Cases 導入事例

（写真）東京工芸大学　大学事務局　教育研究情報課　主査　古川 康平氏

写真を初めとするテクノロジーとメディアアートの最先端教育・研究機関として進化を遂げてきた東京工芸大学では、巧妙化する標的型メールへの対策の一環として、SPC 標的型メール訓練を導入。毎月定期的に訓練を実施することで、職員の意識に変化が見られるといいます。ご担当者に、導入の経緯と成果について詳しく伺いました。（取材日：2020年6月）

---

学内のデータにアクセスする頻度の高い職員から訓練を開始

―標的型メールの訓練を実施しているねらいや経緯について教えてください。

当学では、2020年2月から月1回のペースでSPC 標的型メール訓練 を利用した標的型メール訓練を行っています。対象者は、職員約100名となります。

―なぜ、職員のみを対象としているのでしょうか。

まずは常日頃から業務で学内のデータにアクセスする頻度が高い職員から訓練を開始しました。今後は、訓練対象を教員にも広げていきたいと考えています。

学生に関しては、教職員とはメールの利用用途も頻度も異なり、学内のデータにアクセスすることがほとんどないため、教職員に比べ情報漏えいリスクが低く、学生全体で行った場合のコスト負担も大きいことから、現在検討中です。

---

標的型メールの訓練は、毎月実施することに意義がある

---

標的型メールの訓練に特化したサービスであることを高く評価

―SPC 標的型メール訓練を採用した理由を教えてください。

セキュリティ診断のような他のサービスは付随しておらず、標的型メールの訓練に特化したサービスであり、次のようなポイントを評価しました。

• 毎月標的型メール訓練を実施できる。
• 標的型メールのトレンドや学内行事などの時期に合わせた多種多様なパターンの標的型メール訓練用テンプレートを提案してもらえる。
• 毎月の標的型メール訓練ごとにレポートを提供してもらえる。
• 標的型メール訓練を行う際のセットアップ、疎通テスト、訓練メールの内容、実施後の報告まで、ソースポッドにすべて運用代行してもらえる。

---

標的型メールに対する職員の意識が確実に変化

―SPC 標的型メール訓練 の導入効果について教えてください。

当学の基本的な流れとして、怪しいメールが来てURLをクリックしてしまった場合、上司に報告し、その後私たち情報課に報告が入ることになっています。

初回の訓練では、怪しいURLをクリックしても報告しない職員が多く見られました。これまでも同様の対応がなされていた可能性があり、まずは実情を把握することができました。

2回目以降は、URLをクリックしなくても、怪しいメールが来たことを報告してくれる職員が増えました。しかも、訓練メール以外の怪しいメールについてもです。徐々にではありますが確実に標的型メールに対する意識が変わってきています。

今後、訓練の回数を重ねながら状況を分析していくことになりますが、訓練メールの内容によって、たとえば、学内からのメールを装った場合に耐性があるのか、学外からのメールを装った場合に耐性があるのかなどの傾向が掴めると、今後の対策の基礎データとしてより活用できると期待しています。

また、頻繁に訓練メールのURLをクリックしてしまいがちな職員がいれば、個別に対応を促すこともできると考えています。

---

ソースポッドへの要望・期待

―SPC 標的型メール訓練およびソースポッドに対する要望や期待があればお聞かせください。

現在、訓練結果のデータをMicrosoft Excel形式でダウンロードできるので、活用しやすいのですが、対応期間などをもっと柔軟に対応できるようになると、さらに便利になると思います。

訓練に関しては、この時期ならではの新型コロナウイルスやWeb会議に関する内容を提案してもらうなど、とても上手くいっているという感触があります。これからも、季節やイベントなど旬なテーマを織り交ぜたテーマの提案に期待しています。

－本日は貴重なお時間をいただき、ありがとうございました。