対応範囲が広すぎる「自治体DX」。どのようにして、現場に導入していくか。各自治体の担当者が抱える悩みとは 〜庁内業務編〜
この記事の内容
自治体のシステムを語る上で「自治体DX(デジタルトランスフォーメーション)」が重要なキーワードとなってきています。政府では、自治体におけるDX推進の意義 を「デジタルの活用により、一人ひとりのニーズに合ったサービスを選ぶことができ、多様な幸せが実現できる社会~誰一人取り残さない、人に優しいデジタル化~」(令和2年12月 )と示しています。
関連する方針として「デジタル社会の実現に向けた重点計画 」(令和4年6月に閣議決定)、「デジタル田園都市国家構想基本方針 」(令和4年6月に閣議決定)、令和4年9月には総務省から「自治体デジタル・トランスフォーメーション(DX)推進計画【第2.0版】 」が次々と発表されました。また、経済産業省からは「DXレポート2.2 」、文部科学省からは「文部科学省におけるデジタル化推進プラン 」が発表されるなど、各省庁もDXを推進することの重要性を訴えています。
政府がDXを推し進める背景には、幅広い課題をDXによって解決できるという期待があります。自治体であれば、住民サービスのさらなる充実、少子高齢化による人手不足の解消、働き方の多様化によるオフィス環境の複雑化への対応などが、DXを進めることによって解決できるのではと言われています。
ソリトンシステムズでは、自治体DXには住民のニーズに直接関わり、サービスを向上させる「住民向けのDX」、そして職員の業務効率化などを手助けする「職員向けのDX」があると考えています。この二つのうち、特に「職員向けのDX」に注目し、これまで全国のさまざまな自治体の課題解決に取り組んできました。
より良い行政サービスは、職員の業務効率向上から。 「自治体DX」をスムーズに進めるポイントとは。(前編)
より良い行政サービスは、職員の業務効率向上から。 「自治体DX」をスムーズに進めるポイントとは。(後編)
全国で開催されている各種イベントへの参加、自治体・教育機関への訪問を通じて、現場の声を伺っているソリトンシステムズ ITセキュリティ事業部 パブリック推進部の牧野歩未に、自治体の担当者から受ける相談はどのようなものか、そして、それら課題を解決する具体的な方法はどのようなものがあるか、話を聞きました。
また、今回のインタビューでは庁内業務、庁外業務の課題について、それぞれ前編と後編に分けてご紹介します。前編となる今回は、「庁内業務」における課題についてお話しします。
利便性とセキュリティの向上、増大する運用負荷。悩みが尽きない担当者が情報収集のためにイベントを訪れる
―― イベントや訪問先では、どのような相談を受けることが多いでしょうか?
「民間企業でも自治体でも、お悩みの方が多いのがパスワード管理です。アカウント情報の管理を管理者が手作業で行なっている場合が多く、その業務負担は甚大です。ユーザーにとっても、利用しているクラウドサービスごとにI D /パスワードを変えなければならず、手間を感じることも多いでしょう。民間企業の例ですが、あるクラウドサービスでアカウント情報が漏洩し、その情報を使ってなりすましを行い、別のクラウドサービスにログインされたという事案がありました。複数あるクラウドサービスで同じI D /パスワードを使いまわしている場合も少なくないというのが現状なのかもしれません。
また、自治体特有の課題としては、三層分離に関するものがあります。LGWAN環境の業務システムの一部を、インターネット接続環境へと移行させるβ/β´モデルへの移行を考えている自治体、すでにβ/β´モデルを利用されている自治体では、標的型攻撃やランサムウェア攻撃、フィッシング詐欺といったインターネット経由の脅威にどう対応するかが喫緊の課題です。
上記二つの『パスワード管理』と『インターネット経由の脅威への対策』を解決する方法として、ソリトンシステムズではID/パスワードとデジタル証明書による多要素認証をご提案しています。
ID/パスワードでユーザー本人であるかどうかを判別する『ユーザー認証』をし、デジタル証明書で許可された正しい端末かどうかを判別する『端末認証』をすることで、本人確認の確度をより高めることができます。
