【セミナーレポート】 自治体の情報政策の今がわかる! 2日間 ~ジチタイワークス・スペシャルセミナー~【DAY2】
「情報政策」をテーマにした本セミナー。2日目は文科省の教育DX担当官、堺市職員、渋谷区職員といった顔ぶれが揃い、それぞれの取り組みにおける課題や現状、今後の展望などを共有してくれました。
さらに、サイバーセキュリティ、ICTによる業務効率化などといった領域で知見を持つ企業から登壇者が集結し、自治体における成功事例やノウハウを披露しました。今後のDXに関する取り組みにぜひお役立てください。
概要
□タイトル:
□実施日:2024年7月19日(金)
□参加対象:自治体職員
□開催形式:オンライン(Zoom)
□お申込み者数:190人
□プログラム:
第1部:教育データの利活用の現状と今後
第2部:ISMAP制度を踏まえたクラウド活用で、自治体DXを安全に実現!インターネット・メール・ファイル・Web会議等において必要なセキュリティ対策とは?
第3部:行政サービスデジタル化の取り組み -ICTを使いこなす自治体への変革-
第4部:旅費法改正の実態調査を実施!自治体旅費業務改革とは
第5部:ISMAP認定のサイバーリーズンEDRで自治体のセキュリティを強化
第6部:【特別対談】先進自治体渋谷区のデータ利活用が目指すもの
教育データの利活用の現状と今後
GIGAスクール構想による“一人一台端末”が実現して4年ほどが経過した。次のフェーズでは、端末から得られるデータをどう活用するかが教育現場のテーマとなる。こうした点を中心に、文部科学省の教育DX担当者が、現在の教育現場の課題や国の取り組み、今後の方向性などについて語る。
<講師>
藤原 志保氏
文部科学省
教育DX推進室・室長
プロフィール
2000年に科学技術庁入庁後、科学技術イノベーション政策、教育政策に関する担当を歴任。この間、初等中等教育の学習指導要領の改訂・普及や科学技術・理数教育の推進等にも従事。2023年4月より現職。
GIGAスクール以降の学校の現状。
私からは、教育DX、および教育データの利活用に関わる文科省の取り組みについてお伝えします。まずは、学校におけるデジタル教育基盤の現状についての説明です。
令和に入り、GIGAスクール構想として全国の小・中学校に1人1台端末を配布し、校内のネットワーク環境を整備するために約2300億円が措置されました。国立・私立の学校にも補助が出されています。この端末の活用と、教育現場の皆さまの力によりわが国はコロナ禍でも学びが継続した国だと評価されています。
これまでの取り組みで、“端末を使う”というフェーズは一定程度定着したのではないかと思われます。これからは、児童生徒の学びや教職員の指導支援などをより良くするために、“端末から得られるデータをどう使うか”という点が大きな課題であると考えています。
また、ネットワークについても課題が出てきています。積極的に活用が進めば、それに比例して通信環境に負荷がかかる。現時点ではまだ大きな課題にはなっていませんが、この問題は必ず顕在化してきます。そのため、昨年当省で学校のネットワーク状況の調査をしました。
学校の全クラスで、端末を同時に使う授業を行った場合に必要とされるデータ量(推奨帯域)を、学校規模ごとに算出したのですが、当面の推奨帯域を満たしているのは約2割にとどまっています。従って、残り8割の学校は本格的な端末活用を始めるとなんらかの支障が出てくると思われます。今後データの利活用をよりよく進めるためにもぜひネットワーク環境の充実・強化についての取り組みをお願いします。令和6年4月にガイドブックも公表しているので、こちらも参考にしながら進めていただければと思います。
データの利活用に対する有識者の指摘と、自治体における取り組み事例。
ここからはデータ利活用の話です。文部科学省が実施した調査において、各自治体で教育データの利活用に期待することも聞きました。回答としては、“先生が児童生徒への学習指導をする際の参考にしたい”、“教員の校務負担を軽減したい”、というものが上位2つです。一方で、現状はどうでしょうか。
文科省に設置している「教育データの利活用に関する有識者会議」では、“データの活用状況は地域間で大きな差があり、全国での活用が実現しているとはいえない”という指摘がありました。つまり、教育データの利活用を全国的な動きにしていくことが課題です。この“教育データの利活用”について、皆さんそれぞれ想像するものが異なると思われるので、参考になるように少し整理してみました。
こういった様々な利活用の仕方があることを前提に、自治体での取り組み例を紹介します。
