ジチタイワークス

【セミナーレポート】三層分離ネットワーク、今後はどうする? ~自治体職員の抱える課題と、ベンダーが提供するソリューション~

ガイドライン改定後、各自治体は今後のネットワーク構築をどうすべきか頭を悩ませています。セキュリティの担保、クラウド活用、職員のリテラシー向上…。

様々な課題に対してどう向き合うべきか、現場業務に携わる職員と、関連サービスを提供するベンダーの担当者が、互いに情報を提供しつつ今後の方向性を探りました。


概要

◼タイトル:次期自治体情報セキュリティクラウドと強靭化のポイントとは?
◼実 施 日:2021年8月4日(水)
◼参加対象:自治体職員
◼開催形式:オンライン(Zoom)
◼申込者数:140人
◼プログラム
<第一部>
1:次期自治体情報セキュリティクラウドと強靭化の課題
2:競合からのメール無害化乗り換え案のご紹介
3:βモデルで考慮すべきサイバー脅威対策とは
<第二部>
1:次期自治体情報セキュリティへの中野区としての取り組み
2:クラウド活用で考慮すべきセキュリティ
3:暗号化と無害化による、自治体情報安全化計画


第一部

前半の第1部では、青森県のIT専門監による現状報告と所感、および2社のベンダーからメール無害化、サイバー攻撃対策についてそれぞれの視点で語ってもらった。

<講師>

武田 雅哉さん

青森県 総務部
行政経営課IT専門監

プロフィール

複数のソフトウェア会社にて新規事業企画を担当するとともに、(一社)北海道情報システム産業協会の理事・事務局長、(一社)全国地域情報産業団体連合会の事務局長として、地方自治体や経済産業省等と協力して中小ユーザーと地域ITベンダーのマッチングを推進。北海道経済連合会産業開発委員会IT産業専門委員、(一財)全国地域情報化推進協会理事、(一社)日本IT団体連盟事務局長代理などを歴任

次期自治体情報セキュリティクラウドと強靭化の課題

令和2年12月のガイドライン改定にはいくつかのポイントがありますが、中でも特に大きいのが、「LGWAN接続系とインターネット接続系の分割の見直し」と「リモートアクセスのセキュリティ」ではないでしょうか。

βモデルが提示されたことで、インターネット上のツールなどの導入が可能になり、業務の効率性・利便性の向上が見込まれます。反面、セキュリティリスクが高まるため、業務端末にエンドポイントセキュリティを確立する必要があり、運用コストが高くなります。それでも今までの業務の不都合や問題点を考えれば、それ以上の効果が見込めるのではないかと考えています。

また、新しいガイドラインではテレワークの要件も提示されました。テレワークについての基本的な考え方、リスク及びセキュリティ要件とともに、想定されるモデルが記載されました。「LGWAN-ASPサービス利用モデル」を推奨していますが、同等のセキュリティ確保を前提に「インターネット接続系を経由してLGWAN 接続系の端末に接続するモデル」も可となっています。

青森県では当初、βモデルに移行する予定でしたが、定期的に外部監査を実施しなければならない等内容に不明瞭な点が多いこともあり、αモデルに留まることにしました。同様の判断をした他自治体もあるようです。しかしそのおかげで、αモデルを堅持しつつ業務の効率性・利便性を向上させる「業務端末系」と呼ぶ第4層を構築するモデルが、各ベンダーから発表されています。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\1-05.jpg

これはLGWAN系とインターネット系の間に第4層目として業務端末系を設け、そこからLGWAN、インターネットへ接続するという考え方です。しかし「実質はβモデルではないか」と言われないかという不安もあります。そこで、さらにもう一工夫した仕組みが、第4層目を設けることは変えずに、ローカル端末内でインターネット接続系は画面転送するというものです。専用サーバーではなく、端末側のリソースを使うので、サーバーコストがなくなり、処理スピードも速くなるというメリットが考えられます。

