HP Sure Click Enterprise × e-Janネットワークス CACHATTO コラボレーション特別インタビュー

全国の自治体が採用している三層分離による強固なセキュリティシステムは、地域住民の個人情報を守るためには必須の仕組みだ。外部からの侵入を一切排除するシステムは、万全のセキュリティ対策をもたらすと同時に、インターネットから情報を得るという現在では当たり前の業務に支障が出てしまうほどの負担を現場職員に与えてしまっているのも事実だ。また、三層分離により複数台の業務環境が必要になっており、コスト面でも負担となってしまっている。ここでは、先進的なセキュリティソリューションを持つ2社により、三層分離システムの中でもセキュリティを保ちつつ、強固かつ柔軟性に富み、職員の負担やコストを大幅に軽減するコラボレーションソリューションを紹介したいと思う。

e-Janネットワークス株式会社（以降、e-Janネットワークス）は2000年3月6日創立以来、電子メール保管サービス、リモートアクセスサービス、保守点検用業務管理システムなどを市場に提供してきた企業だ。2003年に発売した「CACHATTO®（カチャット）」は同社を代表するリモートアクセスサービスに成長し、2012年以降12年連続で日本No.1シェアを誇るサービスとなっている。

優れたセキュリティを持つソリューションで構成され、さまざまなデバイスに対応し、社会の柔軟な働き方を支えている。企業のミッションでもある「優れた、コネクション、コミュニケーション、コラボレーションのサービスを多くの人に届けることで、人々の仕事と生活をより良くする」の実現を続けている。

取材：中山 一弘

自治体のサービス運用をより快適にするために

―いよいよ、HP Sure Click Enterprise（以降、HP SCE）とCACHATTO による自治体向けのコラボレーションソリューションが発表になりましたが、その前に現在全国の自治体ではどのような課題が生まれているのでしょうか？

飯沼
コロナ禍以前は、基本的に全員が出勤しているのが当たり前で、コロナ禍となったことで急遽リモートワークの仕組みを作らなければならなくなった自治体様 がほとんどでした。そのような時代の大きな変化の中、弊社のCACHATTO セキュアブラウザやSplashtop for CACHATTO、CACHATTOリモートデスクトップで自治体様の課題を解決してきました。

現在ではコロナ禍も落ち着いていますから、少し立ち止まってリモートワークを続けていくかどうかというところから検討しているところも多い印象です。働き方のスタイルも大きく変化している中で懸案となっているのが、現状では三層分離となっている自治体内のシステム環境に、どうやって1台のPCからアクセスさせていくかという課題です。

政府の示した方針でもありますが、現在の環境をベースにしながらどうやってまとめていくのか、ということが課題になってきます。弊社でもこういったご相談を受けることが増えていて、自治体の現場の皆様もかなり苦労されているという実感があります。

―三層分離のなかでそれぞれにアクセスできるPCを1台に集約するとした場合、色々と課題があるかと思います。これらの環境構築については、どのように進めているのでしょうか。

澤田
三層分離の基本的な考え方として、まずインターネットに接続する「インターネット接続系」、自治体のネットワークである「LGWAN接続系」、そして個人情報を扱う「マイナンバー利用事務系」というような3つのシステムがそれぞれあります。当然ながら、それぞれのシステムで外部からの脅威度や情報漏洩に関する対処の仕方なども異なったレベルで必要になっています。

まずインターネット接続系については、外部からウイルスなどの危険なものが入ってくる可能性が日常的にあります。

次にLGWAN接続系では、自治体の全職員が行うような基幹業務を扱うシステムになっています。例えば人事・財務・文書管理・庶務など様々な業務に関連するところです。

そしてマイナンバー利用事務系では、もっとも厳重な情報管理が求められるところです。個人番号・住民基本台帳などはもちろんですが、税に関するデータなども扱うため、厳しいセキュリティレベルが必要になります。

従来はそれぞれのシステムに対して1台の端末を割り当てて完全に分離してしまうか、あるいはVDIによって部分的にまとめて利用するなどの方法で事務作業を行っていました。ただ、要求されるセキュリティレベルが異なるため、それぞれでガイドラインが策定されていて、それを遵守することが前提条件になっています。このため、ガイドラインも含めて3つのシステムを1台の端末にまとめるということは、想像以上に難しい部分もあるのです。

αモデルを採用している自治体様の中には、弊社のHP SCEを利用して、三層のうちインターネット接続系とLGWAN接続系を１台でまとめて利用できるような環境を構築し、マイナンバー利用事務系は別に稼働させているような対応をしている自治体様もあります。

この方法なら、通常業務はLGWAN接続系で利用しながら、インターネットに接続する場合には仮想ブラウザを利用するといった使い方ができます。将来的な統合も視野に入れながら、段階を踏んでできることから始めていこうという考え方です。

サーバーが不要になる場合もあるので、業務効率化はもちろんですが、コスト削減にも対応できるメリットもあります。特に中規模以下の自治体様の場合は、コスト負担が大きな課題になっていることも多く、コスト削減が優先事項となることがあるのです。コスト削減とセキュリティの担保というふたつを同時に実現しなければならないという点で私たちにとっても挑戦しがいのある課題となっています。

HP SCEだけでは解決できない課題がある中、それらに関してはe-Janネットワークス様のCACHATTO製品群とうまく組み合わせることで、解決していけるのではないかと考えました。