まずはCBT(Computer Based Testing)というシステムに記録された、学力調査のログデータを指導に活用しているという自治体の例です。文科省が提供しているCBTシステムを使って行った調査のデータを用い、その問題が解けたか、間違ったかという記録に加えて、回答までにかかった時間や、見直し時間を分析。これにより、問題を解くことを諦める傾向や、時間をかけて正解にたどり着く傾向など、個々の児童生徒・クラスの課題を見つけ、それを学習指導に活かすという事例です。
また、大阪市ではデジタル教材の活用状況を学校ごとに把握し、可視化することで学校への支援を効果的に行う取り組みを進めています。こうした事例を見て、“ここまでやらないといけないのか”とちゅうちょするかもしれませんが、そんなことはありません。例えば一つのデジタル教材について、週にどのぐらい使ったかとか、どんな問題がよく解けてどういう問題が苦手かなど、利用記録を数値やグラフで可視化し、特徴や傾向を読み取って指導に活かすのもデータの利活用です。難しく考えず、まずはやってみようということが大切なのです。
当省では、データの利活用に関する実証研究を昨年から行ってきました。この中で取得した情報を整理し、ダッシュボードを作成しています。実験では、分析をする前に関係者間で価値や有用性を共有し、データを同じフォーマットで集めることが大事であり、同時に課題である、ということも明らかになりました。これらの課題も含め、実験の成果やノウハウを、このダッシュボードとともに全国へ共有して行きたいと思っています。
文部科学省の今後の動きと、全国の教育現場に期待すること。
続いて、本年度文科省で行う予定の取り組みについて紹介します。
前段で、教育データの利活用を全国的な動きにしていくことが課題だとお伝えしました。そのために、有識者会議で指摘された、今後に向けた課題への対応を進めていきたいと考えています。
こうした動きに加え、今まで取り組んできたことについても引き続き着実に進めていきます。スムーズかつ適正な運用をするためのルール作りや、全国で使えるツールの開発運用、そして教育データの分析と知見の共有です。特に3つ目の分析・活用を進めていくことが重要と考えており、これまで以上に注力していきます。
教育データの利活用がもたらすメリットは多くあります。ただし、個人情報やプライバシーの保護、セキュリティの確保が大前提です。そのため当省では、教育データの利活用にかかる留意事項をまとめました。令和6年3月に第2版を公表しているので、ぜひご参照ください。
ひとたび不適切なデータの利活用があると、児童生徒、保護者、地域社会の中に不安や不信、ネガティブな意識が生まれてしまい、データの利活用に対して否定的な反応が広がってしまいます。そうならないためにも、留意事項をご活用いただきたいと思っておりますし、同時に適正な契約、データの利用をお願いします。
教育委員会ではなく、首長部局の方に個人情報保護のような法務的な内容に詳しい部署を設けている場合もあると聞いております。そうした部署との連携・協力もご検討いただければと思っております。
ISMAP制度を踏まえたクラウド活用で、自治体DXを安全に実現!
インターネット・メール・ファイル・Web会議等において必要なセキュリティ対策とは?
自治体の三層分離に、新たに登場したα´モデル。具体的にはどのようなものなのか。そして自治体がクラウド・バイ・デフォルトを実践していく方法は。多彩なセキュリティソリューションを提供する企業の担当者が、各強靭化モデルに合わせたアドバイスを提供する。
<講師>
谷崎 文彦氏
デジタルアーツ株式会社
マーケティング部 部長
国が推奨する“ISMAP”の内容とクラウド活用における役割。
このパートでは、まずISMAP制度について整理します。続いて自治体のネットワーク構成に関しても整理し、その上でセキュリティ対策の話をしたいと思います。
政府情報システムはクラウド利用を第一候補とするという「クラウド・バイ・デフォルト」が2018年6月に方針決定され、安全にクラウドサービスを利用するための評価基準として2020年6月にISMAP制度が運用開始されました。
ISMAPの正式名称は「政府情報システムのためのセキュリティ評価制度」で、目的は政府においてクラウドサービスの円滑な導入に資することです。情報セキュリティ監査の枠組みを活用した評価プロセスにもとづいて、政府が要求する基準にもとづいたセキュリティ対策を実施していることを評価し、実施が確認されたクラウドサービスをリストに登録して公表するという運用ルールになっています。そして、政府機関の調達においては原則として登録されたサービスから選定する方針となっています。
このISMAPの他にも、情報セキュリティに関する認証制度としては、PマークやISMSが代表的なものとして認知されています。上の表は3制度の特徴をあらわしたものです。記載の通り、それぞれに違いがありますが、Pマークは約1万7千社が登録されており、ISMSは約7000社、ISMAPについては51社の68サービスが登録されています。当社においては、これら3制度全てに登録しております。
