドのSPC標的型メール訓練 を導入したのでしょうか。

まず、標的型メールに対する訓練を実施した方が良いと考えていたころ、タイミングよくSPC 標的型メール訓練 の紹介を受けたことが、結果的に標的型メールの訓練を実施するにいたるきっかけとなりました。その際、標的型メールの訓練を、毎月実施できるというのが重要なポイントでした。

―毎月標的型メールの訓練を実施することにどのようなメリットがあるのでしょうか。

次の3つのメリットがあると考えています。

【メリット1】標的型メールに対する意識付けができる
毎月訓練を実施すれば、事前に訓練があることを通告しておくことで、訓練対象者は常に標的型メールの訓練があることを意識せざるを得なくなります。

【メリット2】ソースポッドから標的型メール訓練用テンプレートを提案してもらえ、さまざまなパターンの訓練ができる
ソースポッドが用意するトレンドをいち早く反映した標的型メール訓練用テンプレートにより、業務連絡やイベント・行事など時期に合わせたさまざまなパターンの標的型メールの訓練ができます。

【メリット3】標的型メールに対する対応力が向上する
訓練を繰り返すことでさまざまな種類の標的型メールを見分け、対応する能力が備わると同時に、当学の弱点などの傾向や対策も分析できます。

―単発のサービスを繰り返し利用するという方法は考えなかったのでしょうか。

まず、単発のサービスを利用するとなると、サービス利用の申し込みから、訓練メールを送信するまでの手続きや標的型訓練メールの内容を検討し、最適な訓練メールの内容を決定するまでのプロセスが大変です。さらにコスト面でも割高になります。

標的型メールの訓練に特化したサービスであることを高く評価

―SPC 標的型メール訓練を採用した理由を教えてください。

セキュリティ診断のような他のサービスは付随しておらず、標的型メールの訓練に特化したサービスであり、次のようなポイントを評価しました。

• 毎月標的型メール訓練を実施できる。
• 標的型メールのトレンドや学内行事などの時期に合わせた多種多様なパターンの標的型メール訓練用
 テンプレートを提案してもらえる。
• 毎月の標的型メール訓練ごとにレポートを提供してもらえる。
• 標的型メール訓練を行う際のセットアップ、疎通テスト、訓練メールの内容、実施後の報告まで、
 ソースポッドにすべて運用代行してもらえる。

標的型メールに対する職員の意識が確実に変化

―SPC 標的型メール訓練 の導入効果について教えてください。

当学の基本的な流れとして、怪しいメールが来てURLをクリックしてしまった場合、上司に報告し、その後私たち情報課に報告が入ることになっています。
初回の訓練では、怪しいURLをクリックしても報告しない職員が多く見られました。これまでも同様の対応がなされていた可能性があり、まずは実情を把握することができました。
2回目以降は、URLをクリックしなくても、怪しいメールが来たことを報告してくれる職員が増えました。しかも、訓練メール以外の怪しいメールについてもです。徐々にではありますが確実に標的型メールに対する意識が変わってきています。
今後、訓練の回数を重ねながら状況を分析していくことになりますが、訓練メールの内容によって、たとえば、学内からのメールを装った場合に耐性があるのか、学外からのメールを装った場合に耐性があるのかなどの傾向が掴めると、今後の対策の基礎データとしてより活用できると期待しています。
また、頻繁に訓練メールのURLをクリックしてしまいがちな職員がいれば、個別に対応を促すこともできると考えています。

ソースポッドへの要望・期待

―SPC 標的型メール訓練およびソースポッドに対する要望や期待があればお聞かせください。

現在、訓練結果のデータをMicrosoft Excel形式でダウンロードできるので、活用しやすいのですが、対応期間などをもっと柔軟に対応できるようになると、さらに便利になると思います。
訓練に関しては、この時期ならではの新型コロナウイルスやWeb会議に関する内容を提案してもらうなど、とても上手くいっているという感触があります。これからも、季節やイベントなど旬なテーマを織り交ぜたテーマの提案に期待しています。

-本日は貴重なお時間をいただき、ありがとうございました。
法人概要
法人名 学校法人東京工芸大学
所在地 東京都中野区本町2丁目9-5
ご利用数 100アカウント
関連製品

SPC 標的型メール訓練

SPC 標的型メール訓練【本当に効果のある】標的型メール訓練

詳細を見る

SPC Leak Detection

SPC Leak DetectionOSINTによる漏洩情報検知サービス

詳細を見る