概要

□タイトル：「情報セキュリティ対策セミナー：DXとクラウドで激変する自治体業務と住民サービスをどう守るか」～ID・アクセス管理を起点に～
□実施日：2021年10月8日（金）
□参加対象：自治体職員
□開催形式：オンライン(Zoom)
□申込者数：59人
□プログラム：
　第一部：事例に学ぶ自治体の業務クラウド利用とセキュリティ対策
　第二部：住民向けサービスデジタル化 - ユーザーログイン体験とセキュリティの両立
　第三部：自治体DX最前線～ゼロトラストセキュリティへの挑戦

事例に学ぶ自治体の業務クラウド利用とセキュリティ対策

IDとパスワードは、機密情報の“門番”。ここを突破されると大切なデータは丸裸にされてしまう。セキュリティの要ともいえるサインインの部分はどう守ればいいのか。Okta Japanの小泉氏が「一元化」をキーワードに解決方法を語る。

＜講師＞

小泉 知之 氏
Okta Japan株式会社
リージョナルセールスマネージャー

サイバー攻撃のリスクが高まるなか自治体に求められているものとは？

自治体におけるクラウドの利用が増えている一方、情報漏えいのリスクが深刻化しています。昨年１年間で日本の企業から流出した個人情報は、延べ２,５００万件超という統計データもあるほどです。これらの攻撃の中でも、ログインなどの認証情報は攻撃者から狙われる典型的なもので、データ侵害の６割を超えるという報告もあります。

こうした中、クラウドを安全に使いながら認証情報も守りつつ、利便性とセキュリティを両立していく必要性が極めて高くなっています。昨年の１２月には、総務省による「地方公共団体における情報セキュリティポリシーに関するガイドライン」見直しの通知がありました。皆さんもご承知のとおり、従来の三層分離モデル（αモデル）からβ、β´モデルへの移行が一つの方策として提言されています。

今後は、パブリッククラウドの活用による業務効率の向上や、インターネット経由でテレワーク実現を可能にしていくことでより利便性を高めていく、といった流れが主流になっていくでしょう。同時に、未知の脅威への対応や、エンドポイント対策、セキュリティの監視強化も求められています。

クラウド利用が加速する中で適正なアクセス管理が求められる一方、管理者の運用負荷も軽減していく必要があり、利便性とセキュリティの両立を実現するのは簡単ではありません。そこで“ゼロトラストセキュリティ”という新しいセキュリティモデルが必要とされてきているのです。これは文字通り、現状のハード・ソフト環境、およびその利用者を“信頼しない”ことを前提とし、セキュリティを構築する考え方です。

ちなみに、クラウドベンダー側でも、セキュリティ強化の動きが始まっています。一例としてセールスフォースの多要素検証の必須化などがあり、これらの動きは他のSaaSアプリケーションでも今後加速すると考えられています。そうした課題の解決に、当社の「Okta Workforce Identity（以下、Okta）」が貢献します。

当社は、クラウドベースでIDの管理、アクセス管理、認証・認可を行うための専業ベンダーです。自治体においては、職員がクラウドアプリケーションへアクセスする際に、Oktaが間に入って、サインインを安全に一元管理することができます。

サインインの一元化で不正アクセスをブロック！

例えば、自治体においてSaaSをバラバラに導入していくと、それぞれにID・パスワードが必要になり、管理が煩雑になってしまいます。また、パスワードを複数のサービスで使い回すようなことが起き、セキュリティリスクを高めることになります。こういった環境にOktaがあれば、全てのクラウドサービスに一元的にサインインできるようになり、安全・確実です。また、管理する側も、サービスが追加されるたびにユーザー対応をする必要がなくなるので、管理の負荷軽減にも寄与します。

さらにガバナンスという面でも、「誰が、いつ、どのようにサインインしたか」という証跡をOktaの上で一元的にログとして記録するので、クラウドを安全に利用するための対策として非常に効果があります。

Oktaの特徴の１つが、シングルサインオンを即時利用開始するための仕組みが用意されていることです。７,２００以上のアプリケーションに関する設定テンプレートがOkta上に用意されており、設定項目を入力すれば最短数分でシングルサインオンに統合できます。また、旧来型のアプリケーションに対するフォームでのログインにも、ブラウザのプラグインを提供しており、代行入力のような形でシングルサインオンに統合し、Okta経由でないとアプリケーションにアクセスできない環境を整えることも可能です。

多要素認証については、１４種類の要素をサポートしており、様々なパスワード、セキュリティの質問をはじめ、スマホを活用したプッシュ認証機能や、生体認証などを幅広くサポートしています。今現在、現場で利用されている認証方式の他、将来的に導入される認証方式を組み込んでいくことが可能です。