『Soliton OneGate 』では、クラウドサービスやオンプレミスシステムなどのアプリケーションへアクセスする際にID/パスワード認証の他、デジタル証明書による多要素認証を行います。複数のクラウドサービスとSAML連携※1することにより、シングルサインオンが可能です。SAML連携をしていないクラウドサービスや庁内にあるオンプレミスシステムにもパスワード代行入力で、シングルサインオンが可能です。さらにソリトンシステムズの提供する『SmartOn ID 』は、端末ログイン時のID/パスワード認証に加え、顔認証やICカード認証の多要素認証を行い、確実な本人認証を行います。
この2製品を組み合わせることで、端末ログイン時の認証、アプリケーション利用時の認証と2段階で多要素認証を行うことで強固なセキュリティを実現することができます。
※1 一度のログインで複数のサービスにログインできるシングルサインオンを実現するための規格
『Soliton OneGate』×『SmartOn ID』の利用イメージ
『Soliton OneGate』はあえて認証エラー時にエラー詳細を表示しない設計にしています。例えば、『Soliton OneGate』を導入いただいている場合、デジタル証明書が入っていない端末がクラウドサービスにアクセスしようとしてもエラーになり、『Soliton OneGate』のログイン画面にアクセスできません。ユーザーにとっては、IDまたはパスワードが間違っているのか、複数回ログイン失敗したことによりアカウントロックがかかっているのか、ログイン画面にたどり着けない原因が分かりません。なぜそのような設計にしているのかというと、エラー詳細は不正アクセスを試みる攻撃者にとってはヒントとなり、ヒントを元に攻撃をし続けることができてしまうためです。
『Soliton OneGate』のデジタル証明書による多要素認証とシングルサインオンはセキュリティ強化、利便性向上どちらも実現できると好評いただいております。不許可ユーザーによるアプリケーションのアクセス制御だけではなく、許可されている職員の私物PCやスマートフォンからアプリケーションへアクセスできないよう制御することも重要です。見落としがちなシャドーIT対策もしなければいけません。
シャドーIT対策として、許可している端末にのみデジタル証明書を配布することによって、アクセス制御を行います。 運用、管理が大変そうだと思われているデジタル証明書ですが、『Soliton OneGate』はデジタル証明書の安全な発行から失効まで、運用を支援する豊富な機能が提供されています。
利便性においても、あらゆるアプリケーションのシングルサインオン環境を実現し、各アプリケーションのパスワードを秘匿化することでパスワード漏洩対策をすることができます。そのため、定期的なパスワード変更は不要になり、セキュリティ強度の高い複雑なパスワードを設定することもできるようになります。
自治体DXを進めるにあたって、パスワードレスを検討しようとイベントへ情報収集に来られたDX担当の方もいらっしゃいました。それほど、パスワード管理に関して悩まれている方は多いのだと思います。『Soliton OneGate』では、FIDO2やスマホ認証などにも対応しており、パスワードレスを実現できます。実際に『Soliton OneGate』をご紹介させていただくと、興味を持たれる方がとても多いですね。」
DXを推進する上で無線LANの導入は欠かせない
―― 自治体では、まだまだ有線LANを利用されているところも多いと聞きます。無線LAN導入の動きはあるのでしょうか。
「最近は、業務端末としてデスクトップPCだけでなく、ノートPCやタブレットの利用も当たり前になってきました。自治体の担当者から、会議室にタブレットやノートPCを持ち込んで使いたい、という話をよくお聞きします。Web会議をする機会が増え端末を持ち運びしたいという要望や、持ち込んだ端末で資料を見るようにし、ペーパーレス化したいと伺います。
このような自治体には、まずは試験的に特定の会議室から無線LANを始めてみて、徐々に庁内の他の場所にも無線LANを導入していくという手法をお勧めしています。無線LANであれば、会議室に職員タブレットや業務用ノートPCを持ち込んでネットワークに繋ぐことができます。さらに、持ち込んだ端末で資料を見るようにすれば、ペーパーレスにもなります。
このようなお話をして、無線LANに興味を持たれた自治体には当社の『NetAttest EPS 』をご提案しています。『NetAttest EPS』は、デジタル証明書を使用したネットワーク認証に必要な機能をオールインワンで備えた認証アプライアンスです。こちらを導入いただくことで、安心安全にお使いいただける無線LAN環境を簡単に構築することができます。
