ジチタイワークス

【セミナーレポート】新しい情報システムの波に乗れ!~ガイドライン改定の要点からセキュリティ対策のトレンドまで~

自治体の情報セキュリティが大きく動き始めています。次々に発表される施策に加え、2021年9月にデジタル庁が開庁すればその動きも急加速する見込みです。自治体は今、何を知って何に備えればいいのか。

情報セキュリティのプロと、テレワークの専門家から、それぞれの視点で語っていただきました。


概要

◼タイトル:自治体情報システムの標準化・共通化に備える 今できる情報セキュリティ対策
◼実施日:2021年6月17日(木)
◼参加対象:自治体職員
◼開催形式:オンライン(Zoom)
◼参加者数:126人
◼プログラム:
 第1部:情報システムの標準化・共通化とガイドライン
 第2部:無線LANとセキュリティ対策
 第3部:次期強靭化の仮想ブラウザソリューション
 第4部:テレワークの最新動向


第1部:情報システムの標準化・共通化とガイドライン

昨年末、国から自治体情報システムに関する様々な指針が相次いで出された。第1部ではそれらの内容を読み解きつつ、現場が抱える課題とその解決策についてアドバイスをいただいた。

<講師>
柴山 晋さん

ジェイズ・コミュニケーション株式会社
マーケティング戦略本部

プロフィール

ITソフトウェアベンダーにて社会の安全と発展に関わる様々なシステム開発に従事し、ITの基礎技術やプロジェクトマネジメントを学ぶ。
その後、大手通信事業者にてコンシューマー向け携帯電話の商品企画・開発マネジメントを担当、こどもからシニア向けまで様々なユーザー層へ向けた製品を世に送り出す。
ITセキュリテ製品を開発・提供しているメーカーのマーケティング部門を担当後、2020年9月より現職。

 

ガイドライン改定のポイント

2020年12月に、総務省から「地方公共団体における情報セキュリティポリシーに関するガイドライン」改定版(※以下、ガイドライン)が出されました。同じ時期に、情報システムに関連するいくつかの動きがありました。以下のようなものです。

「デジタル・ガバメント実行計画」の改定
「自治体デジタル・トランスフォーメーション(DX)推進計画」の策定
「令和2年度総務省所管第3次補正予算(案)の概要」公表

まずは、ガイドラインについて、内容をおさらいしてみましょう。構成は以下のようになっています。

・情報システム全体の強靭性の向上
・物理的セキュリティ
・人的セキュリティ
・技術的セキュリティ
・外部サービスの利用

このそれぞれに、改定されたポイントがあります。大まかに示すと、下図の通りです。

皆さんもご存知の「βモデル、β´モデル」の提示を始め、強化すべきセキュリティ、クラウドサービスの活用における注意点などが記載されています。

デジタル・ガバメントと自治体DX2つの計画の目的とは?

また、「デジタル・ガバメント実行計画」についてですが、こちらは国・地方のデジタル化の指針として、共通基盤になる「Gov-Cloud」(仮称)に関する事項が記載されています。さらに、ネットワークの見直しや、自治体の業務システムの標準化・共通化などが盛り込まれており、これらを推進するにあたって、標準化・共通化に係る部分は国が財源を支援。その他の部分も自治体DX推進計画に基づいて自治体を支援していくという方針です。

この自治体DX推進計画の目的は、デジタル・ガバメント実行計画の中でも、「重点的に取り組むべき事項・内容」を具体化することにあります。同時に、総務省を始めとする関係省庁による支援策と位置付けられており、期間は2026年3月までです。

その「重点的に取り組むべき事項・内容」は以下の6点が挙げられており、自治体DX推進計画の中で繰り返し出てきます。
□情報システムの標準化・共通化
□マイナンバーカードの普及促進
□行政手続きのオンライン化
□AI・RPAの利用推進
□テレワークの推進
□セキュリティ対策の徹底

ここまでの内容を、時間軸に並べてみると、下図の通りとなります。

これを見ると分かるのが、次期強靭化が終わった後、自治体DX推進計画に沿って情報システムの標準化・共通化を行う場合、与えられた時間が3年間しかない、ということです。

情報システムの標準化・共通化で乗り越えなければならない壁

こうしたことをふまえ、自治体の課題として挙げられるのが図の下部にある6点です。以下、それぞれについて説明します。

「システム変更の手戻り」

この強靭化で、多くの自治体がクラウドなどの活用を検討していますが、この後どうなるかという点が具体的に見えていない状態で、システムに大きく手を加えてしまうと、一旦やり直さなければならない“手戻り”が発生してしまう可能性があります。

