自治体や公共機関では国が定めたセキュリティモデルに準拠したシステム構築をするのが一般的だ。山梨県上野原市はこれを遵守しつつ、最新のテクノロジーを用いてセキュリティを強化し、更には業務効率も向上させたいと考えていた。課題解決にあたった株式会社ハイパーとHPの取り組みを紹介しよう。
目的 ・インターネットサービス利用時に利便性や生産性を落とさず、最新の脅威に対抗するセキュリティシステムを構築する |
アプローチ ・HP Sure Click Enterpriseの導入 |
システムの効果 ・メール添付ファイル、ブラウザ経由ダウンロードファイルのいずれも無害化 ・バックグラウンドで動作するため、オペレーションする職員への負担が少ない |
ビジネスへの効果 ・ソフトウェアライセンスのみなのでコストが割安 ・シンプルなソリューションなので運用コストへの影響が最小限 |
株式会社ハイパー(以降、ハイパー)は、「ITサービス事業」や「アスクルエージェント事業」、さらにはネットワーク環境構築や保守業務、Webサイト制作やデジタルコンテンツ制作をはじめとした「サービス&サポート」などの事業領域において、広くサービスを提供している事業者だ。幅広い業種に対応できるノウハウとスキルを活かし、あらゆる顧客企業のニーズに合わせてワンストップでトータル・ソリューションを届けられるのが同社の強みとなっている。設立以来、サービスの豊富さや顧客満足度の高さで幅広い支持を集めており、官公庁や自治体、公共機関にも顧客が多い。
そんなハイパーが、山梨県の上野原市から相談を受けたのは2020年10月のことだった。「現在、上野原市様が使っている基幹システムは住基ネットとLGWAN系に各種システムを配置したセキュアな環境にあります。しかし、市民サービスの充実を図る上では、インターネット回線を使って外部サービスへアクセスする仕組みも必須です。その際に使う環境について、様々な課題を感じているという内容でした」と語るハイパー市村氏。
住基ネットや行政専用のネットワークとなるLGWANを利用したシステムのセキュリティはすでに担保されているが、インターネット接続を用いる際にはそれとは別系統の回線を使用しなければならない。上野原市が構築しているシステムは、総務省が提示する「三層分離」を強化するαモデルとなるが、このモデルにおいてもインターネットへの接続に関してはセキュリティに対して十分な仕組みを構築しておく必要がある。これに対応するため、上野原市では「リモート・デスクトップ・サービス(RDS)」を使用した仮想化環境でのインターネット利用に限定して運用していた。
「しかしその場合、インターネットの使い勝手が良いとはいえず、職員からの不満も多かったようです。また、RDSを維持するためのコストも嵩みます」と上野原市に浮上してきた課題について語るハイパー渡邊氏。
同氏はさらに「特に、インターネット側から入手したファイルを編集するためには無害化ツールを通してダウンロードしてから作業する必要があり、作業効率が大きく低下している大きな要因のひとつでした。」と言葉を続ける。最新の脅威はメール添付だけでなく、ブラウザ経由での感染やファイルダウンロードによって侵入するケースも多い。ブラウザを開くだけで感染するケースにおいては仮想化で対応できるが、ファイルのダウンロードについてはそうはいかない。業務に必要なファイルはどうしても無害化後のダウンロードが必要なのだ。
こうした諸問題への対応を求められたハイパーはすぐさま分析に取り掛かった。そして問題を段階的に解消し、住民サービスの向上を模索するうちに出てきたテーマが、「アプリケーション分離」だった。
ハイパーは上野原市のシステム改善にはアプリケーションをシステムとは隔離して実行する仕組みを持たせる「アプリケーション分離」の考え方によるエンドポイント強化がカギになると考え、それに対する新たなシステムについて選定を始めた。そこで浮上してきたのがHPの「HP Sure Click Enterprise(以降、SCE)」だった。
「実はすでにHPの製品でまさにこの考え方を具体化できるものがあることを知っていました。ですので、すぐにHPさんへ連絡を取り、今回の案件について相談したのです」とハイパー御園氏は語る。要請を受けてHPもプロジェクトに参画、こうしてハイパーとHPは協働で上野原市のシステム提案にあたることとなった。
「上野原市様が懸念されている通り、マルウエアの侵入経路としてブラウザはよく使われる手法です。それを回避するにはファイルを受け取る端末、すなわちハイパーさんがおっしゃる通り、エンドポイントの強化が有効な対策になると考えました」と語るのはHPの澤田氏だ。
