【セミナーレポート】自治体の情報政策の今がわかる！3日間 　2025 [Day3]～ジチタイワークス・スペシャルセミナー

概要

■タイトル：自治体の情報政策の今がわかる！3日間 2025[Day3]～ジチタイワークス・スペシャルセミナー
■実施日：2025年6月27日（金）
■参加対象：自治体職員
■開催形式：オンライン(Zoom)
■申込者数：236人
■プログラム：
　第1部：R6年度セキュリティポリシーガイドライン改定のポイント解説（東京都中央区）
　第2部：ガイドライン改定、セキュリティ対策の変化を読み解く(株式会社ソリトンシステムズ)
　第3部：南あわじ市におけるα’モデルへの移行について
　第4部：【徹底解説】「α´モデル」で必要となるインターネット・メール・ファイル・認証等のセキュリティ対策(デジタルアーツ株式会社)
　第5部：【対談】人材育成環境のための自由なシステム～長野県塩尻市の取り組み～(オザートリンク・KUコンサルティング)

R6年度セキュリティポリシーガイドライン改定のポイント解説

DAY3のトップバッターは、セキュリティポリシーガイドライン検討委員が登壇。令和6年度に2度行われた改定の読み解き方を解説しつつ、改定ガイドラインで職員が注目すべきポイントについてアドバイスしてくれた。

[講師]佐藤 淳 氏
東京都中央区企画部副参事
「地方公共団体における情報セキュリティポリシーに関する ガイドラインの改定等に係る検討会」検討委員

“1人1台端末”による効率化が注目すべきポイント。

東京都中央区企画部副参事の佐藤です。私からは、ガイドライン検討会構成員という立場も含め、表記のテーマに沿ってお伝えします。

まず、令和6年10月改定のポイントです。α´モデルでローカルブレイクアウトしてクラウドを活用できるリスクアセスメントが行われた点が1つ。そしてもう1つは、機密性分類基準の見直しです。機密性3が「自治体機密性」という名称に変わり、3A、3B、3Cという3区分に分かれました。

クラウドサービスの利用が増えていく中、取り扱うコンテンツの重要性を理解しながら使っていくことが重要で、各団体で検討・整理をしつつ、メッセージを明確に出していくことが大事だと思います。

また、昨年は「国・地方ネットワークの将来像および実現シナリオに関する検討会」の報告書が出されました。2030年には国と地方の行政サービスを柔軟かつ安定的に提供できるよう、基盤の共用化や、ネットワークの効率性向上、その上でセキュリティを確保しつつ1人1台のPCで効率的に業務ができ、テレワークなどの柔軟な働き方が可能、と書かれた1文がポイントです。

この報告書を踏まえ、令和6年度改定の主な検討項目ということで、1人1台端末化や、USBメモリ不可、あるいはマイナンバー利用事務系の無線LAN接続などが俎上に上がりました。あわせて、1人1台化するとLGWAN接続系のPCをマイナンバー利用事務系に接続する際に無線LANを使うことになるため、こうした点も検討のテーマになりました。

ちなみに、UCB不可というのは電磁的記録媒体一般を意味します。この問題については、令和7年度の検討会におけるテーマとして考えていくことになっています。これは現場の声を聞きながら進めようと総務省も考えていて、自治体にヒアリングや調査が行われた上でガイドラインに反映されていくものと思われます。

令和7年3月改定分で留意したいキーワードについて。

次に、令和7年3月の改定ポイントです。ここでは機器調達とインシデントの件についてお話しします。機器等の調達について、適合性評価を受けた製品を活用していきましょうという形になっています。JC-STARの適合ラベルで3以上を取得しているところはより評価が上がる、といった調達にかかる考え方の1つとして知っておくべきところです。

また、インシデントの対応については、近年サイバー被害が増えているという背景があります。何かが起きてからの対応では相当な時間がかかってしまうため、相談先事業者などにアタリをつけていた方がいい。そのためのサポーターをあらかじめリストアップしておく、あるいは協力を得られるようにしておく、などといった点に配慮した方が良いとうたわれています。ここについても自治体で情報収集しておくことが大事です。