さらに、状況判断に基づくアクセス管理も行うことができます。ユーザーが通常と異なるサインインのふるまいをした場合にチェックを行い、本人が正しくアクセスしているのか、そのままアクセスさせて良いのかを自動で判別する機能が備わっています。この機能により、テレワークなどの環境においても、アクセス管理を徹底できます。同時に、不審なIPアドレスからのサインインをブロックするという機能も標準装備しています。

このように、Oktaはクラウドサービス利用の際に、適切かつ安全にアクセスできるということを支援するソリューションであり、IDアクセス管理にまつわる運用負荷の削減にも貢献します。
なお、ここで紹介したのは機能の一部です。Okta Japanでは毎週火曜日にウェビナー「ゼロからわかるOkta」を行っています。

こちらで更に詳しくソリューションを紹介しているので、ぜひご参加ください。

住民向けサービスデジタル化 - ユーザーログイン体験とセキュリティの両立

ここからは、Okta Japanのエンジニアである井坂氏がバトンを受け、行政サービスへのニーズは何か、そして“共通認証”という仕組みがそれにどう応えていけるのか、ユーザーである住民視点で解説する。

＜講師＞

井坂 源樹 氏
Okta Japan株式会社
シニアソリューションエンジニア

高まるデジタル化のニーズと自治体に求められているもの

現在では、多くの人の日常生活で様々なアプリケーションやサービスが活用されています。買い物、エンターテインメント、Web会議など、コロナ禍もあって様々なニーズが生まれていますが、そうした流れの中で、自治体サービスにもやはりデジタル化が求められている状況です。例えば、窓口での各種手続きや、イベント・講習会などを、デジタルで簡単に使えるようにしてほしいという期待があります。

ただし、これらの中には個人情報に直結するものも多いので、住民側は安全性を求め、自治体としてもその点を押さえつつ、デジタルを活用して住民に鮮度の高い情報を提供したいというモチベーションがあるかと思います。

自治体では、独自のシステムや、自治体共通システムの利用、あるいは外部のSaaSなど、様々なシステムによって行政サービスが成り立っています。そうしたシステムに住民をひも付け、必要なサービスを届けていくためには、相手が誰であるかを確実に認識してサービスに誘導していくための基盤が必要です。

段階的な情報登録で住民の不安を解消する

この、共通認証基盤における“本人性”の確認は、提供するサービスによって機密度が異なります。例えば粗大ごみ回収の申し込みなどは機密度が比較的低く、住所変更手続きなどは機密度が高いといえます。また、個々のサービスで全ての情報が必要な訳ではありません。メールで情報を届ける場合はメールアドレスだけで十分ですし、行政手続きなら住所と電話番号などが必要。しかしサービス利用開始時に、いきなり全ての情報を求めると登録を敬遠されてしまいます。

まずは最小限の情報で登録してもらい、その上で必要なサービスの機密度が高まれば情報を追加入力してもらう…と、段階を追って厳格化することによりアカウントの登録が進み、サービスの利用も広がります。こうしたシーンでもOktaが活用できます。

第一部では、職員向け認証基盤としてのOktaを紹介しましたが、認証という点では、住民向けのサービスでも共通のテクノロジーを適用できます。サービスから認証とユーザー情報を分離することによって、同じログイン画面、同じID・パスワードで複数のサービスを利用できるようになります。IDとアクセス管理に関する制御を、各種サービスから独立させて一元化するのがOktaの主な役割です。

活用イメージは上図の通りです。右側が自治体の各種サービスで、そこから独立したOktaが入口となり、ユーザー共通の認証画面があり、ユーザーID・パスワードを入力すると各種サービスにアクセスできるようになります。複数のサービスを使う場合も、再ログインをせずに使用することが可能です。また、第一部でもお伝えした通り、多要素認証の方式として様々な手段を用意して、セキュリティの強度に応じて選択できるようになっています。

ユーザーの要求は「簡単に使いたい」かつ「セキュアに使いたい」というものです。同時に、セキュリティの要件としての認証方式も変化していきます。認証基盤は利用者のデータも扱いますし、パスワードという重要情報を扱うという性質があります。それを前提に、複数のサービスにシームレスにアクセスを提供することが求められます。その部分をOktaを使うことで、効率化・迅速化できると私たちは考えています。

自治体DX最前線～ゼロトラストセキュリティへの挑戦

最後の登壇は、自治体の現場でセキュリティ構築に尽力している菅原氏。磐梯町で取り組んでいる具体的な事例をもとに、セキュリティ構築における注意点とその解消方法を分かりやすく語っていただいた。

