![【徹底解説】ガイドライン改定が変える! 自治体DXとセキュリティの未来[座談会]](/_next/image?url=https%3A%2F%2Fstatic.jichitai.works%2Fuploads%2Farticles%2F2025-09-10-09-16-12_ec_2509-ovall_737x387.png&w=1920&q=85)
【目次】
[登壇者]
杉田 義和(すぎた よしかず)さん:東京都 北区 デジタル推進担当部情報システム担当課長
髙橋 邦夫(たかはし くにお)さん:合同会社KUコンサルティング 代表社員/総務省地域情報化アドバイザー/総務省情報セキュリティポリシーガイドライン改定検討会委員
後藤 雅宏(ごとう まさひろ)さん:アライドテレシス株式会社 執行役員 公共推進室 室長
安澤 義則(あんざわ よしのり)さん:アライドテレシス株式会社 マーケティング本部 プロダクトマネジメント部 次長
小國 淳一(おぐに じゅんいち)さん:株式会社ソリトンシステムズ ITセキュリティ事業部 パブリックビジネス推進部 マネージャ
ガイドライン改定の要点と、現場への影響。
――まず髙橋さんから、直近のガイドライン改定のポイントについて解説をお願いします。
髙橋:令和7年3月の改定については、大きく4つのポイントがあります。1つ目はマイナンバー利用事務系に係る画面転送方式について。2つ目が無線LANの利用に関すること。3つ目は機器等の調達について。そして4つ目がインシデント対応。この中で、特に関心を集めているのは1と2です。
▲出典:総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」等の改定について(クリックで拡大)
1については、令和6年5月にデジタル庁の検討会で行われた報告にもとづき、画面転送方式を定義したということです。国の方針として、将来的には1人1台端末で何でもできるようにしたいという考えがあり、まずはVDI/SBCを使った画面転送方式でどの程度のリスクがあるのか、どんなメリットがあるのか見極めていくことになりました。
一方、2については、自治体側からの要望に応えたものとなっています。例えば、現在は自治体でもフリーアドレスが広まりつつありますが、有線LANしか使えないとこれが意味を成さなくなる。そうしたことに対する要望が自治体から出ていたということです。
また、総務省は現在、自治体DX推進計画の重点取組事項の1つとしてフロントヤード改革を進めていますが、そうした点も今回の改定につながっていると考えられます。
安澤:その無線LANについてですが、新しく導入するものになるので、セキュリティについてもガイドラインに示されています。技術的な面では「WPA2/WPA3エンタープライズによる認証(IEEE802.1X認証)」という要望が出ていますが、これはすでに世の中に存在するものなので、調達はしやすいと思われます。こうしたサービスの中から検討の上、うまく採用して、安全性を確保しつつ業務効率を落とさないように組み上げる作業を、ベンダーとともに進めていくといいのではないでしょうか。
小國:マイナンバー利用事務系への通信経路に関しては、ガイドラインで10通り示されています。この中から何を選ぶべきか、自治体としても迷うところかもしれませんが、それぞれに一長一短があります。DaaSやVDI/SBCは以前からある技術ですが、現在の自治体では導入ハードルが高くなっています。
▲出典:総務省「マイナンバー利用事務系に係る画面転送の方式について」(クリックで拡大)
DaaSに関しては従量課金なので予算化しづらいとか、固定料金でも金額がまだ高額である、といったコスト面の課題があります。これはVDI/SBCにも共通する問題です。コストの高騰が続く中で、できるだけコストを抑えてセキュリティを担保したいという自治体ニーズに対しては、セキュアブラウザ方式が応えられると感じています。
ただし、ブラウザだけでは完結しない業務もあるので、当社では、セキュアブラウザに加えて、セキュアコンテナからリモートデスクトップを使い、画面転送を行う仕組みも用意しています。コストを抑えつつ、必須の技術的対策も可能なセキュアブラウザは、自治体にとって有力な選択肢の一つになるでしょう。
北区が挑む、DXとセキュリティ両立の現実解。
――杉田さんは、今回のガイドライン改定をどのように受け止めましたか。また、北区の取り組みについてもご紹介ください。
杉田:α´モデルは、多くの団体にとって、αモデルからの移行の現実解だと捉えています。αモデルの環境からコストをかけてネットワークの設計を一から見直し、βやβ´を採用するのはコストも時間もかかり、難しい。それに対し、β´モデルに向けた中間点、“いいとこどり”をしたのがα´だといえます。