マイナンバー利用事務系での画面転送に関して説明します。前提として、どのような対策を行っても攻撃を受ける可能性がある。対策をしたから安全だといった考え方をするのではなく、問題が起こることをあらかじめ留意しておかなければならない、ということです。今まではマイナンバー利用事務系を他セグメントから切り離すことで安全性を担保していたが、画面転送技術を利用したとしても通信が通ることを前提にして考えなければなりません。

ただ、一律にこの方法が良いとは示されておらず、各団体の状況に応じて利便性とコスト、リスク、セキュリティ対策などを総合的に勘案して、画面転送方式を選定してほしいとされています。こうした点にご留意ください。

前提については、必要十分なリスク分析を行って、庁内の合意形成を行うことが非常に大事です。技術的な面では、物理PCの機能を使わないなど業務運用を見直すことが求められます。実際、端末の機能を使えば使うほどそこが穴になりやすくなるからです。端末が仮想化しただけ、と考えずに、ハードコピーをとっているとか、クリップボードでデータを転記しているなど、そのあたりの運用見直しを進める必要があります。

他に留意すべき点として、標準化とガバクラ移行の動きが進んでいるかと思いますが、OCI以外のものではデータアウトで従量課金されます。単位としては小さいのですが、数が多ければプラスのコストが必要。このあたりのコストアンドベネフィットの検討もしておくことが大切です。

最後に、無線LAN利用については、マイナンバー利用事務系で利用する場合、個人情報保護委員会が定めたガイドラインをしっかり確認する必要があります。上記は、ガイドラインに記載されている内容をマイナンバー系とLGWAN系の無線LAN利用で比較したものです。この違いを整理して確認できる方法を確立しておけば、両方とも可能ということになります。組織的な対策、物理的な対策は、同ガイドラインの中で求められているので、合わせて確認しておきましょう。

ガイドライン改定、セキュリティ対策の変化を読み解く

第2部では、ネットワークセキュリティがテーマ。自治体で900以上の導入実績を持つベンダーの担当者から、改定ガイドラインに沿ったセキュリティ構築における注意点などを解説してもらった。

[講師]小國  淳一 氏
株式会社ソリトンシステムズ
パブリックビジネス戦略本部 部長

示された8通りの通信経路と、プロが推奨する選択肢。

当社は国産のセキュリティベンダーです。数々の認証を軸としたセキュリティ製品を自社開発しております。弊社のソリューションが、今回のガイドライン改定とどうひも付くのか説明します。ガイドライン改定の大きなポイントは、マイナンバー系へ他セグメントからのアクセスが許可されたという点と、無線LAN利用がマイナンバー系で許可された点です。今後は端末の一台化を進め業務効率化を加速させる、そのかじ切りが始まったと考えられます。

マイナンバー系に他セグメントからアクセスする場合、実際に示された通信経路のパターンは8通りあります。「´」があるので実際には10通りですが、1から4についてはDaaSの利用です。ただし、自治体で検討するのは難しい部分があると思われます。従量課金のためにコストの問題がある、セキュリティクラウドとの調整が発生するなど、ハードルが高いからです。また、5と6はオンプレの画面転送ですが、こちらもコスト面がネックになってくると思われます。

そして今回新たに追加されたのがセキュアブラウザ方式です。この方式にフォーカスして、ソリューションを紹介します。

αモデルの自治体では、上図1、2、5、7の中から選択していくことになるでしょう。ここで当社としては、セキュアブラウザが現実解になると考えています。端末一台化を実現するにあたっては、必須となる技術的対策を網羅して、情報漏えいにつながる懸念を今まで以上に防がなければなりません。当社のソリューションは該当箇所の必須となる技術的対策をクリアできます。もちろんβモデルでも対策を網羅することが可能です。

このセキュアブラウザで提案したい製品は2つあります。セキュアコンテナ方式と、セキュアブラウザ方式で、通常の画面転送方式とは異なり、端末の中で仮想化をするという製品群です。前者は隔離領域を端末の中に展開して、そこでセキュアブラウザやリモートデスクトップなどを稼動させる、後者は隔離領域でセキュアブラウザだけを稼動させるという2パターンがあります。