＜講師＞

菅原直敏 氏
磐梯町最高デジタル責任者（CDO）
愛媛県市町DX推進統括責任者

DXは地域の未来をつくるための手段の一つである

ここまでは、Okta Japanさんから技術的な細部の話があったので、私からはゼロトラストセキュリティをベースに、自治体がそうしたものを導入する例についてお話ししたいと思います。

まずは私がCDOを務めている磐梯町の将来像について。なぜこの話をするかというと、先ほどのセキュリティの話も、いろんな技術の話も、ある組織や地域におけるミッション・ビジョンを実現するための手段だからです。磐梯町には、DXを進める上でのミッションがあります。「誰もが自分らしく生きられる共生社会を共創する」というものです。このミッションを実現するための手段としてデジタル技術を使っていくというのが磐梯町の基本的な考え方です。

しかし、これを実現する際にネックになるのがセキュリティです。その解決手段としてゼロトラストセキュリティの概念を使おうということで、自由なシステム設計をするためにはどうしたらいいのか考え、磐梯町はCDO補佐官にセキュリティとシステム構築に明るい専門家を採用、まず自分たちで要件定義をして、大まかな仕様の設計まで自分たちでやっています。

DX推進における３つの障壁とそれに対する磐梯町の対策

ちなみに、磐梯町の庁内ネットワークの現状は、たまたまβ´モデルになっている、という状態です。磐梯町の職員は１００人強ですが、住民基本台帳ネットワーク（住基ネット）、LGWAN系のPCは５台しかなく、ほかの１１０台は全てインターネット接続系です。つまり、テレワークも制度さえできればやり放題で、あまたあるクラウドサービスも基本的には全部使える状態だということです。それだけに、セキュリティをどう考えるかが重要なのですが、このセキュリティ対策においては３つの課題があります。

１：認識の課題
２：人材の課題
３：導入の課題

１点目の「認識の課題」についてですが、自治体によって情報セキュリティ対策は情報システム部門のみに任せられていたり、目的自体が定まっていなかったりするため、結果として政府やベンダーに言われた通りにやる、ということになりかねません。また、セキュリティ対策に１００％を求めるといったことも起こり得ます。情報セキュリティにおいて完全はなく、リスクの許容範囲の議論をしなくてはいけないのです。

これに対し、磐梯町では日々色々な勉強会を実施して、各分野の第一人者を招聘し、オンラインなどで職員の教育を行いました。情報セキュリティに対する職員の意識は確実に高まっています。

ゼロトラストセキュリティで地域のための最適解を導き出す！

続いて「人材の課題」。セキュリティの青写真を描けるようなシステム責任者がいないとか、充て職CIOで代替しているなどで、スキルの面で事実上の人材不足に陥っているケースも見られます。たとえ外部の専門家がいたとしても、そのリソースを使いきれていない場合もあります。

そうした中で磐梯町は、デジタル変革戦略室という専門部署をつくっています。メンバーは１２人で、職員数１００人強に対してかなりの割合を占めています。この１２人の中でプロパーの職員は４人しかおらず、ほかは様々な人材があらゆるスキームにおいて関わるということになっています。“完全クラウド・完全リモート・完全ペーパーレス”という前提で、スキルをシェアリングするかたちで色々な人材に関わっていただくというものです。この仕組みのもと、OJT的に職員に育っていってもらっています。

そして最後の「導入の課題」。青写真をつくり、人が揃ったとしても、まだある程度ベンダーに関わってもらうことが必要です。しかしベンダー側にとっては、これまで自分たちが提示した仕様に合わせてくれる自治体がほとんどだった、というのが実情。「ゼロトラストセキュリティでこう構築したい」と仕様まで書いても、あまり理解していただけないといったこともあります。まずは自分たちをレベルアップして、良きパートナーとしてのベンダーを見つけ、ともに進んでいける関係をつくっていくことが必要です。

ほかにも上図のような様々な取り組みをしていますが、こうしたチャレンジができるのは、トップが許容してくれているからです。磐梯町の佐藤町長は次のような考え方をしています。

「アナログとデジタルは手段の選択肢にすぎない。場面場面で使い分けをしながら、一番いいかたちの中身にしていけば良い」

つまりアナログとデジタルは二者択一ではない、結果として一番いい流れになるようにすればいい、ということです。そして、常にその目線の先には住民や職員がいます。先ほどの、多要素認証の話についても、それぞれに合った認証手段を選ばせるというのが素晴らしいと思います。まさにそういう視点に立ちながら、ユーザーにとってどうあるべきかをミッション・ビジョン・戦略戦術レベルから考え、システムとセキュリティに関しても取り組みを進め、戦術としてゼロトラストセキュリティを来年度に向けて完全実装していくというのが、今の磐梯町の取り組みです。

1. TOP
2. 【セミナーレポート】ゼロトラスト”で安全にクラウドを活用し業務効率化とセキュリティ強化を両立する！