当区では、令和5年4月に「きたDX推進方針」を策定し、その中で“誰一人取り残さない北区”というビジョンを掲げて、OODAループでDX推進に向けた取り組みを進めています。
また、令和7年7月には「北区DX推進計画2025」を策定・公表しています。計画推進にあたり、北区DXの将来像「誰一人取り残さない北区」を目指すための2つの基本方針と、それを支える基盤整備を柱として北区DXを推進するため、DXを支える具体的な基盤整備の一つとして、国のガイドラインをもとに、より効果的なネットワークの構築として、α´モデルの検討を進めています。
▲出典:東京都北区杉田さん提供資料より(クリックで拡大)
髙橋:私は令和4年から北区のCIO補佐官となり、4年目を迎えて、北区も随分変わったという実感があります。計画をしっかりつくって、その計画にもとづいて職員の育成や意識改革を続けている成果なのでしょう。
私は他の自治体でもCIO補佐官をやっていますが、北区に限らず自治体は少しずつ変わってきていると感じます。働き方を変えて新しいサービスを生み出そうとか、窓口を変えて住民サービスを向上しようといった方向、つまり、内向きから外向きに視点が移っているのです。以前は窓口時間を短くしようなどという発想はあり得ませんでしたから。
しかも、こうした改革はデータに裏づけられており、「16時半以降はお客さまがほとんどいない」という事実を確認して、EBPMを実行している。かつては周回遅れだった日本のデジタル化も、少しずつ挽回できていると感じています。
小國:確かに、DX推進においてフロントヤード、バックオフィス改革は最優先項目となっています。ただ、「どう取り組んだらいいのか分からない」という話もよく耳にします。そうした点において北区は一歩先を行っているという印象を受けます。
もちろん全国の自治体の中にも考え方が変わりつつあるところが増えてきています。例えば端末にしても、これまではWindowsが主流でしたが、最近はChromebookの導入も始まっています。一部の部署で試験的に使用しながら、徐々に適用範囲を広げて業務改革を進めているのです。そうした流れの中でわれわれにも「ソリトンのセキュアブラウザはChromebookに対応しているか」といった問い合わせや要望をいただき、それに応じて製品開発を進めています。官民連携のよいスキームが形成されつつあると感じています。
後藤:当社も、官民連携事業を本格的に始めてから約3年が経ちます。その活動の中で、当社が提供する製品やサービスは、基本的にはDXの“手段”です。自治体がDXを推進するにあたり、わたしたちは目的達成を支える立場として手段を提供しています。このスタンスを理解いただいた上で、目的の遂行に向けて寄り添い、支援していくことを大切にしています。
具体的な例が、北区でのローカルブレイクアウト導入です。これは単なる机上の設計だけで済むものではありません。官民連携事業として試験導入を行い、無償の支援を通じて実際に試していただく。その上で目的に適した手段であるかどうかを見極めていただく取り組みを展開しています。新たな挑戦やこれまでにない取り組みを検討されるときに安心してトライアルできる環境の提供を支援する。このような官民連携事業が当社の得意とするところです。
“いいとこどり”のα′モデル、その具体的なメリットとは。
――北区ではα´モデルに移行するとのことですが、それを決定した背景や、重視したポイントについてお聞かせください。
杉田:今後、αモデルのままではいられないという現実は、どの団体でも理解しています。しかし、新しいモデルを考える上で考えるべきは費用対効果です。これは、安ければいいということではなく、費用に対して技術的にどこまでできるか、という問題になります。そうした視点で、α´モデルは“いいとこどり”だといえるのです。
確かにβ´モデルは、DX推進にうってつけのように見えます。テレワークもやりやすいでしょう。しかし、「業務システム(メールを除く)をインターネット接続系へ移行する」ということが「ゼロトラストで確実にセキュリティを担保できるのか」ということに対し、技術的には問題ないといえたとしても、様々な形で「住民に対しての説明責任をどうするか」という問題も出てきます。やはり現実的には、「データは閉じたネットワークの内部にあり、クラウドは利用するが、業務効率化のための限定的な利用である」という表現の方が理解を得やすいと考えられます。