上記は当社のSoliton SecureWorkspaceと、オンプレのVDIとの比較表です。一番大きいのはコストを圧縮できる点です。製品について簡単に紹介すると、端末にSoliton SecureWorkspaceをインストール、実行すると、隔離領域を展開します。この領域に実際に動作させたいアプリケーションを登録し、この中でアプリケーションを稼働させます。稼働させるためには専用ゲートウェイとつなぐ必要があり、その際に多要素認証を行う事が可能です。隔離領域の中からデータをローカルに保存することはできない仕様になっています。

もう1つがSoliton SecureBrowserで、隔離領域内でセキュアブラウザを起動して専用ゲートウェイと接続し、インターネットを閲覧したり、ブラウザで業務を行うことが可能です。ブラウザで行った業務や、インターネットで閲覧したデータやファイルもローカルには保存できません。以下はαモデルでの構成例です。

また、マイナンバー利用事務系の端末にRDP接続をしてログインする場合は多要素認証を行うことが必須となっているので、当社ではSmartOn IDという多要素認証のログオンシステムも用意しております。ICカードや顔といった認証要素を利用することが可能です。

無線LANの活用と、α´実現に関するアドバイス。

次はマイナンバー系での無線LAN利用についてご説明します。LGWAN接続系やインターネット接続系ですでに無線LANを利用している自治体も多いかと思いますが、技術的対策に関しては基本的にLGWAN接続系と同じで、802.1Xの証明書認証が必要ということが記載されています。

当社では、NetAttest EPSという電子証明書を利用した認証サーバーを準備しており、無線LANの認証に利用が可能です。2002年から提供を続けている製品で、自治体にも多数の導入実績がございますので安心してご利用いただけます。

最後に、α´モデルの実現について説明します。α´モデルの利用において考慮しなければならない点がいくつかありますが、全てのモデルに対して考慮しなければならない点は下記の通りです。

更に接続先の認証も求められるのですが、我々は接続元の認証も必要なのではないかと考えています。当社のOneGateというクラウドの認証基盤サービスであれば、接続する端末に対して多要素認証を実施することが可能です。クラウドを利用される場合にご検討いただければと思います。もちろんISMAPサービスリストにも登録済みです。

当社の製品群は、自治体において900団体以上で導入いただいております。国産のセキュリティベンダーとして、これまで以上にお客さまのセキュリティ要件に対応していく所存です。要望などあればぜひお声かけください。

南あわじ市におけるα’モデルへの移行について

令和6年に登場したα´モデル。今後の導入を検討する自治体が多い中、同モデルへの移行を進めている南あわじ市の職員が、移行決定までの経緯と、同モデルを採用するメリット・デメリットなどを共有した。

[講師]小松 律子 氏
南あわじ市 情報課

ハード・ソフトの更新に合わせて進めた各モデルの検討。

本パートでは、αモデルからα´モデルへ移行するまでの背景、構成、今後のことなどについてお伝えします。まず、α´モデルに移行するまでの道のりです。当市では平成29年度に三層分離モデルを導入し、業務端末をLGWAN接続系に配置するαモデルを採用しました。令和3年度には強靭化システム類を更改し、現在は仮想ブラウザ方式でインターネットにアクセスしています。それに加えペーパーレス化のため管理職のPCを中心に、一部PCをWiFi接続できるよう整備しています。αモデルの構成図は下図の通りです。

α´モデルを検討するきっかけとなった課題はいくつかあったのですが、最も大きかったのが、MS Officeの問題でした。業務用PCの老朽化や、Windows 10のサポート終了が迫っていることもあり、業務用PCの更新を決定。Officeもサポート終了が迫っているため更新を検討しましたが、買い切り型の価格が高騰し、サポート期間も短期間になったことで、買い切りで更新すべきか悩みました。

一方、M365を導入するにもαモデルのままでは困難です。J-LISのLGWAN経由でライセンス認証できるサービスも検討しましたが、うまくいかずに断念。これがきっかけでOfficeを使用する業務端末からインターネットにアクセスできるβ、β´、α´モデルへの移行検討を開始しました。

まずはβ、β´モデルから検討。メリットはあるのですが、エンドポイント対策などの新たなセキュリティ対策が必要になるなど、追加コストが必要です。他にも、αモデルに慣れてきたのに新モデルに移行する点や、外部監査への対応など、職員への負担も大きくなります。これらのデメリットを鑑み、踏み切れない状況でした。

