大学のメールシステムに求められるDMARC
文科省が大学に求めるDMARCの実装
文部科学省の「大学等におけるサイバーセキュリティ対策等の継続的な取り組みについて」
国公立・私立、共に大学に対して文部科学省から「大学等におけるサイバーセキュリティ対策等の継続的な取り組みについて(通知)」が令和4年6月22日に出ております。
近年、大学におけるサイバーセキュリティ対策が注目される中、多くのインシデントが報告されています。
その多くは、メール誤送信や情報の意図せぬ公開など、基本的な情報セキュリティ対策の欠如や意識の不足から起こっています。
更に標的型のサイバー攻撃も活発化の兆しを見せています。
この背景を受け、大学には地道で継続的なサイバーセキュリティ対策が求められています。
特に、先端技術情報の共有が日常的に行われる現代において、大学も産業界との情報共有をサイバーセキュリティの観点から再検討する必要があります。
ここで、DMARCの導入の重要性を強調したいと思います。
DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、メールの送信者を正確に認証する技術です。
不正なメールの受信を防止し、大学のメールアドレスからの信頼性を高めるための有効な手段です。
なぜ大学にDMARCの実装が必要かというと、以下の点が挙げられます。
学会関係者を対象とした標的型攻撃の防止
学会関係者は高度な専門知識や研究データを有するため、特定の攻撃者からの標的とされるリスクが高まっています。
このような標的型攻撃(APT攻撃など)の中でも、メールを用いた攻撃が非常に一般的です。
DMARCの導入は、大学のメールシステムのセキュリティを強化するための重要なステップとなります。
- なりすましメールの検出と防止
-
DMARCは、メールの送信元を検証するプロトコルであり、不正な送信元からのメールを検出することが可能です。
これにより、攻撃者が大学や教職員を装ったなりすましメールを送信する試みを効果的にブロックできます。 - 信頼性の向上
-
DMARCを導入することで、大学からの正規のメールが受信者に確実に届く確率が向上します。
これにより、他の大学の学会関係者との信頼関係を維持し、重要な情報伝達がスムーズに行われます。 - 学術情報の保護
-
大学や研究機関は、未公開の学術情報や研究データを多数取り扱っています。
DMARCの実装により、フィッシングメールなどによる攻撃で、これらの情報が外部の攻撃者に漏洩するリスクを大幅に低減することができます。 - 詳細なレポート機能
-
DMARCは、メールの送受信状況に関する詳細なレポートを提供します。
これにより、不正なアクセスやなりすましの試みを迅速に検出し、対応することが可能となります。
産学共同事業におけるサプライチェーン攻撃の防止
産学共同事業は、大学の学術的知見と産業界の実務的なリソースを組み合わせることで、革新的な研究や技術開発を推進する重要な取り組みです。
しかし、このような事業が進行する中で、関与する両者がサプライチェーン攻撃のリスクにさらされることが増えてきました。
特に、攻撃者は大学を産業界への入り口とみなし、攻撃の対象とすることが多くなっています。
- 大学のメールの脆弱性
-
多くの大学はオープンな環境を維持しており、外部からのアクセスが容易です。
このため、攻撃者は大学を通じて産業界の情報やリソースにアクセスしようとします。
DMARCの実装により、なりすましメールのリスクを大幅に減少させることができます。 - 信頼の維持
-
産学共同事業においては、信頼関係が非常に重要です。
DMARCを使用してメールの送信元を検証することで、相手からのメールが正当であることを確認することができ、信頼関係の維持に寄与します。 - 知的財産の保護
-
産学共同事業においては、未公開の研究結果や技術情報が頻繁に交換されます。
DMARCの導入により、これらの情報が攻撃者に漏洩するリスクを低減することができます。 - 産業界との連携強化
-
DMARCの実装を通じて、大学が情報セキュリティに真剣に取り組んでいることを示すことができます。
DMARCのレポートは、メールの送受信状況に関する詳細なレポートを提供する機能を持っています。
このデータをエビデンスとして、産業界との信頼関係を一層強化することが可能となります。
小中高の生徒、学内の学生、卒業生、その保護者を対象としたなりすましメールの防止
大学およびその付属の小中高校は、教育と研究の場として多くの人々とのコミュニケーションを必要とします。