ただし、技術的にセキュリティの仕組みを整えても、最後は“人”がしっかりしていないといけません。青森県ではIT政策を総合的に進めるためにCIOとCISOを設置しています。そしてIT戦略推進委員会、情報システム投資委員会、情報セキュリティ委員会を柱とする体制を作っています。その中で、システムの投資評価とフォローアップ、情報セキュリティの外部監査、情報セキュリティの内部監査と監査人育成、新規・更新時の調達協議、セキュリティ研修等を行っています。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\1-13.jpg

青森県としては、万一を少しでも減らすためにはどうしたらいいのか、少しでも働きやすくするためにはどうすればいいのか、そういう環境をどうやったら整えられるのか、まずは「できることからやろう」、という気持ちで取り組みを進めているところです。

 

<講師>

辻村 安徳さん

株式会社クオリティア
営業本部フィールドセールス部 部長

プロフィール

2002年日系IT商社へ入社。メールアプライアンスやメールセキュリティなどのメーカーを経て2016年より現職。一貫してメール業界に身を置き、全国の自治体・大学から企業まで幅広くユーザーとの会話を大切にし、その中から市場を分析・予見し、開発に反映させる。安全性と利便性にこだわったユーザー目線の提案が強み。

競合からのメール無害化乗り換え案のご紹介

今回、まずご紹介したいのが、独自のマクロ除去技術です。市場で定評のあるCDRという無害化技術を持っている「VOTIRO」、または同等の「OPSWAT」、この2つのエンジンから選択いただくことが可能になりました。当社の製品である「Active!zone」の、独自のマクロ除去技術は残しつつ、より多くの種類のファイルをサニタイズしたいといったご要望をお持ちのお客様に応えることができます。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\2-03.jpg

また、この機能にプラスして、ダウンロードする直前にサニタイズをすることも可能になりました。このサニタイズは、添付ファイルをエンジンに投げるのではなく、パスワードがかかっているファイルをいかにサニタイズして届けるかという点に着目し、パスワード付ファイルであれば「Active! zone」の中でパスワードを解いた上で、サニタイズエンジンの方に投げ、その後サニタイズされたファイルをまた「Active! zone」に戻し、そのファイルをユーザがダウンロードする、という流れになっています。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\2-04.jpg

もう1つは、サニタイズを行うのではなく、ファイル交換用サーバーに直接取り込んでしまう機能です。添付ファイル分離画面で中身を見て、パスワードも解いた生ファイルをサニタイズしてダウンロードするのではなく、ファイルサーバーに直接保存します。保存をする際にはサーバーに対してログインするための ID ・パスワードが必要ですが、「Active! zone」の添付ファイル分離画面の中でID ・パスワードを入れて、この「Active! zone」からは、ファイルサーバーに対してログイン用の ID・パスワードとファイル、3つの情報をセットで直接放り込んでしまう、といった機能です。

この機能で何が優れているかというと、従来はパスワード付ファイルを LG WAN 環境に取り込もうとすると11ステップほどの手間がかかっていたのですが、この機能を使うと約半分ぐらいのステップ数で取り込みが完了するのです。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\2-05.jpg

当社はメールが専門なので、お客様のメールに関する既存構成をヒアリングし、そこにある課題と最適なソリューションをどのように提供できるか、ということを提案しております。既存のメールシステムで、ご不満、ご要望、要改善点があれば、ぜひお問い合わせを頂ければと思います。

【株式会社クオリティア】

https://www.qualitia.co.jp/
お問い合わせ窓口:active@qualitia.co.jp

 

<講師>

菊川 悠一さん

サイバーリーズン・ジャパン株式会社
プロダクトマーケティングマネージャー

プロフィール

10年以上におよび複数の無線/有線LANネットワークセキュリティのベンダーでSEとして従事した後、プロダクトマーケティングとして日本における製品リリース、販売戦略を推進。現在サイバーリーズンのプロダクトマーケティングマネージャーとして、エンドポイントセキュリティの拡販、啓発活動を行っている。