次にα´モデルを検討。αモデルから大きな構成変更がないため、運用面での職員の負担も少なく、移行コストもβ、β´と比べると安価な点がメリットです。デメリットとしては、利用できるサービスが制限されることが挙げられます。これらを比較検討した結果、α´モデルを採用することに決定。合わせて今後の利用拡大も想定し、クラウド型の認証システムを導入することにしました。

これにより、増え続けていたアカウント管理の問題も解決でき、システム運用も効率化できます。さらに複数のシステムを導入・運用していたコストも削減し、移行コストを圧縮することも実現しました。上図は、こうした課題の整理から構成の検討、意思決定を行うまでのスケジュールです。

α´モデルの採用メリットと、移行における苦労について。

それではここから、実際に当市が導入したα´モデルの構成について紹介します。まず当市のα´モデルの構成図は下記の通りです。

LGWAN系から特定のクラウドサービスへの接続のみを可能にする機能として、クラウド型UTMを選定しました。クラウドサービスは、現時点でM365と認証システムを利用しています。その他の構成はαモデルから大きく変更しておらず、クラウドサービスへの通信は庁内プロキシからクラウド型UTMを経由して行っています。

現在は移行作業の最中ですが、これまでを振り返って、良かったことや苦労した点について紹介します。まず良かったこととして、ネットワーク形態の大幅な変更を伴わなかったため、職員への影響が少なかったという点があります。認証システムの変更は発生しますが、PC更新にうまく合わせることができたと考えています。また、クラウドサービスを利用したため機器などの調達が発生せず、構築期間を短縮できた点も大きいです。3カ月程度で構築を完了することができました。

次に、苦労した点は、αモデルやα´モデルの仕組み、クラウドサービスの仕組みなどを庁内上層部や財政部局に理解してもらうことでした。これは重大な取り組みなので、移行する目的やセキュリティ面、運用面、今後の展望などを様々な視点から丁寧に説明しました。また、M365の管理画面の理解や設定にも苦心しました。こちらは構築ベンダーにも協力してもらいながら、手探りで進めていきました。

最後に、テスト移行の段階における移行効果について。まず、M365のライセンス認証がスムーズにできるようになりました。また、アカウント管理も集約できています。不要なアカウントが残らないためセキュリティ面でも効果があったと考えています。そして、認証システムも集約できました。職員側もシングルサインオンで複数のIDやパスワードを覚える必要がなくなるなど、運用面の利便性が向上しています。

今後も、M365をさらに活用しつつ、初期投入費用が少なく、いつでもやめられるというクラウドサービスのメリットを利用して、セキュリティ条件に合致するクラウドサービスも積極的に検討していきたいと考えています。

【徹底解説】「α´モデル」で必要となるインターネット・メール・ファイル・認証等のセキュリティ対策

α´モデルにおけるローカルブレイクアウトは安全なのか。第4部ではこうした疑問に専門事業者が回答。自治体のインシデント事例を挙げつつ、独自のソリューションを活用したセキュリティ構築について解説する。

[講師]伊藤 啓太 氏
デジタルアーツ株式会社
マーケティング本部 プロダクトマーケティング3部

自治体ネットワークにおける3つのインシデント事例。

当社は、セキュリティソフトウェア、クラウドサービスの企画・開発・販売を一貫して行っている、創業約30年の国産メーカーです。主な製品は以下のようなラインアップとなっています。

このパートでは、こうしたサービスを提供する中で得た知見、ノウハウをもとに、α´モデルではどのようなセキュリティ対策が必要になるのかについて紹介します。α´モデルでは、LGWAN接続系からローカルブレイクアウトし、特定のクラウドサービスにつながります。この新しい構成によって便利になる一方、下記のようなセキュリティリスクが発生することが考えられます。

こうした新しいリスクについて、過去に自治体で発生した事例を具体的に紹介します。1つ目は「アカウント乗っ取り」です。職員が個人端末に業務資料や職員名簿、関係団体の情報などを許可なく撮影して保存していました。また、それらの内部データは個人で契約していたクラウドサービスと同期されていました。この職員がフィッシング詐欺の被害に遭ってしまったことで、個人で契約していたクラウドサービスのアカウントが乗っ取られてしまい、結果として約500件の個人情報が流出しました。

