【中窪 悟 編】第5回：ゼロトラストの先に見据える自治体セキュリティの未来

これまでお話したクラウドサービス活用やDXなどを具体的に進めていくために、必要な要素はどのようなことになるのか、ということも考えていくのが大切だと思っています。そこでは当然、ゼロトラストの考え方も入ってくることになります。

私がいた肝付町もそうでしたが、他の自治体さんでも例えばGoogleのソリューションを導入していく際には、働き方改革やDX、さらにはAI活用などまで含めていくと、どうしてもセキュリティとしてゼロトラストの考え方が必要になってきます。

ただ、ゼロトラストという言葉が単純に答えになるわけではないこともまた事実だと思います。これはあくまでも「概念」としてのものであることを、最初に認識しておく必要があります。

とはいえ「概念」を理解してもらうのもなかなか難しいので、自治体の方などに説明する際にはなるべくイメージしやすい説明もしていかなければなりません。

例えば、「これまでのセキュリティでは建物の入り口で身分証を見せるなどして通過してしまえば、あとはどのフロアに行こうが自由だったかもしれません。しかし、ゼロトラストの考え方では、建物に入った後でもフロア移動はもちろん、それぞれの部屋に入るときもデスクでも棚でも使おうとすれば、それぞれで証明書が必要になってくるやり方です。」などという説明をすれば、ある程度イメージしてもらえることもあるでしょう。

しかしこの説明だけでは、「ではそれを実現するにはどうすればよいのか？」という疑問が当然ですが出てきます。その疑問に対する説明として追加するならば、必要になってくるのがIDということになってきます。これによって、証明を求められる度にIDを提示して正当な権限があることを認めてもらうということになります。

それを具体的にどのようなソリューションで実現するのか、という段階まで来るとちょっと難しくなりますが、いずれにせよIDをベースにしたセキュリティの仕組みを使うということへの理解が得られればいったんはよしとしましょう。

例えば具体的なIDを使うセキュリティ手法として、行政サービスを受ける立場の場合であれば、すでにマイナンバーという仕組みがあるので、これさえ持っていれば割合にスムーズにセキュリティを保ちながらサービスを提供してもらいやすくなります。

しかし一般的な仕事の場合には、IDがひとつだけということは少なくて、マイクロソフトのサービスを使うアカウントと、アドビのアプリケーションを使うアカウントが別々にあるなどということも普通です。最近ではさらに ChatGPT などの生成AI用のアカウントなども加わって、それらのサービスを横断的に紐付けていく連携認証のような考え方も出てきます。

クラウドサービスの場合には、特定の場所からのみアクセスを許可するようなやり方では、現在では仕事の幅を狭めてしまうことになりかねません。どの場所からアクセスしても、常に自分が正当な権利を持っていることを証明する仕組みというものが求められている状況だと思います。

自治体サービスへの展開について考えたときに、プライベートでも多くの人が使っている Google のサービスなどは「ひとり1つのID」が実践されているものだともいえます。Google マップや Google フォト、さらに Gmail や Google カレンダーなど複数のサービスを1つのアカウントで利用しているはずです。特定の場所だけではなく、スマホからでもパソコンからでもどこでも同じ状態でサービスが利用できるのがすでに当たり前になっています。他のWebサービスを利用する場合にも、Google のアカウントでログインできるようなものもよくあります。

実際にこういう使い方をしている方は多いと思いますが、それによってなにか危険な目に遭ったりしたことはない、ということを実感値として持っていることがほとんどではないでしょうか。

もちろん、このIDとパスワードをなんらかの方法で知られてしまうと、それこそサービス全体を乗っ取られてしまう危険性もあることは否定できません。

前回の話のなかでも「構造の転換」ということがあったかと思いますが、境界防御になっていて各端末にはそれぞれのユーザーアカウントでログインすればいいというようなところでも、各種クラウドサービスの利用も必要になってきているのが現状です。

もちろん、生成AIなども含めての話ですが、IDは基本的なセキュリティに関する概念のひとつであって、そこをベースにするように変えていかなければならないのは間違いありません。これに関しては、どこの自治体さんでも共通認識としてあると思います。

そうしないと、システムもどんどん繁雑になっていってしまうし、いまのうちにまとめてシンプルなシステムに変えたいということもあると思います。

ただ、実際に構造を転換していくなかでは、「既存のものを積み重ねていこう」ということになると、なかなか辛いところがあると思います。

そこで考え方を変えて、いままでのものを軸にすることはやめて、Windows ベースであっても別な軸を作っていく必要があると思います。セキュリティに関しても、クラウドサービスがベースになることでおのずと出てくる考え方があるので、それによって変わっていくのではないでしょうか。

そこでは防御の仕方も変わってくるので、まずどこを中心にしていくのかということを考えて、現場の仕組みに落とし込んでいくことが大切です。その理解がきちんとされていない限り、なかなかうまくいかないかもしれません。

これまでのコンピュータの世界でもよくあった話ではありますが、その時々で集約と分散のどちらがよいのか、揺れ動くことがあります。この両者を行ったり来たりしながら、これまでも発展してきた歴史があります。

現在の考え方でいえば、データをクラウドとローカルの両方に持つというやり方は、その管理やセキュリティ上の負担も大きいので、クラウドを軸にして考えるのがスタンダードだと思います。

こういった課題に気づいている自治体さんも多いようなので、この変化はしばらく続くのだと思います。

ただ、現在でも「クラウドはなんとなく危険」という認識の自治体さんもありますが、実をいえばデータがどちらにあろうが危ないものは危ないということでもあります。これはあくまでも選択の問題だと私は思っていますが、実際の予算や働き方の幅などを考えたときにどちらにメリットがあるかといえば、やはりクラウドサービスをベースにした方がよいのだと思います。いい悪いではなく、あくまでも現時点での選択ではこの方がよいのでは、ということです。

ゼロトラストの環境を構築する場合、最もシンプルで分かりやすいのがフルクラウド化だと思います。ただし、ゼロトラストが目的ではありません。あくまでも必要に応じて出てきたセキュリティの考え方に過ぎないものなので、これをあたかも目的であるかのように主にしてしまうことはないと思います。

関係省庁のガイドラインなどをみると、まだまだゼロトラストを軸にしたやり方にはなっていませんが、採用した事例も急激に増えているので、ここからは一気にゼロトラストが認知されていく段階にきているのかもしれません。これに関してはあまり時間をかけないで、どんどんやっていく方がよいと思っています。

自治体に関しても、クラウドを無視することもAIを無視することもできない時代になっています。そういう意味でも、どこに軸を置くのかが非常に重要になってきます。それがないと働き方を変えることや、自治体の役割や仕事の仕方などを変えていくことにつなげることもできません。

クラウドサービスの活用が必須となってくる限り、従来の境界防御だけでは、限られた場所からのみのアクセスになってしまうため、いろいろな場所で仕事をすることが難しくなってゆきます。そうした現状を踏まえ国も含めて自治体さんにもこうした動向について把握してもらって、さらにスピード感を持って事例の提供などもしていってほしいと思います。そうした先行事例を待っている自治体さんも多いと思いますので、取り残されるところがないように進めていってほしいところです。