βモデルで考慮すべきサイバー脅威対策とは

まず自治体セキュリティの課題について、簡単に説明します。現在のαモデルは、セキュリティ強化によってインシデント数がかなり減っていますが、その反面、2つの課題があると言われています。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\3-04.jpg

喫緊の課題は、効率性・利便性を向上させることです。そこで新しいモデルが登場し、β、β´モデルが昨年末に発表されました。一方で、セキュリティの強化も必要になります。インターネットへ接続するということは、サイバーセキュリティの脅威にさらされることです。それに対抗しうるセキュリティが今後求められます。このエンドポイントをどう強化すればよいのか。それに対する答えが「侵入後対策」です。現行のセキュリティモデルが下図の左側です。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\3-06.jpg

現行はいわゆる境界線防御型と言われるもので、自治体のネットワークの中に入っていれば脅威から保護されている状態と言われますが、一旦侵入されてしまうと、そのセキュリティモデルでは不十分で、「検知・対応・復旧」が困難です。新モデルでは、サイバー脅威の高度化・巧妙化と、セキュリティ基準が変化した点を踏まえ、前述の3点が備わっているものにしなくてはなりません。最近ではゼロトラスト型とも呼ばれている、侵入を前提とした対策を施すことによって、より良いセキュリティ強化に繋がります。

自治体情報セキュリティクラウドには様々なセキュリティソリューションがあります。ファイアウォールやプロキシなど選択肢は多いのですが、最近の脅威はどんどん巧妙化しており、こうしたソリューションを回避するような攻撃も出てきています。万一侵害されてしまった時の緊急対応計画も重要で、関連部署と素早く連携して脅威を封じ込めることが必要です。いわゆるインシデントレスポンスとかインシデント対応サービスというもので、大規模なセキュリティ侵害が起こった際に、専門家が対応するというサービスです。EDRと、インシデントレスポンスサービスを併用することで、万一の被害を最小限にできます。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\3-15.jpg

弊社のソリューションを使うことによって、他社と比べてインシデント対応時間が半減することが、弊社MSSPによる実測によって確認できています。またMDR等を活用して、非常に甚大なインシデントへの対応が必要になった場合、インシデント対応サービスも用意しています。新モデルの三層対策を見直す際、弊社のサービスと製品をぜひご検討いただければと思います。

【サイバーリーズン・ジャパン株式会社】

https://www.cybereason.co.jp/
お問い合わせ窓口:https://www.cybereason.co.jp/contact/

 

第2部

後半は、中野区のネットワーク環境構築における取り組みを共有していただきつつ、クラウド活用上のセキュリティ構築、データの暗号化・無害化についてベンダーの担当者が最新テクノロジーを紹介する。

<講師>

平田 祐子さん

東京都中野区区民部産業振興課長
区民部マイナンバーカード活用推進担当課長 

次期自治体情報セキュリティへの中野区としての取り組み

中野区では現在、新しいセキュリティポリシーや、ネットワークの見直しをどうすべきか検討している最中です。これまでのセキュリティの取り組みとしては、ISMSを平成29年に取得しました。その際に内部監査を職員相互でやるようになりました。ただ、現在ではこの内部監査は休止しています。理由は職員の負担で、コロナ禍で内部監査の職員が出向くのが難しいということがあり、今は書面監査にしている状態です。

ネットワーク構成は、平成29年に三層分離に対応し、その際にデータセンターネットワークも再構築しています。現在、そのネットワークセキュリティの仕組みについて見直しの時期に差し掛かっているという状態です。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\4-12.jpg

現在の問題点は、今まであちこちで言われているのと同じで、高いセキュリティレベルを確保できている反面、円滑な事務の遂行に影響がでてしまっているということです。

例えば、インターネット接続環境に出ている時には仮想ブラウザを使っています。セキュリティレベルは高いのですが、手間がかかるというのが難点です。添付ファイル付のメールが届いた時には、無害化処理として下記1・2・3のプロセスを経ないと手元にきません。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\4-16.jpg