入学を希望する児童・生徒やその保護者、在学生、卒業生など、さまざまな関係者とのやりとりが日常的に行われています。
その中で、なりすましメールがこのような関係者をターゲットとした場合、重大な問題を引き起こす恐れがあります。
- 多様なターゲットの保護
-
大学や付属の小中高に関連する情報は、入学試験、学費、奨学金、卒業後のキャリアサポートなど、非常に多岐にわたります。
また学校や大学のメールアドレスは、学外の機関や団体とのコミュニケーションにも使用されることが多いです。
DMARCは、これらのなりすましメールを届かないようにし、関係者を守る手段として役立ちます。 - 個人情報の漏洩防止
-
入学を希望する児童・生徒やその保護者は、入学手続きや問い合わせの際に個人情報を提供することが多いです。
なりすましメールによって、これらの情報が不正に収集されるリスクがあります。
DMARCの導入により、児童・生徒やその保護者は、大学からの正規メールであることを確認することができます。 - 信頼性の維持
-
学校や大学は、関係者との信頼関係を維持することが極めて重要です。
なりすましメールによる被害が発生すると、それが信頼の毀損につながりかねません。
DMARCは、学校や大学が情報セキュリティに真剣に取り組んでいることを示す手段として有効です。 - 教育活動の支障防止
-
学生や卒業生がなりすましメールの被害に遭った場合、学業やキャリア活動に支障をきたす可能性があります。
DMARCを用いることで、これらのリスクを最小限に抑えることができます。
特に受験シーズンには、なりすましメールが急増するので、それらを防ぐことが大事です。
大学附属病院でのなりすましメールの防止
大学附属病院は、先端の医療を提供するだけでなく、医療研究の中心地としても機能しています。
これらの病院で取り扱われる情報は非常に重要かつ繊細であり、この情報の安全性を確保するためには、情報セキュリティ対策が極めて重要です。
- 患者情報の保護
-
大学附属病院は、患者の診療記録や個人情報など、非常に繊細な情報を多数取り扱っています。
なりすましメールによる攻撃は、このような情報の漏洩のリスクを高めます。
DMARCを実装することで、不正なメールから生じるリスクを低減することができます。 - 研究データの安全性確保
-
病院は医療研究の拠点として、多数の研究データを保有しています。
このデータが第三者に漏れると、研究成果の流出や、研究の信頼性を損なう可能性があります。
DMARCは、なりすましメールを送信できないようにすることで、標的型攻撃を防止し、これらの研究データの安全性を確保します。 - 信頼性の維持
-
患者やその家族、研究者、医療スタッフなど、多くの人々が大学附属病院を信頼しています。
なりすましメールによる被害が発生すると、その信頼が大きく揺らぐこととなります。
DMARCの導入は、病院の信頼性の維持に寄与します。 - 詳細な監視とレポート
-
DMARCは、メールの送受信状況に関する詳細なレポートを提供します。
これにより、病院は不正なメールの送信試みを迅速に検出し、適切な対応をとることができます。
国立情報学研究所の「高等教育機関の情報セキュリティ対策のためのサンプル規程集」
以上の他に、令和3年の政府が出した「サイバーセキュリティ戦略」でも、大学の情報資産の重要性が強調されています。
このような背景の中、DMARCの実装は大学におけるサイバーセキュリティ対策の一環として、極めて重要な位置づけとなるでしょう。
今こそ、大学におけるサイバーセキュリティの強化として、DMARCの導入を真剣に検討し、先進的な取組を進めていくことが求められます。
この文部科学省の通知の中で、「高等教育機関の情報セキュリティ対策のためのサンプル規程集」が記載されており、SPF/DKIM/DMARCの設定が示されています。
大学のメールシステムへのDMARCの適用についてお役立ちできます
私達が提供するPowerDMARCは、国内900ドメイン、海外10万ドメインで採用頂いているサービスです。(2025年1月1日現在)
既に国立大学、私立大学の数校に導入されており、大きな成果を出しております。
大学の学部ごとのサブドメインのメールサーバや、学外の商用サービスなどを利用していても、全て一括で監査が可能です。
しかも、料金はとてもリーズナブルで導入しやすい月額数万円の価格です。
メール通数による従量課金ではなく、無制限で定額です。
導入までは、以下の流れになります。
1. トライアルに関するお問い合わせ
まずは、お問い合わせフォームを通じてご連絡下さい。