CACHATTOセキュアコンテナの仕組み

―ここで改めてCACHATTOがどのようなソリューションなのか教えていただけますか？

飯沼
CACHATTOはクラウド、オンプレミスのどちらでもセキュアなリモートアクセス環境を提供するソリューションで、主に4つの製品で構成されています。今回のケースでは、LGWAN接続系とマイナンバー利用事務系の2つの端末を、ひとつにまとめていくために「CACHATTO セキュアコンテナ」をご提案して利用していただくという形がもっともよいと考えました。

CACHATTOセキュアコンテナは、Windows PC向けの製品となり、一般的なアプリケーションと同じでPCにインストールしてご利用いただくものになります。適用後は端末のOSやCPU・メモリやディスク領域を使用して、個別の隔離領域を作成します。端末のなかに元々あるローカルの業務領域とは別にセキュアコンテナ領域を作成するようなイメージになります。実際にマイナンバー利用事務系にアクセスする場合、接続するのはセキュアコンテナ領域からということになります。

セキュアコンテナ領域では通常のWindows OSが動いていますので、普段と同じくブラウザ経由で住基ネット に接続して利用することも問題なくできます。それぞれの自治体様で利用するアプリケーションは異なるかもしれませんが、基本的にはこれまでと同じようにご利用いただけます。

また今回の例では、マイナンバー利用事務系とLGWAN接続系をつなぐために、VPNを利用する形をとっています。マイナンバー利用事務系にはセキュアコンテナ領域からしか接続することはできません。

例えばセキュアコンテナ領域へマイナンバー利用事務系のデータをダウンロードする場合保存先はセキュアコンテナが生成した仮想ドライブになります。セキュアコンテナ外から仮想ドライブにはアクセスできないため、データがコンテナ外に持ち出される心配はありません。

マイナンバー利用事務系の業務で利用する場合には、セキュアコンテナを終了すると仮想ドライブと保存したデータを消去するため、最終的に端末内にマイナンバー系のデータが残りません。セキュアコンテナ領域も同じWindows で動作しているため 、エンドユーザーである職員の皆様が特に難しい設定などをしなくてもこれまで通りに利用できる点も大きなメリットだと思います。

HP SCEとCACHATTO セキュアコンテナを組み合わせるメリット

―基本的な仕組みについてよく分かりましたが、自治体様にとってHP SCEとCACHATTOセキュアコンテナを組み合わせることで、どのようなメリットが得られるのでしょうか。

澤田
HP SCEがインストールされている環境で、インターネット経由のファイルをオープンしようとした際、Windows OS上に仮想空間を自動的に構築し、その中で対応するアプリケーションごとファイルを開きます。この時、万が一悪意が含まれていたとしても仮想空間から外へ出ることができず、そこを閉じてしまえば動き出そうとした悪意も消滅します。また、HP SCEのセキュアブラウザを使えば悪意が含まれるWebサイトからの侵入を検知し、これも未然に防止します。この強固なセキュリティは米国国防総省でも採用されていることから、世界的に評価されているテクノロジーにもなっています。

ですから、基本的な役割分担でいえば、HP SCEは「外部から内部への脅威の侵入を防ぐ」ということになります。そしてCACHATTOセキュアコンテナは、「内部から外部への情報漏洩を防ぐ」ということが主目的になります。

この2つを組み合わせることで、外部・内部のいかなる環境でもセキュリティ対策を万全にできます。CACHATTOセキュアコンテナは内部ネットワークとVPN接続することになるため、隔離環境で個別のアプリケーションを動かしながら情報漏洩を防ぐことができます。

他にも最近では、ライセンスやサーバ構築、運用コスト削減の観点で「外向け/内向けのVDIを減らしていこう」というニーズがあります。こういう場合でも、外向きはHP SCEで、内向きはCACHATTOセキュアコンテナといった具合に、それぞれの特性にマッチしやすいものが揃ったことで、よりVDIを置き換えるケースにも対応し、利便性も向上させることにつながります。

また、すべての職員が同じ使い方をする訳ではないので、必要に応じて端末の状況も変わってきます。使用する権限なども異なり、インターネットを利用するかどうかなども異なります。HP SCEとCACHATTOセキュアコンテナの組み合わせでは、そのあたりにも柔軟に対応できます。

そしてここも大事なことですが、大規模なシステムを必要としない分、十分なコストメリットもあるということで自治体様にも歓迎されているところです。

―HP SCEとCACHATTOセキュアコンテナを組み合わせて運用していくことに関して、両方の特長を生かしてメリットが大きいということがよくわかりました。今後の展望というところで、どういった目的・規模の自治体様などに導入すれば効果が上がるといえるでしょうか。

飯沼
現状では、三層分離の環境をVDIで運用しているような自治体様では、非常に大きなコストが掛かるため、コスト面から見直しを図っている方々も多いかと存じます。そういった自治体様には、私たちのソリューションはお薦めしやすいと思います。

実はHP SCEとCACHATTOセキュアコンテナの組み合わせの導入について、自治体様の規模というものはそれほど関係ないと思っています。例えば小さい自治体様だとしても、コスト削減と業務効率化に役立てることができるので、興味を持っていただけることも多いのです。HP SCEがすでに入っている自治体様などにご提案すると、CACHATTOセキュアコンテナについても興味を持っていただけることもあります。今後も様々な自治体様にご提案しながら、より安全で快適に業務ができる環境をご提供していきたいと思っています。

―本日はありがとうございました。

※このコンテンツには日本HPの公式見解を示さないものが一部含まれます。また、日本HPのサポート範囲に含まれない内容や、日本HPが推奨する使い方ではないケースが含まれている可能性があります。また、コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。