2024.04.05
すべての自治体がDXを進める中で、もっとも苦労しているのがセキュリティだ。自治体に勤める職員らの働き方を変革する上でも、セキュリティへの課題はますます大きくなっていく。今や、デジタル運用が庁内のシステムに守られているだけでは済まなくなっている現状で、どのような考え方が必要なのか。自治体DXと端末のセキュリティについて奥野氏が語ります。
前編はこちら
前回に引き続き自治体のゼロトラスト実現に必要なものを考えていきましょう。
今後、自治体の働き方改革が進み、職員が自宅やサテライトオフィスのような場所で仕事をするようになれば、あらゆるネットワーク回線を使って自治体のシステムに繋がることになります。そのため、ネットワーク回線に影響されずに大切なデータへセキュアにアクセスできなくてはいけません。
シンクライアント総合研究所
奥野克仁 氏
早稲田大学政治経済学部政治学科卒業。
国内某最大手システムインテグレーター及び同系列シンクタンク勤務を経て2012年株式会社シンクライアント総合研究所を設立。
30年近く手掛けてきた各自治体及び公的機関の情報基盤最適化の実績を踏まえ、情報システム部門の人員の確保に悩む人口5万人未満の中小自治体を中心に次期セキュリティ強靭化、 DX 推進計画づくりまで、全国各地をめぐり助言している。
それらのデータにアクセスするには完全性と機密性を持った仕組みが必要であり、なおかつ可用性が高くなければなりません。今まで、自治体のシステムといえば、オンプレミスが当然であり、データは庁内で保管するべきものでした。しかし、現状ではクラウドストレージサービスもデータ運用のノウハウを集積し、安全性の高いサービスを提供しています。つまり、市場にすでに存在しているクラウドストレージを活用するのも一つの方法なのです。
例えばOneDrive、Googleドライブといったサービスを使い、エンドポイントで扱うデータやそこで生成されたデータを格納すれば、部内の他の職員とのデータ共有もとても簡単になります。それだけでなく、共同編集なども容易になるので、職員同士のコラボレーションによる生産性向上や新たな付加価値の創造といった部分にも期待が持てます。
もうひとつ、クラウドストレージを使うメリットは、データアクセスの権限管理が非常に楽になる点です。このユーザーはこのフォルダのみ、こちらのユーザーは経理データも含めるといった形でデータアクセス環境が柔軟で使いやすく、セキュアに運用できるのです。また、きめ細かいアクセス管理をすることで、データを扱う上での主導権を常に自治体の管理者側に置いておくことも可能です。
例えば、クラウドストレージだけで不安なら、バックアップをオンプレミスサーバに指定する方法もあります。いつもは柔軟に扱えるクラウドストレージを使い、万が一、ファイルを無くしてしまう、あるいは削除してしまうといった場合にもすぐに復元が可能です。また、これは忘れがちですが、部単位に格納されているデータを横串で検索することもできます。
聞き手:株式会社 日本HP エンタープライズ営業統括 営業戦略部 プログラムマネージャ 大津山 隆
クラウドストレージを使うメリットは他にもあります。エンドポイントで作られたデータをすべてそこへ保存するというルールを明確に守ることができれば、PCにデータを一切残さずに、日常の業務が行なえるようになります。つまり、ファットのシンクライアントに似たようなセキュアなPC運用も必然的に導入できます。例えば、PCを紛失、盗難された場合でも、データはクラウドにあるのでPCを用意するだけで簡単に以前と同じ環境を復元できます。
業務に必要なアプリケーションをMicrosoft 365やGoogle Workspaceに置き換えれば、エンドポイント端末にはOSとブラウザだけがあればよい環境も構築できます。オフィスアプリやグループウェア、メール、SNSに至る業務に必要なすべてがクラウドで完結でき、情報共有や共同編集も自在におこなえます。
この段階まで到達するには既存の自治体システムからの移行を含めてかなりの変革が必要になりますが、一部の自治体ではすでに始まっています。
ゼロトラストの実現とエンドポイントセキュリティ強化のための仕組みづくり、クラウドの活用について触れてきましたが、それらと同時にやっておかなければならないことがあります。それは自治体システムが持っている決定的なインターネット活用のやりづらさとの決別です。
具体的な仕組みとしてはインターネットが活用しやすい、β/β´モデルを採用するのが理想的といえます。しかし、令和5年4月現在ではαモデルを採用し続けている自治体が大半で、より柔軟な三層分離を実現しやすいβ/β´モデルへ移行している自治体はまだまだ少ないのが実情です。多くの自治体がDXを促進するためにクラウド活用が必要だと気付き始めているのは事実ですが、実際には多くの課題を抱えていて変革が進まないのが現在の状況といえます。