中でもISMAPについては、ISMSやISO27001、ISO 27017と比べても、対策を求められる範囲が非常に広く、高い対策強度を求められます。こうしたことからも、安心して利用できるクラウドサービスである、といったことの裏づけになると考えられます。
三層分離ネットワークの振り返りと、新しく登場したα´モデルについて。
続いて、自治体のネットワーク構成についての話です。
自治体では従来、三層分離のネットワーク構造がとられてきました。いわゆるαモデルですが、このモデルはセキュリティ強度が非常に高い反面、業務を進める上では不便で、クラウドサービスも使いづらく効率性が良くないということで、β、β´モデルが2020年から規定されています。しかし、これらのモデルは業務端末がインターネットに接続する形になるため、従来よりもセキュリティ対策をとらないといけない。そこで新しいモデルとしてα´モデルが登場しました。
β、β´モデルは、基本のαモデルから移行するにあたって、期間や人材、監査の対応、そして追加のセキュリティ対策と、移行にあたってのハードルが多く存在する。これに対してαモデルのままLGWAN接続系の業務端末から特定のクラウドサービスに接続する方法としてα´モデルの検討が進められている状況です。
では、その“特定のクラウドサービス”とは何なのかというところですが、LGWAN接続系で扱う情報がISMAP登録されたサービスのみなので、特定のクラウドサービスもISMAP登録されたものに限り接続先として認める方向で調整されています。また、α´モデルはインターネット回線の利用を視野に入れた構成になるので、利用するクラウドサービスの範囲に応じてセキュリティリスクが異なってくる。そのため、それぞれのケースを想定した対策が必要だという整理が行われています。
例えばセキュリティリスクが最も大きいサービスを想定した場合、LGWANからクラウドにつながるところで、まず認証の対策。それからマルウェア、ウイルスに感染しないようウイルス定義体の取得、そしてコミュニケーションツールや外部とのファイルの送受信に対するセキュリティ対策、そしてクラウドにつながる通信経路の暗号化、接続先の制限、テナントのアクセス制限、といったところがα´モデルにおける追加セキュリティのポイントです。
強靭化モデルに合わせたツールの選択で、クラウド利用の各シーンに対応する。
ここまでの話を踏まえ、当社の製品によるセキュリティ対策について説明します。
まず、当社のサービスでISMAPに登録されている製品は、下図の「登録済み」アイコンが付いている4つです。これらを活用した、各ネットワーク構成モデルにおけるセキュリティについて解説します。
αモデルについては、マイナンバー利用事務系のところで機密ファイルの安全な管理が必要になります。そしてLGWAN接続系では機密ファイルの安全な管理とメールの対策が必要。インターネット接続系についてはWebのアクセス管理とアクセスログの管理、それから誤送信対策と、LGWANとつながる部分のメールのセキュリティ対策が必要です。
これらについて当社製品を当てはめると、下図のようなイメージになります。
続いてβ、β´モデル。それぞれ当社製品で追加の対策が可能です。インターネット接続系の機密ファイルの管理に関しましてはFinalCode、そしてリモートアクセス下においてはi-FILTER@CloudとFinalCode@Cloudで、それぞれWebセキュリティやファイルの対策ができます。
そして、新しいα´モデルのセキュリティ対策です。こちらにおいては前述のような対策が新しく求められます。これらに対しても、当社ソリューションで対策が可能です。
また、図にはありませんが、ファイル共有ソリューションとしてISMAP登録のBoxを利用するケースもあると思います。この場合、当社のFinalCodeをBoxと連携して利用することで、合わせての対策が可能です。
当社の各製品は、すでに多くの自治体に利用いただいています。当社ホームページの「導入事例」から、ご確認いただければ幸いです。また、当社製品に関する質問、問い合わせ、デモンストレーションの依頼などございましたら、気軽にご相談ください。
行政サービスデジタル化の取り組み -ICTを使いこなす自治体への変革-
堺市では2020年にICT専門の部署を設置し、独自の戦略を策定して“ICTを使いこなす自治体”を目指している。第3部では、同市職員が外部人材もフル活用しつつ着実に進めている改革を振り返りつつ、これまでの歩みと今後の展望を共有してくれた。
<講師>
中井 忠氏
堺市
ICTイノベーション推進室長
プロフィール
1991年に堺市役所に入庁。市税での窓口業務等を経験し、財政、企画部門等に従事。2020年のICTイノベーション推進室の設置から、情報部門に携わっている。