2つ目は「外部からの攻撃」です。県の電子申請サービスのヘルプデスク業務で利用しているPCがマルウェアに感染。この影響で、ヘルプデスク宛てにメールで問い合わせを受けた2300件以上の個人情報が漏えいした可能性があるとされています。県は漏えいした可能性がある対象者に謝罪し、不審なメールを開かないよう注意喚起をしました。

3つ目は「内部からの漏えい」です。市の支援センターで、Excelに個人情報が含まれるシートが残されていることに気づかず、当該ファイルをメールに添付送信してしまいました。これにより、41名分の個人情報が第三者から閲覧できる状態になってしまい、職員はメール削除依頼の対応に追われてしまいました。

こうしたインシデントは、今後のα´モデル移行で発生リスクが高まる可能性があると考えられており、自治体にできる対応としては上記のようなものが挙げられます。これらについては、当社のソリューション群での対策が可能です。

強固なセキュリティを築くための各ソリューション紹介。

下図は当社製品を利用した対策のイメージです。これらはISMAP登録で安全性が保証されています。以下、それぞれの利用シーンと合わせて簡単に紹介します。

まずWEBセキュリティとメールセキュリティです。「i-FILTER」と「m-FILTER」は、セキュリティを意識することなく、安全なWEBサイトへのアクセス、安全なメールのみを受信することができる製品。2025年3月末時点で、「i-FILTER」、「m-FILTER」ユーザーからのマルウェア感染報告は皆無です。

「i-FILTER」にはWEBサービス制御機能があり、職員がα´モデルでLGWAN接続系から無関係なサービスにアクセスすること自体を制御することが可能。また、「m-FILTER」では柔軟なルール設定により、送信ディレイや上長承認、強制Bcc化送信、ドメイン制御などの誤送信対策をすることができます。

次にファイルセキュリティ。「FinalCode」は、各系統で保持する重要情報を電子政府推奨の暗号化方式で堅牢に守ることができます。ファイルごとに正しい閲覧権限や操作権限を付与することも可能です。万が一、外部に重要情報が流出してしまった場合も、「FinalCode」で暗号化されているので中身は流出しない仕様になっています。

次にIDaaS製品の「StartIn」です。シングルサインオン、ID管理の「StartIn」では、α´モデルで新たに発生するアカウント乗っ取りなどのリスクに対応可能。ID、パスワードなどに加え、位置情報や第三者認証など独自の認証方式で、クラウドサービスの安全な認証を実現します。

追加情報として、当社では安全に業務効率化を実現できるクラウドサービスも用意しています。コミュニケーションツールの「Desk」は、多機能なチャットと、安全かつシンプルなオンライン会議を提供し、場所を問わずコミュニケーションを円滑にします。また、データ保護、ファイル転送の「f-FILTER」は、独自のファイルチェック機能によって安全なファイル転送を実現します。ファイル管理機能で転送後もファイルの安全性を確保することが可能です。

これらのソリューションは、多くの自治体で導入いただいています。公式YouTubeでは製品紹介動画や製品マニュアルも公開しているので、「デジタルアーツ」で検索してチェックいただければ幸いです。

【対談】人材育成環境のための自由なシステム～長野県塩尻市の取り組み～

セミナーの最後は、元塩尻市のCDOが独自の取り組みを紹介。DAY1・DAY2に続きKUコンサルティングの高橋さんも登壇し、同市職員のデジタルに対する意識醸成などについて意見を交わし合った。

[講師]小澤 光興 氏
合同会社ozatolink（オザートリンク）
信州大学 情報・DX推進機構 DX推進センター 特任准教授
元塩尻市CDO

 

[講師]高橋 邦夫 氏
合同会社KUコンサルティング 代表社員

イノベーションを求める中で出会った“公共的遊び場”とは。

高橋：KUコンサルティングの高橋です。ここでは、元塩尻市のCDO・小澤さんから、表記のテーマに沿って同市で行った取り組みを紹介いただき、その後は対談に入ります。小澤さん、発表をお願いします。

小澤：元塩尻市のCDOで、オザートリンク代表の小澤です。長野県塩尻市の取り組みを中心にお伝えします。まず、自治体の組織は計画主義という形になっていて、例えば総合計画や情報化計画などが組織で決定されています。そのため、組織内での自由な試行錯誤を制限してしまう。そのためのイノベーションが生まれてこない環境になっています。