問題となるのはLGWANの存在ですが、基幹系のアプリケーションは古いアーキテクチャから進化できずにいるままなので扱いが難しい点があります。重要なことは基幹系のシステムに対してもデータを残さず、そこにアクセスするエンドポイントのローカルにもデータを残さない。一般的にいうガバメントクラウドを国家が設置してくれればそれが最適ですが、それまでは信頼できるクラウドストレージを活用しても良いと思います。実は基幹系の業務においてもクラウドストレージを使い始めている自治体も出始めていて、試験的に稼働させることに成功している事例もあります。
エンドポイントのセキュリティに関しては、これまではウイルス対策ソフトに依存していましたが、最近のマルウェアはこれまで主流だったシグネチャ方式がパッチを充てるよりも早く亜種を送ってくるケースが多々あることや、そもそもウイルス対策ソフトが管理できない、個人の盲点をついてくるような標的型攻撃へと悪意が進化しています。
もちろん、AIによる先読み検知を組み込んだ次世代型アンチウイルスソフト(NGAV)や、標的型攻撃のふるまいを監視するEDRといったいくつかのソリューションを組み合わせることで、それらをかなりのレベルで防ぐことはできます。しかし、自治体や市民がより柔軟にインターネット経由でのクラウドサービスへシフトしようとしている中で、がんじがらめのセキュリティ体制を構築してしまうと、外部アクセスが容易でない使いづらいシステムになってしまう可能性もあるのです。
それらを回避するために必要なのが、仮想化テクノロジーを使った新しい視点のセキュリティソリューション「HP Sure Click」です。悪意を見つける、防御するといった考えではなく、悪意を封じ込めるタイプのセキュリティツールで、万が一、悪意のプログラムやURLがあっても、それらを開こうとした段階でアプリケーションごと、OSの上に小さな仮想空間を作ってそこで閲覧・編集をします。ですから、ウイルスだったと気づいたとしても、そのままアプリケーションごと閉じてしまえば、それは存在ごと無かったことにできます。また、独自のセキュアブラウザを持っていて、それを活用することでパブリックインターネット上の情報にアクセスしやすく、万が一悪意があっても容易にブロックすることができます。
このソリューションの素晴らしいところは、エンドユーザーにほとんど負担がないところです。セキュリティのために、新しく何かの操作を覚えたり、定期的に何かを報告したりするといった手間もありません。いつもどおりに使い、インターネットアクセスがあっても、セキュアブラウザを使えば全く問題がありません。エンドポイントセキュリティを高め、ゼロトラストによるセキュリティ運用を実現するのにまさに理想のソリューションだといえます。
HP Sure Clickは米国国防総省が導入するなど、世界トップレベルの組織や団体からの評価が高いソリューションです。例えば、シンクライアントを採用するといったシステムと比較すれば、ソフトウェアをインストールするだけなので、はるかにコストメリットがあります。
また、HP Sure Click Enterpriseになると、脅威を検知してからのふるまいを監視、記録することができます。EDR的な機能も提供されるので、βモデルを採用したときの監査対応としても活用できることもメリットです。もちろん、情報システム部にとっては検知した悪意のふるまいを検証できるので、セキュリティの事後対策ノウハウも十分に集めることができます。
HP Sure Click Enterpriseはマルチベンダーなので、すでに導入済みのPCにもインストールが可能です。そのため、自治体においてもエンドポイントセキュリティ強化の意味合いで採用するところが増え続けており、より信頼性を増しているソリューションです。HPのオフィシャルサイトには多くの自治体の導入事例も公表されているので、一度見てみることをおすすめします。
ゼロトラストが実現できない背景は様々ですが、私の肌感覚でいうとやはりキーマンの存在は大きいようです。誰かが積極的に介在しようと動き、情報収集をして、自分の自治体に何が不足していて、どうすれば解決できるか真剣に考え、行動できる誰かがいると、割とスムーズにその後が進む傾向はあるように感じます。
もし、そうした人材がいないのであれば、外部の業者に任せてみるのも一つの方法だと思います。自治体システムについて、常にアンテナを張り、最先端の情報を持っている業者を見つけることができれば、そこからヒアリングをすることで変革に有益な情報を入手することも容易になるでしょう。
働き方改革からはじめるDXがゼロトラストを実現し、最終的には自治体システムをより使いやすくする方向へと向かわせます。
※コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。