現場が使いやすいセキュリティ対策を目指して。ソリトンシステムズが400を超える自治体に選ばれた理由
この記事の内容
マイナンバー制度が本格運用される目前に起きた、2015年の日本年金機構の情報漏えい事件。この事件を機に、総務省は自治体に対して情報セキュリティの強化を求めました。それを受けソリトンシステムズでは、400を超える自治体へセキュリティ対策ソリューションを提供しています。
前編では、なぜ日本年金機構の情報漏えい事件が起きてしまったのか、また当時の自治体のセキュリティ対策状況を振り返り、自治体のセキュリティ対策のポイントについてご紹介いたしました。
>>「安全性と利便性のバランスが重要」日本年金機構情報漏えい事件と自治体の情報セキュリティ<<
後編となる本記事では、なぜソリトンシステムズが400を超える自治体へセキュリティ対策ソリューションを提供するに至ったのか、その経緯やソリューションの内容について、ソリトンシステムズ ITセキュリティ事業部 パブリックビジネス部 部長の富本正幸に話を聞きました。
限られた予算内で、いかにガイドラインを遵守するセキュリティ対策を実現するか
―― まずはじめに、ソリトンシステムズが自治体情報セキュリティ強化対策を進めていく上で、解決すべき課題はどういったものだったのでしょうか?
当時の状況としては、限られた予算の中で、いかに運用面を考慮したセキュリティ対策を行うかということが課題としてありました。悪意のある攻撃者というのは、セキュリティ対策をする側が「こうすることはないだろう」と思っているところを狙ってきますし、OSの脆弱性が発表されて改善されるまでの短い期間ですら攻撃を仕掛けてくることがあります。
そういったことまでを考慮すると、対策すべきことはたくさんあるわけですが、限られた予算内ですべてを対応するということは厳しい状況。さらにお金をかければより強固なセキュリティ対策ができるとしても、利便性が損なわれてしまって、運用が回らないというのは避けなければなりません。
そこで総務省から発表されたセキュリティ対策のガイドラインに従い、特に必須と提言されている箇所をまずは対策しましょうということで、我々もソリューション提供することでご支援させていただきました。
―― どういった経緯で、ソリトンシステムズが提供するソリューションが自治体へ導入されるに至ったのでしょうか?
ソリトンシステムズでは営業所が札幌、仙台、東京、名古屋、大阪、福岡とあるのですが、当時は「全国の自治体を回ろう」ということで、1,800近くある全国の自治体へ訪問させていただきました。
いまのようにオンラインで情報発信を行ったり、Web会議で製品のご説明をしたりといったことも一般的でなかったので、文字通り全国の自治体のほぼ全てに伺い、弊社のソリューションをご提案させていただきました。
関東圏の自治体であれば、様々なメーカーから提案が来ていたと思うのですが、地方の自治体からお話を聞くと、「そもそも提案に来てくれる業者がいない」といったことも。そのため、飛び込みでご訪問させていただくこともあったのですが、多くの自治体が我々のご提案に耳を傾けてくださいました。
また、難しいのは基幹システムというのが「全国で統一されていない」ということ。そのため、時には自治体の基幹システムの保守運用を行っている企業と一緒に展開することもありました。その結果、最終的に400を超える自治体に弊社ソリューションを導入いただけることとなりました。
「現場ではスムーズな認証が求められる」自治体特有の運用に適したソリューション提供
―― 提供ソリューションとしては、具体的にどのようなものになりますか?
優先度や予算の関係から、今回提供させていただいたのは2つ、『SmartOn』というソリューションと、『FileZen』というソリューションです。それぞれどういったソリューションなのかというのをご説明させていただきますと、まず『SmartOn』は多要素認証のソリューションとなります。
やはり、「認証」というのはセキュリティ対策の基盤となるもの。どれだけ暗号化などのセキュリティ対策が施されていても、 ID・パスワードの漏えいなどによって、簡単にユーザーのなりすましができてしまう環境はよろしくありません。『SmartOn』はID・パスワードに加え、指紋等の生体情報やICカードを組み合わせた多要素認証で、確実な本人認証を実現するソリューションです。
当時の認証システムは、ICカードをかざして、パスワードを入力するというのが一般的でしたが、より利便性が高く強固な認証システムにすべく、生体認証を求める声が多くありました。一方で、自治体での個人情報の照会作業というのは、職員が入れ替わりで操作を行うため、認証スピードというのも重視されます。
そんな中、現在のデバイスの多くはカメラが搭載されているため、スムーズな認証が行える顔認証を採用。また職員が退職したり、新しい職員が入社したりといった場合でのセキュアなアカウント管理など、現場での効率的な運用をサポートする機能も完備しています。
そして『FileZen』はセキュアなファイル受け渡しを実現するソリューションです。メールに添付してファイルを送信するというのは、メールサーバーを圧迫させてしまうリスクの他にも、誤送信による外部への情報流出という重大なリスクが潜んでいます。また当時はUSBでのファイルのやり取りも一般的でしたが、当然のことながら持ち出しのリスクも無視できません。
そこで特定の人物のみとファイルのやり取りを可能にし、ファイルのやり取りのログを残すなど、ファイルのやり取りで起こりうる情報漏えいを防ぐソリューションとなっております。
現場の声を聞くことが一番。利便性とセキュリティ対策のバランスをこれからも追求していく
―― 現場の職員の方々が利用する製品であるからこそ、意識して取り組んでいることはなにかありますか?
やはり、現場で働く方々にとって使いやすい製品にするためには、現場の声を聞くのが一番。そのため、ガイドラインがアップデートされたタイミングなど機会がある度に各自治体へはご訪問させていただき、ご意見を伺うようにしています。
我々が「こういった使われ方をするだろう」「こういったところに苦労しているだろう」と考えていることと、現場の意見が違うことは往々にしてありえます。現場の声は我々にとっては非常に説得力のある言葉ですし、常に新しい気づきをいただいています。
―― あらためて、これまでの自治体情報セキュリティ強化対策を振り返ってみていかがですか?
弊社以外にもセキュリティソリューションを提供されている企業はありますが、全国1,800を超える自治体を訪問させていただいたのは他にないと思っています。やはり一般企業とは違った、自治体特有の課題や悩みというのがあります。
そういった課題感に対して、実際に様々な現場の声を伺いながら、現場の方々が使いやすいソリューションのあり方を追求できたのは非常に良かったなと思っております。
一番の理想は、セキュリティのことを意識しなくても運用できる、利便性も保ちながら安心・安全であるセキュリティ対策。そうしたセキュリティ対策と利便性のバランスを今後も追求していきたいですし、そのためにも今後も現場の声を大切にしながら、満足いただける製品をお届けできればと考えております。