これがメール1件あたり7分くらいかかり、職員からは「何とかならないのか」と日々言われています。また、インターネット接続にも時間がかかります。仮想ブラウザ方式なので、接続に早くて1分、遅いと5分くらいかかります。一番困るのは、区民からの問い合わせを受けてインターネットで調べなければいけないような時、お待たせすることになってしまうようなケースです。折り返しになる場合もあります。

さらに、最近はコロナ禍の影響もあって、Web 会議が増えています。しかし、こちらの映像や音声を送るということが今の仕組み上できないのです。対策としてWeb会議専用のPCを導入し、インターネット専用の端末として運用している状況です。Web会議をやりながら庁内の資料を見ようとすると、PCが2台必要となります。今は月に200件ほどのWeb会議がありますが、正直言って使い勝手が良くないという状況です。

こうした課題に対し、中野区は複数の事業者に依頼して、提案をいただいているところです。例えば、αモデルのまま現状構成の改良型で、ユニファイドコミュニケーションが使えるようにするモデルや、パソコンを直接インターネットに接続する4層モデルに近いものなどの提案を受けています。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\4-24.jpg

βモデルについてはあまり提案がなく、エンドポイントセキュリティの対策をかなりとらなくてはならないということでした。最終的には、αモデルの改良版といったところに落ち着くのかな、と感じています。以前、データセンターの大規模障害を経験した中野区としては、多くの葛藤があります。現在進行形で色々悩んでいるところです。

 

<講師>

仲島 潤さん

マカフィー株式会社
セールスシステムズエンジニア

プロフィール

日系SI及び外資ITセキュリティベンダーで通算15年ほどネットワークとセキュリティの分野での業務経験を経て、2014年にマカフィーに入社以来、フィールドSEとして主に官公庁や法人顧客に対してプリセールス活動に従事。現在は中央省庁、自治体を中心に提案活動に従事しながら一部パートナー担当SEも兼務。

クラウド活用で考慮すべきセキュリティ

まず自治体IT動向について。ここ数カ月の間でいくつかの団体と対話したのですが、office365を導入済、あるいは導入検討中という団体様が多い印象でした。その一方、LGWAN-ASPで一部の利用がせいぜいであって、全庁でクラウド展開できているケースはまだ少ないのかな、という様子もうかがえます。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\5-06.jpg

各団体とも、βモデル移行による業務の効率性・利便性が向上することについては非常に良く理解されています。ただ、単純に業務端末をインターネット接続系へ繋ぎ直せばよいという話でもなく、移行に関してはコスト的な問題も絡んでくるので難しいというのが実態で、自治体としてはαモデルの継続が多い傾向のようです。中にはβモデルではなく、αモデルを継続しつつβの良いところを取り込んで、ハイブリッドモデルを模索しているような団体様もありました。いずれにしても正解があるわけではなく、予算や改善したい業務内容により様々な解があると考えています。

さらに在宅勤務については各団体で状況が大きく異なっており、実証実験中のところが多かったように思います。手段も閉域SIMを使う方法や、インターネットVPN、さらにシンクライアントを使った展開など、独自で検討しているといった状況でした。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\5-09.jpg

この在宅勤務のセキュリティについては、昨年総務省が公表した「自治体情報セキュリティ対策の見直しについて」においても、「インターネットを経由したLGWAN接続系へのテレワークについても、早急に技術要件等の整備を行うべき」というような提言がされています。セキュリティリスクを認識の上、必要な対策を検討いただければと思い、本日はソリューションと製品をご紹介したいと考えています。


在宅勤務の使用端末におけるセキュリティの課題をまとめると、以下の3点になります。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\5-16.jpg

□Webアクセスの保護対策
□クラウドサービス活用で発生するリスクへの対策
□情報漏えいの対策

これに対し「MVISION UCE」は、クラウドプロキシと、CASB、DLPを統合したソリューションです。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\5-34.jpg

実際にクラウド上に上記3つの機能を足して、一体で運用できる仕組みになっています。個別のサービスを購入することも可能ですが、統合化することによって構成をシンプルにし、管理のしやすさを実現しています。