堺市のICTイノベーション推進室、中井と申します。今回は堺市の行政サービスデジタル化の取り組みについて紹介させていただきます。
堺市のICT戦略
私の所属するICTイノベーション推進室は、令和2年に市長直轄の新組織として設置されました。ここではICTに関する戦略を策定し、庁内横断的に施策を推進しています。また、専門的知見や経験などの民間ノウハウ活用や、ICTに係る投資・効果・リスクを継続的に最適化する取り組みも実施。職員を公募したというのも特徴の1つです。
ここで令和2年8月に「ICT戦略」を策定しました。この戦略では、ICTを使いこなし、変革を起こすための5つの戦略を定めました。
まず足元を固めることを目的として、この戦略を策定しています。ただし、あえて実行計画はつくっていません。ICT分野は日進月歩なので、数年後にどういう状況になっているのかは分かりません。ここ5年でもコロナ禍があり、生成AIの登場があり、といった感じで計画通りには進まない。なので、実行計画は作成せず目標と戦略のみを掲げて進めています。
外部人材の活用にも力を入れており、専門知識を持った職員の採用や、アドバイザーとして民間人材を活用するといったことを進めています。同時に、DX推進における課題解決と、人材育成という観点で民間企業との連携も行い、協定も積極的に活用しています。こうした多方面の施策が、以下のような取り組みを生んでいます。
手続き等のオンライン化の取り組みについて
ICTイノベーション推進室では、発足当初からオンライン化に力を入れてきました。まず進めたのは電子申請システムです。それまで使用していたシステムは、市民側の操作画面がスマホに対応していませんでした。また、職員側の手続き様式の作成も難しかった。ここを改善しないといけなかったので、令和2年度の補正予算で電子申請システムを再構築して令和3年4月から使いはじめました。
これにより、市民側はスマホで申請できて、職員の業務もシンプル化されるという手応えを得たので、次にやったのが行政手続を棚卸しです。これによって阻害要因の分類を行いました。
この分類をもとに取り組みのオーソライズができ、みんなでこれに向かって頑張りましょうということができました。各所管課に「進めましょう」と言ったからには伴走支援もしたい、ということで件数が多いものや重要な取り組みについては、我々が伴走してオンライン化を進めています。
令和5年度の状況では、電子申請システムに3,842件登録できています。総申請件数は191,773で、特に多かったのは放課後児童対策事業の関係手続、医療券調剤券の依頼書、教育保育に係る現況届といったものです。この現況届については、今ではオンラインが約97%。保育所入所受付も約83%をオンラインで受付している状況です。これは広報や公式ホームページ、SNSや子育てアプリでの情報発信、電子申請フォームに丁寧な説明を加えるといったことによって生み出せた結果ですが、担当職員の気構えがオンライン化に向けて変わってきたことも大きく作用していると感じています。
それ以外には、窓口支援機能もつくりました。いわゆる“書かない窓口”です。令和3年5月に区役所でのお悔やみ手続きのサポートとして開始し、遺族の方が免許証かマイナンバーカードをお持ちであれば、基本情報をそこから読み取って、手続きを一覧に印刷して、その遺族の方がそれぞれの窓口で申請いただけるようなサービスです。
DXをさらに加速させる取組
こうしたDXをさらに加速させる取り組みとして、令和4年4月には市全体でのDXを進めていけるように、市長がDXの最高責任者「CDXO」に就任、自ら先頭に立って指揮を執っています。また、人事評価制度の中にもDXの観点を取り入れており、さらに令和4年4月にはICTイノベーション推進室にDX企画担当をおきました。このDX推進に向けてはICTイノベーション推進室が各所管課へ積極的にアプローチして、ICT活用を含めたDX取り組みを支援しているところです。
具体的には、職員のリテラシーの向上があります。特にデータリテラシー、データ活用に関しての重要性と、「こういうのがデータで使える」といったことが全職員に伝わることで、ICTに関してのリテラシーの底上げができるし、DXが目指すところも理解しやすくなるか思っているので、本年度はデータの活用に全職員の研修を当てはめようと思って、今は動画をつくって研修しているところです。そうした動きの中で、各部から約1名「DX PRO」を選出し、専門的なチームを形成しながらDXを進めています。
上記は令和6年度のDX推進スケジュールです。まず人材育成と事業のDX化を平行に進めています。育成研修が終わった後、取り組むための事業を選定し、この1年DXに取り組んでいただくという制度でやっています。