SCEをインストールした端末は、オフィスドキュメントなどを各アプリケーションで開く度に、仮想マシンを端末内に生成してそこでファイルを隔離実行する。一般的な無害化ソリューションとは違い、ユーザーから見た場合、ファイルは通常通り使えるので利便性や生産性の低下も発生しないという特長がある。
「SCEが動作している端末では、例え感染したファイルが開かれたとしても、アプリケーションを閉じた段階でマルウエアは消失します。パソコンへの感染はおこらず、マルウエアの情報だけが管理サーバに記録されます」とHP澤田氏。隔離環境内ではSCEによってEDR(Endpoint Detection and Response)のような脅威情報が得られていることになる。
「ソフトウェアインストール型なのもSCEのメリットだと考えています。この方式なら現状のシステムに負担を掛けずにエンドポイントの強化が図れるため、システム改修の必要もなく導入が可能です。改めて大規模なセキュリティシステムを構築するよりも、コストをかなり抑えられますね」と、ハイパー御園氏。
こうした議論を経て、ハイパーとHPは上野原市へSCEを提案。上野原市もこれを了承し、実際の導入へ向けてその効果を検証することになった。
両者の提案を聞き、SCEに活路があると判断した上野原市では、現状のシステムへの影響も鑑みてまずはPoCから開始することにした。まずはインターネット側にLGWAN側での作業を想定した環境を用意してSCEをインストール。約1か月の試用を実施するという段階的な手法をとった。
「その結果、エンドユーザー様からはかなり良好な意見が得られました」と笑顔で語るハイパー市村氏。上野原市の職員からは「ソフトウェアインストール型なので導入・運用が簡単かつ人的負担も減るため、コスト削減にもなる」「仮想ブラウザだけでは対応できなかった作業対象ファイルの取り扱いもセキュアに利用できるようになるので安心」等の声が聞かれたのだという。もちろん、仮想マシンの外でアプリケーションを動かしたい場合には無害化ツールも併用できるようにした。
「PoCの結果、上野原市様が構築している現在のシステムにおけるセキュリティレベルを維持しながら、懸念事項の解消はもちろん、業務効率化が高まるという一定の評価が得られました」とハイパー渡邊氏。
また、作業中においてはバックエンドで動いているSCEを意識することはなく、ブラウザ利用やファイル作業がおこなうことができることを実感していただけたという。SCEは、日常業務において新たな負担をユーザーに強いることがないので生産性の維持・向上という点でも大きな効果があるのだ。上野原市では、これらの結果を受けて本格導入へ向けて積極的な検討を続けているという。
「上野原市様の事例でもお分かりの通り、近年の脅威に対抗するには外部との接点、すなわち水際対策では防ぎきれないという前提に立ってセキュリティを考えることが大切です」と語るハイパー渡邊氏。同市がおこなったようなアプリケーション分離によるエンドポイント強化こそが、これからのセキュリティ対策には必要であることが、ここでも立証されたといえる。
「この考え方は基幹システムの一部をインターネット接続系の配下に設置して、コミュニケーションツールをはじめとした各種サービスを活用することで利便性をさらに高める『βモデル』を採用する自治体、公共機関にも同様のことがいえます。HPにはSCEのようなソフトウェアと併せて独自のセキュリティ機能を強化した端末があります。ハイパーさんとご一緒に、私たちの技術力を活かしたソリューションを、より多くの組織にご提案していきたいですね」とHP大津山氏は言葉を繋げる。「進化を続ける脅威に対して、これからも多くのセキュリティ対策モデルが出てくると思います。ハイパーとしては、そのようなケースに対してもセキュリティ強化によって利便性や生産性を落とさないソリューションをご提案していきたいですね。HPさんのポートフォリオがあれば、どの時代においてもそれは可能と考えていますので、これからも良きパートナーとして協働していければと考えています。セキュリティについてお悩みの方がいらっしゃいましたら、業種を問わずハイパーにご相談いただければと思います」と最後にハイパー渡邊氏は語ってくれた。
「万が一」があってはならない自治体・公共機関に対して、最適なソリューションを提案し大きな評価を得たハイパーとHP。今後も上野原市をはじめ、自治体や公共機関でのセキュアで効率の良いシステム運用に寄与していく。
アプリケーション分離によるエンドポイント強化で
実現する自治体・公共機関の新世代セキュリティ
Author : 日本HP