「更改の予算」

前回の強靭化では、対策費補助金の交付がありましたが、今回の更改にはそれがないということを忘れてはなりません。

「運用負担」

前回の強靭化はセキュリティ重視で実施されているので、運用負担が大きいという自治体も少なくありません。

「セキュリティ対策不足」

特に、予算を取りづらい自治体の場合は、コストの問題で導入できてない無害化処理の対策が残っています。

「業務効率」

情報システムを変えていく場合、業務の効率化をセットで計画的に進めていかなければなりません。

「職員の働き方改革推進」

効率化とあわせて、自治体の大きなテーマの一つ「働き方改革」も組み込んでいく必要があります。

新しい情報システムを構築するための2つのソリューションとは

これらの課題全てを一度に解決するのは、大きな困難が伴います。そうした状況に貢献できるよう、今後を見据えたソリューションを紹介していきたいと思います。

第一に、業務効率化、働き方改革推進という面では、「庁内無線LANの導入」が一つのポイントになります。職員がPCをネットワークに接続するという面では、情報システムの変更も大きな影響はありません。従って、庁内無線LAN導入は積極的に推進していくべきでしょう。同時に、庁内のフリーアドレス化や、会議のオンライン化などを進めるのも絶好のタイミングだといえます。これらを推進するためのセキュリティを担保した無線LANとして、当社でも様々なサービスを提供しています。

第二に、「インターネット分離とファイル無害化」を実現しなければなりません。これには以下のような条件があります。

・導入時の負担が少ない
・サーバコストの削減
・業務PCを1台に節約
・1製品でファイル無害化
・無害化操作も簡単
・Web会議に対応

こうした課題に対して、当社では仮想ブラウザでの解決を提案しています。ここでバトンを引き継ぎ、ソリューションの詳細を紹介していきたいと思います。

第2部:無線LANとセキュリティ対策

第1部では新しい情報システム構築に向けての課題の洗い出しを経て、解決方法を探った。ここからは、より踏み込んだソリューションの内容紹介と、それによってもたらされる自治体のメリットをお伝えする。

<講師>
正木 亮さん

ジェイズ・コミュニケーション株式会社
マーケティング戦略本部

プロフィール

2011年ジェイズ・コミュニケーションに新卒入社。技術部門、営業部門をを経て、現在はマーケティング部門でイベント企画運営、講演活動などを担当。また、社内外で新規事業開発に従事し、位置情報を使った三密防止ソリューションの企画や、一般社団法人社会システムデザインセンターのファシリテーターとして活動中。

Wi-Fi選びのポイント

私からは、ガイドラインで新たに追加されたWi-Fi無線の部分の運用趣旨についてお話しします。

ガイドラインでは、各ネットワークモデルにおける無線LANの運用指針が新たに示されました。かいつまんでお伝えすると、盗聴対策、不正アクセス対策としてWPA2、またはWPA3エンタープライズの採用が必要だということです。このハードルを越えるために、自治体で準備しなければならないものを図に示します。

必要となるのは、WPA2/WPA3というセキュリティ規格に対応したWi-Fiのアクセスポイントと、802.1x認証用RADIUSサーバです。こうした製品を選ぶ場合には、いくつかのポイントがあります。当然最低限のセキュリティは必須ですし、Wi-Fiといっても千差万別です。その中から選ぶ際のポイントを下図に示します。

また、認証システム運用のポイントですが、まず電子証明書を発行できることが求められます。また、電子証明書は発行するだけでなく、一斉配布や更新も必要なため、それに対応する機能も必要です。

ここまでの話から、無線LAN選びの条件を簡単にまとめると、以下のようになります。


これらのテーマに対して、当社が考える最適な構成を提案します。1つ目はLGWANの構成に対して、2つ目はβモデルに対しての構成案です。


・LGWANにおける無線LAN構成イメージ

これは本・支庁舎に最低限必要なデバイスのみを設置し、コントローラやRADIUSサーバはLGWANを経由してデータセンター側で管理していく、という一般的な構成です。
この構成では、2つの製品を選んでいます。

1・「Ruckus」

電波が一番良く飛ぶ無線アクセスポイントです。「BeamFlex+」という技術で、電波を指向性を持って変えられる点が特徴。強い電波を一定の方向に出せるのに加え、余計な干渉波も出さず、電波環境がクリーンになります。