ICTは日々変化・進化します。こうした動きに応じていくというのは、我々だけでは難しいため、他自治体との情報交換もさせていただき、色々な意見を聞いたのですが、その中で「職員は日々の業務で忙しいので、やはり隙間時間をつくらないといけない」というのが印象的でした。この隙間時間をどうつくっていくか、というのがICTイノベーション推進室にも課せられた課題で、今の業務を見直す余裕を生むためにもICTを使って効率化を進めなくてはならない。単純に「ICTを入れましょう」、「オンライン化しましょう」と言うだけでは変革は望めない、と思っています。
今後もほか市のご意見を聞きながら、当市でも色々な取り組みを進めたいと思っていますので、皆さんどうぞよろしくお願いいたします。
旅費法改正の実態調査を実施!自治体旅費業務改革とは
令和7年4月に実施される、国家公務員等の旅費制度改正。これを前に、自治体向けの調査を実施した企業がその調査結果を公開。あわせて、自治体における旅費業務の効率化に寄与するソリューションと、それによって期待できる効果を紹介する。
<講師>
長谷 大吾氏
株式会社コンカー
公共営業本部 部長
自治体への取り組みについて
当社では、これまで複数の自治体と実証実験を行い、当社サービスが使えるのか、どのくらいの効果が出るのかを確認してきました。サービスは主に3つあるのですが、今回は旅費精算「Concur Expense」を紹介します。
Concur Expenseは、これまで10件の実証事例があります。具体的にどういったことが可能なのかを下図に示しています。旅費清算業務では出発前に旅行命令を申請し、審査を受け、旅行先では支払いをして、旅行後の清算では追加費用などを旅行報告書にまとめて申請を上げる。そして承認審査を受けるという流れですが、審査の部分で目視チェックなどの負担が大きくなっています。
これに対し、図の下が旅費システム導入後のフローです。旅行命令の所は従来通りで、ポイントは皆さまが旅行の中で支払ったものが、キャッシュレスデータとして自動的にConcur Expenseの方に連携されるという点です。このデータを使って伝票を自動起票し、審査もチェックロジックをつくって自動化できます。この部分は後ほど詳しく説明します。
旅費法改正に伴う旅費精算業務に関する調査の結果
来年度、旅費法改正がありますが、自治体の皆さんがこれに対してどういった意識を持っているかを調査しました。実際に旅費精算業務などに携わった経験がある行政機関、大学職員400名が対象で、自治体職員が62%と多数を占めています。
まず、旅費法改正の認知度を確認すると、34%近くの方々がまだ認知してないという回答でした。法改正の影響については、87%が良い影響があるのではないかと捉えています。全体的にはポジティブな受け止め方をされています。
また、現在の旅費の申請手続きについて煩雑だと感じているかを聞くと、「とても煩雑」、「やや煩雑」を合わせて79%、やはり苦労されている状況が見受けられます。1件当たりの申請時間は、一番多いところで15分以上30分未満。さらに19.5%が30分以上45分未満という回答でした。
システムの入れ替えを検討するかという質問に対しては、「入れ替えを検討する」が28%、「改修を検討する」が33%という結果になりました。旅費に関しては定額か実費かという設問では、全て実費精算が43%。全て定額・一部実費一部定額というところが53%で、半数ぐらい定額制が残っているようです。
以上が実態調査のダイジェストですが、今回の法改正に伴って、規定の変更やシステムの見直しを検討されているところが一定程度あるようです。当社としてもサービスを通じて、皆さまの旅費業務をより良くしていくことに貢献できればと考えています。
旅費業務「Concur Expense」の概要
ここで、旅費法に準拠した規則による旅費業務の課題について説明します。
旅費法は約70年前につくられており、アナログ前提でつくられたルールなので、今となっては非合理な部分も見られ、それによって運用の業務効率化、デジタル化が疎外されている面もあると感じます。例えば旅行命令。この旅行命令に、経路や金額、各種手当を細かく入力し、その審査をするという部分です。ここで膨大な時間がかかってしまいます。また、旅行者の金銭的負担も課題です。宿泊費も上がってきている中で、定額では収まらないといったことも発生しており、こうしたことが今回の旅費法見直しのきっかけにもなっています。
これに対し、当社が提示している解決策は、旅行命令を極力シンプルな運用にして、旅行後の実費精算に運用を変更して行くことで、デジタルと掛け合わせて業務効率化を図れるのではというものです。金銭負担に関しても、金額の大きい旅費は例えば旅行代理店のサービスなどを使って支払いをして、旅行代理店は自治体に直接請求をするということで、旅行者に金銭的負担がない方法を推奨させていただいています。
これにより、費用はキャッシュレスデータとして自動的に連携でき、旅費規程のチェックロジックで申請者が申請する際にもシステムがチェックしてくれる。旅行代理店が手配したデータ、つまり日付、金額、行き先も自動的に連携されるので、業務も簡素化されるというものです。