いうまでもなく、自治体としてはセキュリティが必須事項です。セキュリティ対策を前提にネットワーク全体を構成し直すのには、かなり大きな労力が必要になります。例えばβ´モデルの場合だと、ゼロトラストという追加対策で大きなコストがかかりますが、α´モデルならファイル共有やオンラインストレージなどの利活用に限定されるので、ネットワーク全体の設計を見直さずに実現できます。こうしたメリットを評価してα´モデル採用を進めていくため、課題を整理し、設計に向けた準備を進めようとしているところです。
安澤:α´モデルが“いいとこどり”であり、現実解だという意見には全く同感です。その実現手段として「Allied SecureWAN(アライド セキュアワン)」があるのですが、もともと本サービスはα´モデルのために展開したわけではなく、UTM(統合脅威管理)※機能をどうやって便利に、柔軟性を高めた状態で使っていただけるか、という発想がもとになっています。それがα´とフィットし、クラウドとして使う拡張性、導入のしやすさなどが評価されたという流れです。
また、運用面やメンテナンス性、冗長化といった面でも貢献できます。北区の事例については、効率化とセキュリティ強化を両立させるのがねらいで、M365の利活用から徐々にスタートしていくことになります。これに対応する柔軟性についても評価いただけたと感じています。いずれにしても、安全なインターネット接続という意味では、α´モデルがセキュリティとコスト両面を考えて有用だといえるでしょう。
※UTM=コンピューターウイルスやハッキングなどの脅威から、コンピューターネットワークを効率的かつ包括的に保護する管理手法のこと
▲出典:アライドテレシス社提供写真より
小國:おっしゃる通り、ガバメントクラウドをはじめとしたクラウドシフトは、もはや止められない流れです。そうした中で、クラウド利用時の認証においてIDやパスワードを搾取され、クラウドに不正ログインされて情報が漏えいするという事件は数年前から発生しています。クラウドサービスを安全に利用するためには、多要素認証の導入は不可欠です。当社では、多要素認証を標準としたクラウドの認証基盤サービス「Soliton OneGate」を展開しており、ISMAPのサービスリストにも登録済みで、α´モデルの必須対応基準を満たしています。
また、本サービスは、クラウド利用に限らず、様々なシーンで活用可能です。例えば今後、職員がどこからでも仕事が行えるようになる時代において、庁外からのアクセスが想定される場合でも、正規の職員でも証明書がインストールされていない端末からは業務利用を許可しないといった運用が可能です。ゼロトラストの考え方にもとづき、SASE※などのサービスと組み合わせて活用することもでき、すでに実績もあります。多彩な運用ができる認証基盤として、将来的なネットワーク運用も見据えた提案を行っていきたいと考えています。
※SASE(セキュア・アクセス・サービス・エッジ)=ネットワーク機能とセキュリティ機能を統合し、クラウドベースで提供するアーキテクチャのこと
▲出典:ソリトンシステムズ社サイトより
髙橋:デジ庁の有識者会議では、「なぜゼロトラストがあるのにやらないのか」といった声も上がります。でも自治体側からすると、それで情報漏えいなどが起きたらどうするのか、ということになる。また、β、β´モデルは、規模の大きい自治体にはメリットがあるが、小規模自治体には負担が大きすぎるのです。そういう意味で、α´モデルの登場は必然だといえます。そして、総務省が3パターンに分けたことも評価できる。ざっくりいうと「アクティベートのみ」「クラウド利用」「ダウンロード」の3つです。自治体はこれをもとに、自分たちが何をやりたくて、そのためにはどこまでのセキュリティが必要か、という点を見極めて進めていくといいのではないでしょうか。
2030年を見据えた自治体ネットワークの未来像。
――自治体ネットワークでキーワードとなっている「2030年」について、それぞれの立場でご意見をお願いします。
後藤:ネットワークを担う企業として、自治体の庁内LANは“究極のインフラ”にならなくてはいけないと考えています。ほかの全てのインフラと同様で、使いたいときにストレスなく使える、という状態です。
現状は庁内ネットワークの管理者は少なく、しかも兼務であることが多い。仮に専門官が来たとしても属人化してしまうので、異動や退職があれば途端に運用管理が大変になる。そうではなく、デジタルやネットワーク、セキュリティに関わる人材は、もっとクリエイティブな方向……、例えばAIなどに力を割くべきです。だからこそ、庁内LANもつながって当たり前という状態にして、究極的には人の手を介さずに運用できる、そんな時代を2030年以降につくれたらと思います。