2・「NetAttest EPS」

国内シェアナンバーワンで、国産のRADIUS認証アプライアンスです。
RADIUSやCA、LDAPなどと、そのバックアップやリストアもオールインワンのアプライアンスにした製品で、故障率も低いのが魅力。国産なのでGUIも、保守のコールセンター対応も日本語です。

続いてはインターネット接続モデルです。

・βモデルにおける無線LAN構成イメージ

LGWAN接続系と違うのは、Wi-Fiのコントローラがクラウドになったという点だけです。

1・「Mist」

Mist Cloudは常時ログ相当の情報を集めて、クラウドのAIが解析しています。トラブルが起きた瞬間にもログが残っているので、
すぐに原因の解析ができ、トラブル発生前の予兆検知にも繋がります。

2・「NetAttest EPS」

国内シェアナンバーワンで、国産のRADIUS認証アプライアンスです。RADIUSやCA、LDAPなどと、そのバックアップやリストアもオールインワンのアプライアンスにした製品で、故障率も低いのが魅力。国産なのでGUIも、保守のコールセンター対応も日本語です。
 

第3部:次期強靭化の仮想ブラウザソリューション

新たに示されたβモデル、β´モデルの可能性を活かすためには、十分なセキュリティ構築が必須だ。ジェイズ・コミュニケーションの武内さんは、職員にも、財政にもできるだけ負担をかけずに安全を担保する方法として「仮想ブラウザ」を提案する。

<講師>
武内 彩さん

ジェイズ・コミュニケーション株式会社
RevoWorksビジネスユニット 営業部

プロフィール

2020年ジェイズ・コミュニケーションに入社。 自社開発製品「RevoWorksシリーズ」専属の営業として、自治体、医療機関を中心に 営業活動を行っている。

ガイドラインと共に誕生したセキュリティのための仮想ブラウザ

2015年の日本年金機構情報流出事件をきっかけに自治体情報セキュリティポリシーに関するガイドラインが策定され、それから5年後に改定。β、β´モデルが発表されました。この間に、当社の仮想ブラウザソリューション「RevoWorks」も誕生し、自治体の皆様からの声に耳を傾けながら機能拡張や兄弟製品のリリースをするなどの進化を遂げてきました。この、自治体から寄せられた声というのは以下のようなものです。

こうした問題を解決するソリューションとして、RevoWorksが役立ちます。RevoWorksはコスト削減とユーザビリティを向上させることができるソリューションです。

ここからはRevoWorksシリーズ中のサーバコンテナを用いた仮想ブラウザ「RevoWorks SCVX(以下、SCVX)」について説明します。

SCVXの基本動作

LGWAN接続系とインターネット接続系が分離された環境で、LGWAN側にある端末にSCVXをインストールすると、インターネット接続系に設置されたサーバに認証に行きます。これをきっかけにサーバ上に“コンテナ”という仮想領域が立ち上がり、このコンテナ内でブラウザが起動。そのブラウザを投影するかたちで、LGWAN端末で画面を閲覧できる状態になります。

切断する時は、LGWAN側の端末でブラウザを閉じると、サーバ側のコンテナが消去されるので、同時にインターネットの接続も切断されるという仕組みです。このコンテナは毎回新規で作成され、削除されるとコンテナ内のデータも全て削除されます。

SCVXのコンテナ内には無害化エンジンを搭載しているので、無害化処理をするための外部装置は不要です。また、“サンドボックスチェック”という機能もあり、ファイルの原本が必要な場合にはコンテナ内にある対象ファイルをクリックすると、問題を含んでいないかチェックして、OKならばLGWANの端末にダウンロードできる、という仕組みになっています。

逆に、LGWAN端末のファイルをコンテナにアップロードしたい場合は、通常アップロードに加え、上長承認機能も標準で搭載しています。

このSCVXは、前回の強靭化の実績で、全国で32都道府県、101の市区町村で導入いただいており、物理分離やVDI・SBC方式に比べると、ライセンス価格が安価であるということと、ローカルブラウザと比較しても遜色のない操作性を実現している、といった点が導入先から喜ばれています。

なお、RevoWorksシリーズには、Web会議に向いている仮想ブラウザの「RevoWorks Browser」、テレワークに向いている仮想デスクトップの「RevoWorks Desktop」もあります。興味のある方は気軽にご相談ください。

第4部:テレワークの最新動向

セミナーの最後は、テレワークの専門家が登壇。社会的な背景もふまえて、テレワークがもたらす効果と、自治体から寄せられた声、導入への不安を解消する方法などをお伝えする。

