「改訂版ガイドライン」で踏み込んだセキュリティ要件を明記

「三層分離の対策」のあり方を見直し、インターネットやクラウドサービスが利用しやすいβモデル、β'モデルを提示したガイドラインの令和3年度改訂は、三層分離のネットワークを維持しつつ、自治体職員の業務効率や利便性の向上につながる内容だった。

ただし、LGWAN接続系の無線LAN接続を手放しで認めたのではなく、改めてセキュリティ要件を明記することで、セキュリティリスクに関する正しい認識と不正接続防御対策の重要性を、自治体に“念押し”する内容だったとも言える。
 

「無線LANのセキュリティ対策としてIEEE802.1X認証が明記され、RADIUS認証（※）用サーバーを導入することで不正接続のリスクを低減できるという認識が、自治体側にも広まったと思います」と、泉水さん。

泉水 正則（せんすい まさのり）さん
SCSK株式会社
プラットフォーム事業グループ ITプロダクト＆サービス事業本部 ネットワーク部 営業第三課
マネージャー
 

令和4年3月に出されたガイドラインの改訂では、支給以外の端末（BYOD）の取り扱いや、電子証明書を使った庁内ネットワーク接続端末の制限など、より踏み込んだ内容が記載された。

これについて尾崎さんは、「ほかのセキュリティ対策と比べると、ネットワークの『不正接続対策』は浸透しているとは言えません。本来、無線LANの利用拡大とともに必要なセキュリティ対策をセットで考える必要があります。無線LANの導入において、共通パスワードを利用するケースも残る中、より踏み込んだガイドラインの改訂は必須だったのではないでしょうか」という。

尾崎 一平（おざき いっぺい）さん
SCSK株式会社
プラットフォーム事業グループ ITプロダクト＆サービス事業本部 ネットワーク部 営業第三課
プロフェッショナル プロダクトスペシャリスト
 

さらに尾崎さんは、「ここでの『不正接続』とは職員の私用端末を含むネットワーク管理者にとって、想定外の端末がネットワークに接続されること全般を指します。ネットワーク管理者としては適切な利用を期待しますが、不適切な利用により本来の業務に支障がでるリスクが考えられます。さらに職員側に“不正”の意識がなかったとしても、適切なセキュリティポリシーを満たさない端末が踏み台として利用され、加害者側になったり、ネットワーク上の他のシステムに対する侵入経路にされたりする危険性があるからこそ、想定外の端末が接続できる可能性は排除しなければならないのです」と強調する。

個人情報をはじめとするセンシティブな情報を取り扱う自治体ネットワークだからこそ、あらゆるインシデントを想定した情報セキュリティ対策が必要だ。「配慮すべき事柄がガイドラインに記載されたことで、自治体側はもちろんシステムを提案する我々ベンダー側も、意識が変わったと思います。明記されたことで、予算化しやすい・提案しやすい環境が整ったと言えるのではないでしょうか」と泉水さん。

（※ユーザーが入力したID・パスワードをクライアントが受け取り、サーバーにアクセスをリクエストする認証方式）

業務効率化だけではない、自治体での無線LAN導入のメリット

自治体ネットワークを守るという点において、三層分離は非常に効果的な対策だった。ただ、個人番号利用事務系、LGWAN接続系、インターネット接続系を完全に切り離し、使用端末も分けたことで、業務ごとに庁内を移動しなければならなくなるなど、業務処理における利便性と効率が大幅低下したのも間違いない。

「個々の職員が普段使っている端末から、庁舎内の無線LANを利用できるようになれば、庁内でのムダな移動がなくなり、公務の効率化が可能になるでしょう。さらに、今回のコロナ禍における密回避など、サテライトオフィスを含めた柔軟な働き方に対応しやすいことも無線LANのメリットと言えます。」（尾崎さん）。

改訂版ガイドラインが出される前まで、会議室の一角などにインターネット接続専用端末を配置していた自治体も多かったようだが、無線LAN導入によって、そうしたスペース的なムダを省けるようになるだけではく、ウィズコロナ時代における自治体の働き方改革へもつながるだろう。

