"攻撃メールへの対応に追われることがなくなり、情報基盤部として本来行うべき業務にリソースを集中できるようになりました"

国立研究開発法人 産業技術総合研究所
環境安全本部　情報基盤部部長 工学博士
正木 篤 氏

"未知の不正プログラムに対応できるようになったのは大きな成果。ログの確認なども行ってはいますが、問題になるような事象は確認されていません"

国立研究開発法人 産業技術総合研究所
環境安全本部 情報基盤部
情報基盤グループ　グループ長
久保 真輝 氏

国内最大級の公的研究機関として、産業や社会に役立つ技術の創出と実用化、並びに革新的な技術シーズを事業化につなげるための橋渡し機能に注力する産業技術総合研究所。「エネルギー・環境」｢生命工学」「情報・人間工学」「材料・化学」「エレクトロニクス・製造」「地質調査」「計量標準」などの分野において、全国10カ所の研究拠点で多くの研究者たちが様々な先端研究に取り組んでいる。

この研究活動に必要な各種業務システムやネットワークインフラなどの整備を担当しているのが情報基盤部である。「北は北海道、南は九州まで全国に拠点を展開しているため、遠方の拠点でもつくばセンターと同じレベルでICTが活用できるよう、サービス品質の維持向上に努めています」と同研究所の正木 篤氏は話す。

例えば、メールシステムについては、すでにクラウド環境へ移行しており、現在はMicrosoft Office 365 を利用している。「東日本大震災の発生当時、つくばセンター地域でも停電が生じ、非常用の自家発電装置だけではカバーしきれない状況となりました。つくばセンターのメールサーバが止まってしまうと、被災していない他の拠点のメールも使えなくなってしまうという問題が顕在化したことから、クラウドへ移行して万一の災害時にも稼働を継続できるようにしたのです」と同研究所の久保 真輝氏は話す。

しかし、クラウドサービスを利用する中で、新たな問題が浮上してきていた。メールセキュリティに関する問題である。2015年夏頃から、ユーザの手元まで届いてしまう不審メールが急速に増加。その対応に多くの時間と工数を取られるようになっていたのだ。特に「ばらまき型」の攻撃メールが猛威を振るった際などは、情報基盤部総出で対応することになったという。

「シグネチャベースのフィルタリングだけでは防ぎきれない、マルウェアの新たな亜種の増加などが原因です。被害防止を徹底するには、攻撃メールを受け取ったユーザ全員に電話やメールで連絡し、対処について指示しなければなりません。一日に10～20通程度なら負担も軽微ですが、100通を超えるような量になってくると相当な負担になります。情報基盤部のリソースにも限りがありますので、未知の不正プログラムにしっかり対応できる仕組みが必要と考えました」と正木氏は振り返る。

そこで、同研究所は Office 365 と連携して稼働する新たなセキュリティソリューションの導入検討に着手した。

まず要件として掲げたのは、サンドボックス機能を備えていることだ。Office 365 にも「Exchange Online Protection」として、スパムやマルウェアをフィルタリングする機能がある。この機能と未知の不正プログラムに対応可能なサンドボックスを組み合わせることで攻撃メールがユーザに到達することを防ごうと考えたのである。

導入にあたってメール経路変更などの改修作業を必要としないことも重視した要件の1つである。アプライアンス型のソリューションなどには、メールサーバからの送信先をいったんアプライアンス機器に変更し、メールを迂回させなければならない場合がある。同研究所の一日のメール件数は、数十万通にも達するため、アプライアンス機器の性能によっては、メールの送受信に遅延が発生する懸念があったからだ。

「また、情報基盤部のリソースは限られているため、障害発生リスクのある物理的な機器の導入は、できるだけ避けたいという考えもありました」（久保氏）

同研究所では、これらの要件を満たすソリューションの入札を実施し、その結果、トレンドマイクロの「Trend Micro Cloud App Security™（以下、CAS）」が導入された^※。
※ Trend Micro Cloud App Securityは、すべての未知の脅威に対応するものではありません。

CASは、Office 365 とAPIで連携して、Exchange Onlineで送受信されるファイルはもちろん、SharePoint^®Online、OneDrive^® for Business上などで取り扱われるファイルに対しても、不正プログラム対策、サンドボックスによる解析、Webレピュテーションなどのセキュリティ機能を提供することができる。

現在、同研究所では、ユーザ約9,000名分のメールと、各サービスにアップロードされるファイルを対策の対象と設定している。

また、CASであれば、メールの迂回設定などを行う必要がなく、膨大なメールも大きな遅延なくチェックすることができる。

CASの本稼働後、同研究所における攻撃メールへの対応には目覚ましい改善効果が生まれている。「外部から当研究所に送られてくる攻撃メールの量は、現在も大きく変わったわけではありません。しかし、CAS導入後は、ユーザにまで攻撃メールが届いてしまうケースは、激減しました」と久保氏は言う。

特に研究者は、論文や学会での発表の際などに自らの氏名や所属、メールアドレスを公開するケースが多く、標的型メール攻撃などのターゲットになりやすいが、他の研究者との交流も安心して行える環境が整ったという。

同時に、以前のように情報基盤部の職員は、対処指示の電話連絡に追われることもなく、本来の業務に集中できるようになった。

無事成功を収めた今回のプロジェクトだが、先端研究を手がけ、知的財産などを数多く所有する同研究所にとってセキュリティ強化は永遠の課題ともいえる。「脅威の悪質化はさらに進んでいます。今後も気を引き締めて所内の安全性向上に取り組んでいきたいと思います」と正木氏は抱負を述べた。

※ 記載内容は2016年7月現在のものです。内容は予告なく変更される場合があります。