ご利用いただく流れとしては、『NetAttest EPS』でデジタル証明書を発行し、職員が使用する端末へ配布します。配布したデジタル証明書で端末認証を行うことで職員以外の第三者や許可していない端末が庁内無線LANへアクセスしようとしても、排除することができます。サテライトオフィスで業務を行う際にも同様に、許可された端末のみを庁内ネットワークへ繋ぐようにすれば安全に利用いただくことができます。
『NetAttest EPS』は、『地方公共団体における情報セキュリティポリシーに関するガイドライン 』(総務省、令和4年3月改定)に準拠した認証サーバーで、これまで多くの自治体に導入いただいています。有線LANや無線LANの認証で利用できるデジタル証明書を活用することで、許可されていない端末はアクセスできません。このように自治体が必要とする機能を多数有している点も選ばれる理由の一つかと思います。
『NetAttestシリーズ』の利用イメージ
無線LAN利用時、従来の固定IPからDHCPによるIPアドレス払い出しへ変更することが一般的かと思います。ネットワークを安定させたいという自治体には『NetAttest D3 』をご紹介しています。『NetAttest D3』は、他社製品に比べ最大10倍のIP払い出し能力を持つDHCPサーバー・DNSサーバーです。『NetAttest EPS』 と『NetAttest D3』を同時に導入いただくことで、無線LANネットワークのセキュリティ、安定性、そして簡単な運用・管理を実現できます。
実際にNetAttestシリーズを導入いただいた自治体からは、『これまでリモートワークでは対応できなかった個人番号利用事務の業務も、空いている公共施設をサテライトオフィスとして有効活用し、本庁へ行かずに業務ができるようになった』、『無線LAN化を機に行政手続のオンライン化を念頭にタブレットの導入も検討したい』など、無線LANの便利さを実感いただいているようです。DXを考える上で、許可された端末のみが安全に繋がるネットワークが欠かせない要素になっていると思います。
今までの環境を変えることに不安を感じるのは当然のことです。何か気になることがあれば、当社までお問合せいただければと思います。」
利便性の向上と情報漏洩対策が両立できる「インターネット分離」環境を構築するには
自治体特有の課題ですと、どのようなものがありますか。
「自治体では三層分離が原則ですので、インターネット分離が欠かせません。インターネット分離を実現する手段をどうするか、悩まれてイベントに情報収集に来たという方もいらっしゃいました。インターネット分離を行う方法として、すでにVDIを利用している、または検討されている自治体も多いです。しかし、ランニング費用が高いという話や実際に見積もりをとってみると費用が高く、導入を断念したという話をよく聞きます。また、実際にVDIを導入した自治体では、業務開始時、一斉に職員がVDIに接続して使用する時間帯が重なってしまうと、繋がりにくい、レスポンスが遅いといった現象が起きているそうです。
インターネット分離でお悩みの自治体には、『Soliton SecureBrowser II 』をお薦めしています。
『Soliton SecureBrowser II』は、『テレワークセキュリティガイドライン(第5版) 』(令和3年5月、総務省発表)でテレワーク方式のひとつとして記載されている『セキュアコンテナ方式』を採用し、端末内のセキュアコンテナ内(隔離領域内)で動作するブラウザです。『Soliton SecureBrowser II』を導入いただければ、インターネット接続専用端末を用意しなくても職員自身の業務用端末でインターネット分離を実現することができます。
『Soliton SecureBrowser II』は必ず専用のGatewayを経由してインターネットへ接続するため、通信経路の制御が可能です。通信は暗号化されているため盗聴の心配はありません。
また『Soliton SecureBrowser II』の特徴として、ブラウザからローカル領域へ直接データ保存することはできないため、端末にデータは残らない仕組みにもなっています。ブラウザを閉じるだけでそれまで閲覧していたデータは自動で削除されるため、管理者が情報漏洩対策を講じたり、利用者である職員自身が気にしたりする必要はありません。