もちろん、PowerDMARC本社への直接の問い合わせも結構ですが、日本総代理店である弊社に転送されます。
2. 初回オンラインミーティング
トライアルをスムーズに進行するため、初回のオンラインミーティングを1時間設けさせていただきます。
ここでは、あらかじめ御学のメールセキュリティの実装状況を詳細に調査し、そのレポートをご用意します。
また、PowerDMARCの全機能について詳しく説明し、理解を深めていただきます。
3. 無料1ヶ月トライアル
私たちは無料トライアルを1か月間ご提供します。
PowerDMARC本社ではトライアル期間は2週間ですが、日本総代理店である弊社では1か月間のトライアルを設けております。
トライアルの申し込みに際しては、特別な書類の提出は必要ありません。
トライアル期間中でも、すでにお使いのDMARC監査ツールと併用することが可能です。
既存のメールアドレスを用いて受信する運用もそのまま続けることができます。
また、他社のトライアルと並行してPowerDMARCのトライアルをお試しいただくことも可能です。
4. 設定支援オンラインミーティング
私たち自身が30以上のSaaSを使用している経験から、初期設定がお客様にとって大きな負担であることを深く理解しています。
そこで、トライアルの初期設定が御学の負担にならないよう、1時間の設定支援オンラインミーティングを無償で提供しております。
これにより、ストレスなく、スムーズにPowerDMARCのトライアルを始めていただくことができます。
5. 無料分析オンラインミーティング
導入後、1週間経過した段階で、無料の分析オンラインミーティングを提供します。
一緒に1週間分のデータを分析し、DMARCコンプライアンスの達成率、問題のあるメールサーバ、なりすましメールの発生状況などを詳しく見ていきます。
その結果を基に、何をどのように改善すればより良い状態になるのか、具体的な提案をその場で行います。
6. 経過観察
無料の分析オンラインミーティングで提案した対策の実装後、DMARCコンプライアンス達成率、メール到達率、なりすましメールの出現率といった指標の変化を御学で経過観察いただきます。
その結果を通じて、私たちの提案の有効性を実感していただけます。
7. 見積書の作成
PowerDMARC本家は、メール通数による従量課金ですが、代理店版はメール通数に依らない固定価格で本家よりお得です。
課金は、APEXドメイン数単位になり、サブドメインは無料です。
SLAやセキュリティ保証が必要な大学についてはPremiumプランで対応しております。
8. 契約の準備
PowerDMARCの効果と使いやすさを実感いただき、契約をご検討いただける場合、契約の準備を進めます。
契約形態は、改正民法第548条の2第1項で定められた定型約款に基づきます。
定型約款は御学の不利益になる変更は許されていません。
セキュリティチェックシートの記入が必要な場合(Premiumプランのみ)、それに対応します。
9. 契約開始
御学から発注書を頂きましたら、弊社より発注請書をお送りし、これで契約完了です。
既存のトライアルアカウントは契約開始日から自動的に本番アカウントに移行します。
お支払いについては、日本のビジネス習慣に準じて、請求書による決済をご提供しております。
10. 全面的な運用支援
SaaS契約が進んでいるものの、操作方法が分からないままで、使いこなせずに費用だけ請求されてしまう。
このような状況を防ぐために、日本総代理店として、私たちは運用支援サービスを積極的に提供します。
PowerDMARCのDMARCレポート分析機能は詳細なデータ追跡が可能で、その分析結果からの適切な判断について、私たちは専門的なサービスを通じて徹底的にサポートします。
DMARCポリシーの適用率を100%まで引き上げて、なりすましメールが届かない環境を確立します。
さらに、BIMI対応で、商標登録やシンボルマークのTiny SVGの用意、DigiCertの代理店としてのVMC販売・発行までをカバーします。
アラート設定、レポート設定、御学のシステムとのAPI連携を通じて、日々のメールセキュリティ監視体制の構築に貢献します。
1か月のトライアルでDMARC運用開始までいけます
1か月のトライアル期間中で、設定は全て無料で支援しますので、その後、そのまま契約される大学が殆どです。
メールサーバやサブドメインの数にも依りますが、2~3か月ぐらいで、なりすましメールを全体の数%まで撲滅可能です。
文部科学省が大学に求めているDMARCの実装について、私達がお役に立てます。
是非、お気軽にお問い合わせ下さい。