マカフィーでは、三層構造の中で様々なポイントにセキュリティの商品を持っております。お客様のセキュリティ課題を解決するために必要なソリューションをご提案することが可能です。ぜひクラウドプロキシ以外の部分でも、セキュリティの検討でお困りのことがあればご相談ください。

【マカフィー株式会社】

https://www.mcafee.com/
お問い合わせ窓口:mfe-info@cs.macnica.net

 

<講師>

和田 秀之さん

アルプス システム インテグレーション株式会社
セキュリティ事業部 プロダクト企画部 部長

プロフィール

神奈川県横浜市出身。2008年にアルプス システム インテグレーションに入社後、商品企画担当としてデータの暗号化・無害化ソリューション、セキュアWebゲートウェイサービスなど、数々のセキュリティ商品を世に送り出している。

暗号化と無害化による、自治体情報安全化計画

今回は、暗号化と無害化による自治体情報安全化計画と題して、三層分離の課題を解決する弊社の新しいパッケージをご紹介します。

最初にご紹介したいのは、三層分離の中でも最もベーシックなソリューション「Web分離・無害化パック」です。Web 分離、ファイル無害化、Webフィルタリングの3つの機能が含まれています。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\6-13.jpg

Web分離では利便性をいかに維持するかがポイントです。このパッケージでは、Webフィルタリングで不要なアクセスをブロックしつつ、アクセスを許可したサイトも無害化によってリスクを除去したうえで閲覧させます。通常のブラウザを利用してリンクのクリックや動画コンテンツの視聴もできるため、Webアクセス時の利便性を損ないません。また、ダウンロードファイルの無害化も組み合わせることで、インターネット利用におけるセキュリティを強化します。

2つ目の「ファイル無害化転送パック」はファイル転送、ファイル無害化、個人情報検知の3つの機能が含まれています。異なるネットワーク間においてファイル受け渡しを行う場合の個人情報漏洩やウイルス感染のリスクを解決するパッケージです。ファイル転送システムで持ち込む際には自動的に無害化を行い、書き出す際には個人情報のチェックを行うことができます。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\6-26.jpg

3つ目の「個人情報暗号化パック」は、ファイル暗号化と個人情報検知の機能が含まれています。一番のポイントは自動的にファイルが暗号化されて、利便性が落ちないという点です。利用者がファイルを編集して保存するという、ごく普通の操作の“保存”のタイミングで自動的にファイルを暗号化しますので、利用者が暗号化を意識することなくご利用いただけます。また、個人情報が含まれているファイルだけを自動で検知して暗号化することができるので、非常にスムーズな運用を実現します。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\6-33.jpg

最後の「外部デバイス無害化管理パック」はデバイス制御、ワークフロー、ファイル無害化、個人情報検知の機能が含まれています。異なるネットワーク間のデータのやり取りにおいて、USBメモリなど外部デバイスを使う場合の個人情報漏洩やウイルス感染のリスクを解決するパッケージです。

外部デバイスについては、例えば一括購入したものや、セキュリティ対策が施されたデバイスのみに利用を限定する必要があります。その上で、ファイルを書き出す際には自動的に個人情報をチェックし、持ち込む際は無害化することができる、というのが全体のイメージです。

C:\Users\lma-Five\Desktop\オーバル セミレポ\採用画像jpg\6-38.jpg

今回は4つのパッケージを紹介しました。各パッケージの要素を全て網羅した「ネットワーク分離・無害化お任せパック」というサービスもご用意しています。

この他、EDRやメールのセキュリティなど自治体様で求められるセキュリティ対策をトータルでご提案しています。興味のある自治体様は、お気軽にお問い合わせください。

【アルプス システム インテグレーション株式会社】

https://www.alsi.co.jp/
お問い合わせ窓口:ssg@alsi.co.jp

Articles - セミナーレポート 記事一覧

このページをシェアする
  1. TOP
  2. 【セミナーレポート】三層分離ネットワーク、今後はどうする? ~自治体職員の抱える課題と、ベンダーが提供するソリューション~