やはり自由な試行錯誤ができる環境を用意していないと、なかなかアイデアの創出はできませんし、禁止事項が多い環境なので、柔軟性が欠如してチャンスを逃してしまいがちです。試行錯誤ができないと、前例踏襲型になってしまいます。また、失敗は学びも生むので失敗することも大切です。色々なメンバーが自由にアイデアを出していくことで、結果的にはイノベーションが生まれる。それができる環境の整備が必要になってきます。実際に組織として具体的な取り組みを行うことで、自由にアイデアを表現できる場をつくる必要があるのです。

こうした目的を持つのが“公共的遊び場”で、IPAの登さんはこれこそが必要だと提唱しています。これには自由にやれる環境を持っている自治体や大学が連携することが必要であり、積極的な自治体と一緒にこうした動きを推進しているところです。これらを踏まえて、塩尻市が今まで行ってきた取り組みを紹介します。

塩尻市では、インターネットの公共性という観点から、「塩尻インターネット接続サービス」というものを構築しています。当時、インターネット接続サービスを民間企業がやると約5億円かかるというところを、民間企業や大学の力も借りて、5千万円で構築しました。これは主に市民向けのサービスだったのですが、せっかく作ったので庁内でも使えるようにしました。資源の活用です。

また、インターネット接続サービスを実現するために、塩尻市がJPNICやJPRSへの登録を行って、IPアドレスの配布やドメインの割り当てなどを民間企業向けに実施できる指定事業者になっています。非営利の通信事業者という自治体は、おそらく他にないかと思われます。ここでは、属人化を防ぐためにも技術と知識と意識の継承が不可欠です。

また、市役所の財源をできるだけ使わないよう、実証事業や補助事業も活用し、同時にそこで使われる先端技術を導入しているのもポイントです。

塩尻インターネットがスタートしてから29年。今も変わらず挑戦するマインドを維持しており、職員に受け継がれています。また、新たな人材育成や環境構築も実施しており、こうした先進性を維持しているのが同市の取り組みです。

【対談】人を育てることが自治体におけるチャレンジの基礎になる。

高橋：小澤さんありがとうございました。お聞きしたところによると、この春役職定年されて、信州大学に行かれたとか。小澤：1年間派遣で、信州大学のDX推進機構というところにいました。「自由なシステム」自体は別件で登さんと出会う機会があったので、そこから始まったのですが、つないでくれたのは信大の元学生で、今はデジ庁に就職している方です。

高橋：こうした取り組みでは、「意識」というものがすごく大事だと思いますが、どのように継承しましたか。小澤：我々はサービスを提供する側の人間なので、誰がお客さまなのかをきちんと伝えるようにしました。我々のお客さまはまずは職員。職員にサービスを提供することで、その結果として市民にサービスを提供している、ということです。漫然とシステムの運営をするのではなく、職員が自らのサービスを向上させていくことに資するという気持ちを持たせるよう工夫しました。

高橋：国と地方のネットワークのあり方検討会にも出てきた「自由なシステム」が、これからますます必要になる。小澤さんとしては、必要性は感じますか。小澤：はい。今はほとんどが民間からの提案で進んでいるので、職員の資質が上がっていないと感じています。そこを上げていくにはある程度チャレンジングなことをやってみて、本番環境ではないから自由に実験できるという環境が必要だと思います。

高橋：小澤さんが心がけてきた、情シスの人材育成とは。小澤：まず「やりたい」という気持ちがある職員で、かつ他の人とうまく関われる職員を人事課にお願いしてきました。DXができる職員だからといって入れると、後でうまくいかないこともあります。素養と伸びしろの両方が大事です。

高橋：ありがとうございました。やる気がある職員をいかに見つけて、その人たちをいかに伸ばすのかがヒントになると思いました。今後、現場の自由度は減っていくのかもしれませんが、それでも人を育てていかなければならない。2030年に向けて時間はまだあるので、人材育成について皆さんと一緒に考えていければと思います。

お問い合わせ

ジチタイワークス　セミナー運営事務局
TEL：092-716-1480
E-mail：seminar@jichitai.works