自治体での実証実験では約50%の業務削減効果が出ています。入力ミスの極小化も実現でき、目視の審査工数の軽減や、事後モニタリングも可能。加えて旅行者の金銭的負担も軽減できるといった効果があります。さらに、様式の廃止という点でも有効。元々法律に様式が書かれており、それがなかなか変更できない面がありましたが、これが廃止されることによって旅行命令の簡素化もできてくると考えています。
当社が提供しているConcur Expenseは、こうした機能を備え、あらゆるキャッシュレスデータを活用します。旅行者以外の支払いにも対応でき、例えば交通系ICカードや経路検索、公用車の利用シーンでもGoogleMapで自動的に距離計算をして自動的に費用を計算するとか、法人カード、旅行代理店手配との連携も可能です。
実証実験の進め方について
実証実験については、デジタルを起点として、どのような業務フローを新しく設計していくかという点に重きを置いています。具体的な進め方としては下図の通りです。
ある自治体で実証したところ、旅費業務全体としては約60%の業務削減効果が出るという結果が出ました。特に、申請する方々の業務生産性が約56%上がり、審査する側でも約67%の効率化となっています。業務の見直しとデジタル化を組み合わせて効果を最大限引き出す。そのためには何をする必要があるのか、というところを、実証を通じて提案しています。
旅費清算はアナログが非常に多く残っている分野で、大きな効果も期待できます。自治体の皆さまと一緒に考えながら、改善を進めていきたいと思っているので、関心がある方はお声かけください。
ISMAP認定のサイバーリーズンEDRで自治体のセキュリティを強化
近年、報道で目にする機会が急増したサイバー犯罪。自治体のデータを守るにはどのような対策を採ればいいのだろうか。このパートでは、近年のサイバー攻撃の動向をはじめ、どこに危険が潜んでいるのか、そのリスクに対してどのような対策が求められるのか、専門事業者が知見を提供してくれた。
<講師>
今村 友哉氏
サイバーリーズン合同会社
セールスエンジニアリング部
シニアセールスエンジニア
最近のサイバーセキュリティ事情
本パートでは、近年話題になっているサイバーセキュリティ事情と合わせ、当社がどのような支援をしているのかという観点でお話します。
まずは、最近のサイバー攻撃に関するトピックです。以前は、サイバー攻撃というものは海外の出来事と思われていたことが多かったと思いますが、最近では日本でも当たり前のようになりつつあります。攻撃者、攻撃対象も多様化しており、攻撃自体もより巧妙になってきているのが実情です。
被害として影響が大きいものがランサムウェアで、日本でも様々な被害事例が出ています。最近のものだと、国内企業でのランサムウェア感染、データ流出という一件もありましたし、あるグローバル企業はルーマニア拠点でランサムウェアに感染し、230ギガ程のデータが流出したという事件もありました。
攻撃者集団も様々なタイプが出てきており、少し前だと「ロックビット」が警戒されていましたが、今では「ブラックスーツ」、「ランサムハブ」など、攻撃者集団もパターン化・多様化してきています。実際の事例をご紹介します。
まず、岡山県の精神科医療センターで発生したランサムウェア被害です。令和6年5月19日、精神科医療センターと診療所で電子カルテを含む総合情報システムが攻撃を受けてダウンしました。このときに電子カルテが見られなくなり、データが動かされていた。それにより県警に被害届を出したというものです。
この事件はなぜ発生したのかというと、VPN機器が適切にアップデートされていなかったことが原因でした。VPN機器に脆弱性があり、更新の通知をされていたにも関わらず、更新作業が進んでいなかったためにその脆弱性を突かれて侵入されたのです。結果として最大約4万人分の患者の個人情報、議事録などが流出しています。
また、一昨年ですが、大阪急性期総合医療センターでも、サプライチェーン経由で攻撃を受け、ランサムウェアでデータが暗号化されています。この攻撃者がどこから侵入したのかというと、サプライチェーンである給食センターでした。そこが侵害され、データセンター経由で医療センターの方に侵入していたというものです。使われたのはランサムウェアの「フォボス」と呼ばれるものでした。
こうした事例を踏まえ、警察庁は「令和5年におけるサイバー空間をめぐる脅威の情勢等について」というレポートを出しています。ここから被害企業の全体像を見ていくと、警察が相談を受けたものだけで約200件。企業規模は様々で、大手企業が36%、中小企業が約52%、その他団体が12%です。業種も多岐にわたっています。中でも特徴的なのが、前述の事例と同様VPNから侵入されるというケースが64%となっていることです。侵入の阻止はもちろん重要ですが、機器そのものに脆弱性があればそこを突かれる可能性も高くなるので、やはりエンドポイントのPCやサーバーでしっかりと対策することが大事です。