<講師>
村上 友佳子さん

一般社団法人日本テレワーク協会
主席研究員

プロフィール

1986年、富士ゼロックス(株)に入社。入社以来、一貫して法人営業部に所属、働き方改革をテーマとしたお客様の課題解決に携わりながら、営業現場の責任者として人材教育やチャネルビジネス戦略を推進。2021年から日本テレワーク協会、主席研究員としてテレワークの普及促進に取り組んでいる。

地域ごとに濃淡が生じているテレワークの導入状況

まず大前提として、なぜテレワークをしなければならないのでしょうか。要因の一つに、人口減少による労働力確保の問題が挙げられます。グラフの通り、労働力人口は2016年から2060年の間に2,800万人、42%も減少するという統計結果が出ています。

このように、主な社会課題として挙げられる労働力人口確保、さらに1億総活躍社会、地方創生などを解決する、また、企業の経営課題として挙げられる生産性の向上、外部環境変化への対応といったことに対応するためテレワークを活用し、それによって持続可能な成長を実現することができます。

テレワークは、就業者、企業・自治体、社会にとってプラス効果をもたらします。その代表的な例は以下のようなものです。

現在、テレワークをしている人口は、昨年11月の調査によると東京都で45.8%。しかし全国的に見ると、10%に満たない県も多い状況です。従業員規模別では、100人未満の企業で13.1%、1万人以上で45%と、小規模企業での遅れが見られます。

また、国交省の人口動態調査結果によると、在宅勤務は実施している人が多い反面、サテライトワークやモバイルワーク人口は令和元年よりも下がってきているという結果も出ています。


メリットを享受するためにまずは始めてみることが大切

では、自治体の状況を見てみましょう。「地方公共団体におけるテレワーク推進のための手引き」によると、テレワークを導入する意義は、主に以下の3つです。

自治体におけるテレワークの導入は、ここ数年で着実に増えています。その反面、未導入の団体について、今後も導入の予定がない・未定とした団体は100人以上の市区町村では約5割、100人以下の市区町村では約8割になっており、かなり温度差があります。

理由は団体種別で多少異なりますが、「窓口業務や相談業務などがテレワークになじまない」「個人情報やマイナンバーを取り扱う業務では実施できない」といった意見や、「紙の資料が参照できない」「職員間のコミュニケーションが不足する」「労務管理に不安がある」といったものが多いようです。また、庁内データにアクセスできないと実施できる業務が限られるといった、ICTに関する項目も目立ちます。

様々な障壁はあるかもしれませんが、導入すればメリットが多いことは各事例が示しています。「何から手を付けたらいいか分からない」「これまでの仕事の質が維持できるのか」、といった不安を抱えている自治体も多いと思いますが、まずは現状から前進するため、スモールスタートで始めてみましょう。

先進団体の取り組み事例なども参考にしながら、自らの団体で着手しやすい業務や、対象職員を選定し、一定の期間を決めて、まずは実施あるのみです。試行錯誤の結果を検証した上で、ソフト・ハード面での環境整備を進め、対象を徐々に拡大しながら、本格実施に繋げていきましょう。在宅勤務だけでなく、サテライトオフィス勤務やモバイルワークも選択肢に入れることで、テレワーク導入による効果や、業務改革の可能性が広がるかもしれません。

また、テレワーク推進のための国の支援策があることも忘れてはなりません。テレワークマネージャー相談事業や、特別交付税措置などが用意されており、令和3年度以降も継続予定となっています。


“働き方”改革から“生き方”改革への転換!

最後に、今後に向けてのお話です。これまでの「働き方改革」に対して、多くの企業で「働きがい改革」という言葉が使われるようになりました。さらには、“ワーケーション”というスタイルも合わせて「生き方改革」とする動きが出てきています。

ワーケーションは、“ワーク”と“バケーション”を組み合わせた言葉で、仕事と休暇を両立させるという意味を持っています。私たちテレワーク協会では、仕事と休暇に加え、図のような様々な意味も付加し、様々な領域で可能性を持つ働き方だと定義しています。

自治体においても、テレワークの導入により、“働き方改革”から“生き方改革へ”の転換をぜひ図っていただきたいと思います。そして、楽しく生きる・自分らしく生きるということを大切にして、テレワーク導入をきっかけにICTを活用し、業務の効率化や生産性向上を実現して、住民サービスの向上につなげていただきたいと願っています。

Articles - セミナーレポート 記事一覧

このページをシェアする
  1. TOP
  2. 【セミナーレポート】新しい情報システムの波に乗れ!~ガイドライン改定の要点からセキュリティ対策のトレンドまで~