とある自治体では Web会議用に端末を各課に一台用意されており、職員で使いまわしているそうです。ただ、Web会議が重なると、どうしても端末が足りないとお悩みでした。
『Soliton SecureBrowser II』はブラウザ版のWeb会議システムもご利用いただけるため、業務用端末で『Soliton SecureBrowser II』を開き、そのままWeb会議を始めることができます。さらに、自席から議会中継を見ることもできます。また昨今では庁内で使用しているグループウェアを庁外から閲覧したいという用途で『Soliton SecureBrowser II』をご利用いただくケースも増えてきています。このように『Soliton SecureBrowser II』は幅広い業務にご利用いただけると思います。
閲覧だけではなく、ブラウザからダウンロードしたファイルをローカル領域へ保存したい場合は、ファイル授受サーバー『FileZen S 』によってLGWAN環境でもセキュアにファイル授受が実現できます。さらに、ファイル無害化製品と連携し、ファイルを無害化することも可能です。
『Soliton SecureBrowser II』と『FileZen S』を連携させることにより、一連の流れを簡素化することもできます。また、ファイルを持ち出す際は申請フローを設け、上長の承認を経るという運用も可能です。
『Soliton SecureBrowser II』×『FileZen S』の利用イメージ
セキュアコンテナ内(隔離領域内)でWeb閲覧だけではなく、ファイル編集も行いたいというご要望もいただくこともあります。そのようなご要望には『WrappingBox 』をご紹介しています。『WrappingBox』はセキュアコンテナ内(隔離領域内)でアプリケーションを立ち上げ、安全にアプリケーションを動かすことができます。インターネットからダウンロードしたWord、Excelファイルを『WrappingBox』内で編集し、再度インターネットへアップロード、または『FileZen S』との連携によりローカル領域へ保存という運を実現します。『Soliton SecureBrowser II』と同様にローカル領域とは切り離されているため、編集したファイルを直接ローカル領域へ保存することはできません。
また、端末にインストールされているアプリケーションをセキュアコンテナ内(隔離領域内)で動作させる仕組みなので、二重でライセンスコストが発生するようなことはありません。
『WrappingBox』 では、標準のリモートデスクトップに対応していることも大きな特徴の一つです。リモートデスクトップはWindowsに標準で実装されており、追加で専用ソフトウェアを導入しなくても、リモートデスクトップを開始できることから自治体でも利用されています。しかし、ローカル端末にファイルを保存できてしまうなど、ファイルの持ち出しに不安を感じる管理者も少なくありません。『WrappingBox』はセキュアコンテナ内(隔離領域内)で動作しているため、ローカルへのデータ保存はできません。『WrappingBox』を経由してリモートデスクトップを利用することで、安全にファイルを管理することができます。」
インターネットへ接続できる環境には、サイバー攻撃に対する備えも重要
―― 情報漏洩の他に気をつけるべきことは、なんでしょうか。
「情報漏洩と併せて気をつけたいのが、サイバー攻撃による脅威です。警察庁が令和4年2月に発表した『令和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版) 』」によると、ランサムウェアの感染経路としてリモートデスクトップからの侵入が20%にものぼりました。『WrappingBox』を経由してリモートデスクトップを利用することで専用ポートを開けておく必要がなく、ポートからの不正侵入はできなくなります。」
最後に
「自治体DXを推進する際、『利便性の向上』という視点から考えていただくと、より取り組みやすくなるかと思います。利便性の向上を追求すると後回しになりがちなのが、セキュリティです。私たちソリトンシステムズは長年、多様なソリューションとその時のニーズに合った柔軟な方法で自治体の情報セキュリティを支えてきました。利便性とセキュリティの向上の両立について、お悩みであればぜひ一度当社へご相談ください。」
>> 後編へ続く <<(近日中に公開予定)