このエンドポイントでは、アンチウィルやNGAVでしっかりと防御する。ただし、最近の攻撃者は非常に巧妙で、これらをすり抜けるバイパステクニックを使うケースも多いので、その対策も必要になる。そこで活躍するのがEDRというものです。EDRは、常に端末の状態を監視しながら攻撃の兆候を検出します。アンチウィルやNGAVの防御を突破された際にも端末を監視し、攻撃の兆候を見つけ、その原因や影響を素早く特定する仕組みになっています。
サイバー攻撃から組織を守るためのソリューション
ここから、サイバー攻撃から組織を守るために当社がどういったソリューションを提供しているのかという点について説明します。以下は、公開を許諾いただいている導入団体の一部です。自治体をはじめ、病院、大学、企業など様々なお客さまに利用いただいています。
教育委員会での事例の1つとして、郡山市の教育委員会での「Cybereason EDR/MDR」サービス活用があります。導入の背景は、教育現場でもサイバー攻撃リスクが高まっていたという点や、それによってユーザーの利便性を損なわない対策、インシデント発生時の体制づくりなどです。当社システムを導入いただいた結果として、高度な攻撃にもしっかり対処できるようになり、迅速なインシデント対応が実現できたと評価いただいています。
また、選択した際の決め手は、ISMAP登録されているということや、完全に日本語対応している点だったと聞いております。
ちなみに、総務省の「地方公共団体における情報セキュリティポリシーガイドライン」でも、全体のガイドラインが更新されましたが、その中にクラウドサービスに関する留意点が記載されています。自治体でクラウドサービスを利用するにあたっての注意点ですが、ここでIaaS、PaaS、SaaS、それぞれの記載があり、共通して書かれているのが「ISMAPにおけるサービスリストの登録」という点です。こうしたセキュリティ評価制度を活用していこうという動きがありますが、サイバーリーズンのEDR/MDRもISMAPに登録されているので、安心して利用いただけます。
我々のソリューションは、製品だけでなく、アラートが発生した際の対応や、常に監視するサービスも一気通貫で提供しています。こうしたサービスの部分も評価され、導入いただくケースも多くあります。
また、管理ダッシュボードの見やすさも定評いただいており、直感的で見やすい管理画面である点、管理者のスキルに左右されず直接的にインシデントを把握できる点など、運用視点を重視した設計が好評です。表示も完全に日本語化しており、提供するレポート等に関しても全て日本語対応しています。データの保存も全て国内対応です。
これら当社ソリューションに関し、興味や質問などあれば気軽にお問い合わせを。
【特別対談】先進自治体渋谷区のデータ利活用が目指すもの
本セミナーのラストは、渋谷区の職員が登壇。児童生徒のウェルビーイングを高め、教員の指導をサポートするために構築したデータ利活用の仕組みについて、KUコンサルティングの髙橋さんを聞き手にトークセッションを繰り広げた。
<講師>
左から
髙木 純氏
渋谷区 デジタルサービス部
ICTセンター アプリケーションチーム 主任
髙橋 邦夫氏
合同会社KUコンサルティング 代表社員
総務省地域情報化アドバイザー
子どもたちのデータを集約・可視化して、よりよい教育環境づくりを目指す。
髙橋:KUコンサルティングの髙橋と申します。ここからのトークセッション、お相手は渋谷区役所の髙木さんです。私と髙木さんとは文部科学省の教育DX推進室が主催する会議体でご一緒して、同区の取り組みに大変感心しました。まずはその取り組み内容についてご紹介いただきます。
髙木:私から、渋谷区の事例を交えながらデータ利活用についてお話しします。まず、データ利活用で当区が目指す姿に近づける、そのイメージ感をお伝えしたいと思います。上図の通り、スタートに現状、ゴールには目指す姿があり、現状からデータを見つつ目指す姿に向けた行動をとって、行動結果をデータで確認する。その結果を見て行動し、再度結果をデータで確認。うまくいっていない場合は軌道修正し、また行動して……と、細かく行動の軌道修正をしながら着実に目指す姿に近づいていく。これがデータ利活用のイメージです。
結果を何度も確認していくのでデータ更新頻度は高い必要があり、データ更新は自動化されている必要がある。また、行動して行く中で必要な新しいデータを都度追加することも大切で、システム改修などに費用がかさむのであれば職員の内製でデータを追加できるような構成が望ましい、といったように考えています。
事例として「教育ダッシュボード」を紹介します。