もちろん、無線LAN導入にあたっては、利便性の向上を図りながら、ガイドラインに示された水準のセキュリティを維持することがポイントとなる。「有線LANと異なり、無線LANは接続時に物理的な制約を受けません。これは、ネットワーク上の大きなメリットであると同時に、誰が、どの端末で接続しているのか、把握が困難になるということでもあります」、「正しい利用者、安全なデバイスのみが利用できるネットワーク環境を庁舎内で確保し、何らかの問題が発生した際は、その発生源の特定や接続の遮断などが迅速に行える管理環境が必要になるのです」。

総務省も、監視体制やCSIRT（インシデント発生時に原因解析や影響範囲の調査などを行うチーム）との連携が必要なことを、改訂版ガイドラインに“留意点”として記載している。「各自治体のシステム担当者が、ガイドラインに沿った具体的なセキュリティ要件を考える必要があるため、自治体ごとにセキュリティレベルの差が生じるかもしれません。そのことが、インシデントの発生リスクにつながるのではないかと考えています」（泉水さん）。

認証基盤に求められる機能をオールインワンに

自治体における無線LANの利用拡大は、業務効率化のため、また、コロナ禍を経た職場環境への対応のため、もはや必須の課題となっている。とは言え、導入および利用範囲拡大にあたっては厳重な不正接続対策が必要であり、それを実現させるための認証基盤導入には、コスト面、技術面など複数のハードルがある。

「その点、弊社が提供する『RADIUS GUARD S』は、無線LANネットワークへの不正接続対策に必要な認証、証明書管理、DHCP、認証情報の申請・承認を行うワークフローの機能を、1台で担うことができるコストパフォーマンスの高い製品です」。認証機能とDHCP機能を、個々のデバイスで管理するタイプの製品もあるが、「必要な機能を別々のデバイスで提供すると、導入コストだけではなくランニングコストや管理工数などもかなり大きくなってきます」。その点、RADIUS GUARD Sは、必要な機能を「オールインワン」で満たしている点が、最大のポイントだと泉水さんは強調する。

地方市町村規模から県庁規模までをカバーできるモデルを準備している点、アプライアンス版、バーチャルアプライアンス版、クラウド対応版があることで、プラットフォームの選択肢が広い点も、同製品の強みの1つだという。「自動棚卸し機能やアカウント管理の権限委譲なども標準で実装しており、管理負担の軽減が可能となります。無線LAN接続の認証強化を短期間で実現し、セキュリティ対策に必要な費用や人的リソースを大幅に軽減できるわけです」。

「管理負担軽減」と「セキュリティ強化」の両立を目指して

電子証明書によるネットワーク認証システムは庁内無線LANの利用拡大に伴い、接続端末数も徐々に増えていくことが予想されるが、接続端末数が導入時の最大ライセンス数を越えると、多くのネットワーク認証システムは機器追加もしくは更改検討しなければならない。その点、RADIUS GUARD Sならば、ライセンスの差分料金を追加するだけで接続数を増やすことが可能なので、管理工数や運用形態を変える必要はない。

未使用のアカウントを自動的に削除する機能、職員アカウントの管理負担を分散できる管理者権限のカスタマイズ機能なども、同製品ならではの強みだ。「無線LANの活用は、業務効率や利便性を高めるための手段です。しかし、セキュリティ対策の強化には必ず運用管理の負担が発生します。導入後の管理者負担を最小限に抑えるのが、当社製品のコンセプトなのです」。

そうした製品特徴が高く評価され、庁舎の新築や移転、基幹システムのリプレイスなどのタイミングで導入する自治体が多いという。実際にネットワーク提案を行う全国のベンダーにおいて、自治体での無線LAN導入におけるセキュリティ対策のソリューションとして合わせて提案/導入が行われており、「GIGAスクール構想」の開始以降は、教育委員会向けの導入台数も大幅に増えているそうだ。

「自治体の担当者だけでなく、自治体のネットワーク更改を行う現場のベンダーに対しても様々な支援・サポートを行っており、不正接続対策の実現に必要な相談を受け付けています。今後も、不正接続対策の実施に必要な管理負担軽減に関する機能を追加しながら、自治体におけるセキュリティ対策の拡充をサポートしたいと考えています」。

1. TOP
2. 庁内無線LANの導入・利用拡大に向けて、自治体での無線LANに必須なセキュリティ対策を提案。