小國:2030年に向けての自治体ネットワークのあり方において、ゼロトラストは重要なキーワードになると考えています。ゼロトラストは1つの製品で構成されるものではなく、複数の要素技術を組み合わせて、必要な機能を構築していくアーキテクチャです。通信を信用しないという前提に立ち、セキュリティの視点では、認証がその中核を担います。その際に有効なのが、証明書による認証です。当社は証明書の運用を含めたソリューションを10年以上にわたり独自に展開してきた実績があり、ゼロトラストの構成要素として当社のソリューションを提供し、自治体のネットワークを守っていきたいと考えています。
杉田:自治体目線でいうと、2030年に向けて課題は山積しています。そうした中で当区では、総務省が進めているフロントヤード改革に関した専門部会を立ち上げており、窓口業務改革に取り組んでいます。それと同時に、職員の働き方や、それをとりまくシステムのあり方も見直していかないといけない。これらのDXを進めるにあたっては、システムを色々変える必要があると同時に、当然ながらセキュリティは担保しなくてはなりません。そういった場面で、われわれ情シス部門は、全体を俯瞰しながら“自治体としてどうデジタルシフトを進めていくか”という方向性を見極める力と、それを裏づけるスキルを兼ね備えられるよう、さらに研鑽していく必要があると考えています。
髙橋:お三方の話を聞いて、2030年の社会で“行政サービスはどうあるべきか”ということが再確認できました。後藤さんからも話がありましたが、蛇口をひねれば水が出るように、ネットワークもつないだら使える、という仕組みをつくらないといけない。時に国の力も借りないといけないでしょう。
また、紙やハンコを使っている場合ではなく、認証という制度を普及させて行政サービスをデジタル化していかなければならない。その上で2030年の行政サービスが生まれてくるのです。自治体が個々に、人の力でやらなくても済む仕組みをつくらなければならず、これを2040年に先送りしていてはもう遅い、ということを改めて感じました。
変革の時代に立つ皆さんに、いま伝えたいこと。
――最後に、全国の自治体職員に向けてメッセージをお願いします。
小國:三層分離からの脱却をはじめ、2030年に向けた自治体ネットワークの動きは始まっています。しかし、セキュリティの質が低下してしまっては本末転倒です。今後、セキュリティを担保しつつ業務効率を向上させていく、という難しいバランスを取っていく必要があります。当社はそうした課題を支援する様々な技術をもっています。900以上の自治体で導入実績もあり、そこで得た知見を活かした支援ができるので、遠慮なくお声がけいただければと思います。
後藤:先ほども官民連携事業についてお伝えしましたが、当社は全国で43拠点という、ネットワーク機器メーカーとしては類を見ない展開をしています。そうした拠点網をもとに、自治体職員の立場・視点に寄り添ったサポートが可能です。2030年までに目指す様々な取り組みや、さらに将来に向けての動きに寄り添った課題解決を展開していくので、皆さんのパートナーとして頼りにしていただければと思います。
杉田:私自身としては、ここ数年を比較しても自治体の現場は大きく変化したと感じています。人口減少や人手不足といった課題の中で、生成AIといったテクノロジーが登場し、人材のシフトが急激に進んでいるのです。そうした背景の中、業務自体を見直す自治体や企業も出てきているので、この波に乗らない理由はないと思います。同時に、自治体には説明責任があり、情報漏えい対策には胸を張る必要がある。このDXとセキュリティの両輪をうまく回せるのがα´モデルだと捉えています。これはあくまでも当区の考えなので、ほかの自治体もどのモデルを目指すのか、改めて共有しつつ議論を深めていければと思います。
髙橋:不確実な世の中は続いていくでしょうし、テクノロジーの進歩はますます激しくなっていくことでしょう。だからこそチャレンジを続けていただきたいと思います。もちろん自治体が自力で頑張るには人的リソースが足りなくなっているので、民間事業者の力も借りて、地域を、そして国をよくしていきましょう。前例などに固執するのはやめて、不要なこだわりも捨て、柔軟性をもってやっていきましょうという言葉を、私から自治体へのエールにしたいと思います。
[お問い合わせ]
サービス提供元企業:アライドテレシス株式会社
〒141-0031
東京都品川区西五反田7-21-11第2TOCビル
メール:info@allied-telesis.co.jp
サービス提供元企業:ソリトンシステムズ株式会社
〒160-0022
東京都新宿区新宿 2-4-3
メール:pubcon@soliton.co.jp
関連記事
関連セミナー