まず教育ダッシュボードの目指す姿と目的は、上図の通りです。こうした考えを実現するツールとして、教員向け・子ども向けのダッシュボードと、「HACHIアプリ」と呼ばれる授業の振り返りアプリを構築・運用しています。
教育ダッシュボードに取り込んでいるデータは、令和3年度の構築当初は子どもたちの端末の操作ログや、保健室を利用した情報、アンケート情報などでした。そこから現時点では、HACHIアプリのデータやTeamsのコミュニケーションログなども追加しています。スモールスタートで始め、徐々にデータを増やしているのがポイントです。全体の構成は以下のようになっています。
教員用のダッシュボードのページではネットワーク図として視覚化された情報があり、誰から誰に対して「いいね」をしたか、などが確認できます。
この画面上では、ほかの子どもに「いいね」をつけられていない、といった子どもたちを確認でき、孤立の可能性があるなどといった状態を把握して必要な支援につなげていくことが可能です。また、児童生徒向けのダッシュボードは、HACHIアプリで授業の振り返り状況を見られます。これが授業の理解度や、学習意欲の向上につながり、その先の自己肯定感や、協調性などの社会性が育つといった点が期待できると考えています。
ちなみに、「全国学力学習状況調査」の2022年と2023年分を比較したところ、「困り事や不安があるとき、先生などに相談できますか」、という質問に対して、とてもそう思うと回答した児童生徒の割合が上昇していることが分かりました。これは教育ダッシュボードだけの効果ではありませんが、ICT利活用を中心に、子どもたちの状況を把握し1on1の時間を作り出すことができて、その中で子どもたちと、一人ひとりにポジティブな価値づけができた結果だと考えています。
“1人1台端末”の先を目指して、データにもとづく取り組みを続ける。
髙橋:髙木さんありがとうございました。いくつか質問させていただきます。まず、教育ダッシュボードをつくったきっかけは何だったのでしょうか。
髙木:まず、渋谷区としてスマートシティの推進に取り組んでおり、区民一人ひとりのウェルビーイングの向上を目指している点があります。また、渋谷区では全国に先駆けて1人1台端末を整備しており、ICT教育に関するデータの蓄積もありました。これらを踏まえ、子どもたちのウェルビーイングの向上のために、データを使って何かできないか、と考えたところから始まっています。
髙橋:子どものより良い学びと、安全安心のためには、お金をかけてでもという渋谷区さんの心意気が感じられます。
髙木:はい。価値があると思っているからこそ、こういった活動をしていますし、子どもたちが幸せになるような取り組みができているのかなと思っています。
髙橋:スモールスタートから始めて拡充していくという話でしたが、今後の拡充方針はありますか。
髙木:今年に関しては、ダッシュボードのデザインをブラッシュアップする方向で検討しています。すでに多くのデータを取り込んで、様々なグラフなどがありますが、学校の現場からすると、どれを見ていいのか分からないといった声もある。それを受けて、より見やすい機能にしていこうという方針です。データを分類して必要なグラフとかに絞るとか、重要なところは強調するとか、そういった改修を考えています。
髙橋:この仕組みは、福祉部門、産業部門など、ほかの分野でも活かせるような気がするのですが、いかがでしょうか。
髙木:おっしゃる通りです。今は、教育ダッシュボードのデータを学校だけに見せているのですが、より取り組みを広げていくという意味では、首長部局の他部署とも連携し、どういった情報がどこで役立つのかといったところも検討している段階です。
髙橋:個人情報を排除した形であれば、色々な分野で活用できそうですね。こうした取り組みについて、ぜひうちも挑戦してみようという動きになった場合、気をつけるべき点はありますか。
髙木:留意点としては、ダッシュボードを構築したら終わりではなく、つくってからが本番だというところが大事で、「結構地道な取り組みが必要です」ということはお伝えしておきたいと思います。ダッシュボード自体の価値を現場に理解してもらわないといけないので、それをちゃんと伝えていくということや、こういったデータが必要だから追加してほしいとか、ブラッシュアップしてより良くしていくことなど、地道で根気のいる取り組みが必要なので、そこは覚悟が必要です。
髙橋:ありがとうございます。GIGAスクール構想で1人1台端末は実現できましたが、その次のステップとして、配った端末で何をするかっていうのが今の課題になっています。そういった意味でも、渋谷区の取り組みは大きな意味があると感じます。ぜひ他自治体でも参考にしていただければと思います。
お問い合わせ
ジチタイワークス セミナー運営事務局
TEL:092-716-1480
E-mail:seminar@jichitai.works