現実解として当初からβモデル採用

 報告の最後のテーマは、庁内ネットワークの強じん化における三層の対策の見直し。奈良市総合政策部の中村眞CIOが、「三層の対策βモデルへの課題と挑戦」と題して取り組みを報告した。

 奈良市は2010年に情報化推進基本計画を策定し、オープン化・マルチベンダー化したシステムの導入を推進。17年3月には、自治体ネットワークのセキュリティ確保に関する総務省の指針「三層の対策」に基づいて、ネットワークの強じん化を実施した。

 三層の対策とは、庁内ネットワークを(1)個人番号利用事務系(マイナンバー系)、(2)財務会計や人事給与などのLGWAN(総合行政ネットワーク)接続系、(3)インターネット接続系の3系統に分けて、それぞれに最適なセキュリティ対策を施すことで、サイバー攻撃などによる情報流出を防ぐ取り組みだ。住民の個人情報を扱うマイナンバー系は他のネットワークと分離を徹底し、LGWAN系とインターネット系はリスクを分断するのが国の指針である。

 約35万人の人口を抱える奈良市は、職員数が約2800人。職員が利用するネットワークを13人の情報政策課が管理している。PCなどの事務端末は、インターネット系が2200台、マイナンバー系が700台で、LGWAN接続系の事務はインターネット系端末の仮想デスクトップ(SBC:Server Based Computing)により処理している。LGWAN系への同時接続数は360である。

 総務省は、政府の「クラウド・バイ・デフォルト原則」によるクラウド利用の拡大、行政手続きのデジタル化、働き方改革や業務継続のためのテレワーク推進の流れに対応するため、三層の対策の見直しを進め、20年12月に改定版指針を公表した。奈良市の構成は同指針での「βモデル」に相当し、常用の事務端末をLGWAN系に配置する「αモデル」と比べて、クラウド利用やテレワーク実現の柔軟性が高い。現時点で採用自治体数が最も多い構成はαモデルだが、今後はβモデルへの移行を検討する自治体が増える見通しである。

 実は奈良市も当初はαモデルをベースに強じん化方法を検討した。しかし、もともとインターネット系に事務端末を配置していたことから、課題が表出した。中村氏は「常用PCをLGWAN系に移すには、使用していた無線LANが認められなくなるため、すべて有線接続に切り替える必要があった。また、LGWAN系にウイルスを持ち込むリスクを排除するには、PCの初期化・再設定が必須で、スケジュール的にも現実的ではなかった。加えて、インターネット系からLGWAN系にファイルを移動する際の無害化処理で、マクロ機能などが失われる懸念もあった」と理由を説明した。

中村 眞氏
中村 眞氏
奈良市 総合政策部 CIO

 常用端末だけでなく、内部情報システムの一部をインターネット系に配置する「β'モデル」の構成も検討したものの、パッケージソフトが分離を想定していない、カスタマイズ対策が必要となるなど、運用面で煩雑になるため、採用を見送った。

インシデント対応も保守の対象に

 同市は、セキュリティ分野の著名な有識者にも意見を求めたうえで、最終的にβモデルを採用した。プリンタは、LGWAN系とインターネット系で共用している(画面転送プロトコルに印刷データを転送)。インターネット系メールは分離されているので、そこにはファイル無害化製品は導入しなかった。「業務上頻繁にLGWAN系を使用する部署には、実機端末を配布した」(中村氏)。

 運用にあたっては、インシデント発生時の連絡体制、役割分担の明確化、被害拡大を防ぐための初動マニュアルの整備など、迅速な対応のための体制を構築した。また、複数のセキュリティ製品の組み合わせによる振る舞い検知を導入し、標的型攻撃やゼロデイ攻撃の被害を防いでいる。保守要件としてインシデント発生時における対応を明記するなど、製品の故障対応だけでなく、セキュリティインシデントも保守対象であることを保守ベンダーに求めている。

 システムの設計・運用で苦慮した事項としては、系統が異なるシステム間の連携・データ同期と、新しい系統(LGWAN系)が増えたことによる運用負荷の増大を挙げた。グループウエア、共有フォルダ、メールがLGWAN系とインターネット系の両方に存在していることも、運用が煩雑になる要因という。「文書管理はLGWAN系で束ねるのが原則だが、一部インターネット系に作られたドキュメントが残っており、これを今後どう電子化していくかが課題になっている」(中村氏)。

 質疑応答では、まずオンライン参加した愛知県豊橋市総務部情報企画課の請井洋文専門員が質問した。「インターネット系から、仮想化したLGWAN系にファイルを持っていくのは、どのような方法か。またLGWANメールの着信通知はインターネット系に届くのか」と尋ねた。中村氏は「LGWAN系には無害化ツールを導入してあるので、インターネット側からはテキスト、CSV、PDFしか取り込めない。マクロ付きの可能性があるExcelもダメ。LGWAN系メールが届いた通知をインターネット系で知る方法はない。職員はおおむね1日に数回、LGWAN系に入ると思われるので、その際にチェックするように指導している」と回答した。

請井 洋文氏
請井 洋文氏
愛知県豊橋市 総務部情報企画課 専門員

 請井氏は続けて、「庁内の環境を大きく変える意思決定をどうやって進めたのか。情報課がリードしたのか、組織横断的なプロジェクトで進めたのか」と尋ねた。中村氏は、「以前のオープン化は外部からコンサルタントなどに加わってもらい、プロジェクト化して進めた。三層の対策の際は、やるべきことが明確だったこともあり、情報政策課主体で進めた。苦情にも責任を持って対処・説明した」と答えた。

 甲府市総務部行政管理室の西村克仁情報政策課長は、端末仮想化の導入後の業務システムとネットワークの安定的な運用について質問した。中村氏は「多くの職員が仮想化でLGWAN系の業務をする前提で、システムを選定している。また、物理端末でしか扱えない業務は特定の部署に限定されており、専用端末を配備してある。とにかく、初めからネットワーク全体を仮想化しようと考えないことが大切」と答えた。