1. トップ
  2. コラム
  3. IT SECURITY ANNEX
  4. 自治体情報セキュリティーの見直しポイント、おすすめ構成を完全解説!

自治体情報セキュリティーの見直しポイント、おすすめ構成を完全解説!

  • お役立ち情報

2021年07月01日

  • セミナーレポート

ユニアデックスは2021年4月27日と5月12日の両日に、ヴイエムウェアと共催でオンラインセミナー「自治体情報セキュリティーの見直しポイント、おすすめ構成を完全解説!」を開催しました。セミナーでは、2020年12月に総務省が改訂した「地方公共団体における情報セキュリティポリシーに関するガイドライン」の概要と、課題となるポイントを事例も交えながら解説し、併せて、今回の改定で注目されているエンドポイント・セキュリティーの一つ「EDR(Endpoint Detection and Response)」とは何か、なぜ必要とされているのかを説明しました。本記事は、セミナーの内容を要約したものになります。

Session1 総務省が情報セキュリティーポリシーのガイドラインを改定 これに対応するためのポイントとは?

ユニアデックス株式会社 松下 勉

Session2 20年以上のテレワーク経験者がハッピーなテレワークで生産性と従業員満足度を向上させるための秘訣を伝授

ユニアデックス株式会社 高橋 優亮

Session3 端末をインターネットに接続する「βパターン」に必要不可欠なセキュリティー対策を解説

ヴイエムウェア株式会社 岡山 厚太氏

Session1
総務省が情報セキュリティーポリシーのガイドラインを改定 これに対応するためのポイントとは?

「3層の対策」の見直しが必須に

ユニアデックス株式会社
エクセレントサービス第一本部
アカウントサービス第一統括部
システムサービス三部二課
グループマネージャー 松下 勉

総務省は2020年12月28日、「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改定版を公表した。2015年の年金機構の情報漏洩を受けて、多くの自治体は2016年~2017年にセキュリティー対策を強化している。その一方でユーザビリティーの低下や新しい時代への適用(クラウド・バイ・デフォルト、行政手続きのオンライン化、リモートワークへの対応など)といった新たな課題も浮上している。ユニアデックスの松下は、改定版の意義を「新たな課題へ対応するためです」と説明する。

同省が2020年5月に公表した「自治体情報セキュリティ対策の見直しのポイント」では、(1)「3層の対策」の見直し、(2)次期自治体情報セキュリティークラウド、(3)昨今の重大インシデントを踏まえた対策強化、(4)各自治体の情報セキュリティー体制・インシデント即応体制の強化——の4つを掲げている。今回のセミナーは、(1)の「3層の対策」の見直しにフォーカスを当てたものだ。

「3層」とは「個人番号利用系」「LGWAN接続系」「インターネット接続系」の3種のネットワークのこと。

改定ガイドラインでは、(1)LGWAN接続系と個人番号利用事務系間でのデータ授受の改善、(2)業務効率性・利便性の向上を目的とした、業務端末のインターネット接続系への配置転換を可能に、(3)テレワークにおけるセキュリティー対策の方向性の提示——という3つの対策を打ち出している。これを実現するために、ガイドラインでは「αパターン」「βパターン」という大きく2種類のネットワーク構成を提示している。

ほとんどの自治体の既存環境では、この3層のネットワークが分断されている。分断された既存環境を踏襲するのがαパターンである。松下は「既存環境との違いは、LGWAN接続系から個人番号利用事務系に対して特定通信のデータ授受を可能にする点です」と説明する。

一方のβパターンは、業務端末と一部の業務システムをインターネット接続系に配置する構成になる。LGWAN接続系のシステムは画面転送などを利用する。これに加えて、改定ガイドラインでは「β'パターン」という構成も提示している。これは、LGWAN接続系の主要業務をインターネット接続系に移行する構成になる。この場合、業務システムへのアクセス制御を徹底することが必須となる。

さまざまな製品を組み合わせたソリューションを提供

「3層対策の見直し」を説明した後に、松下は実際に自治体を訪れて利用者から聞いた課題や不安を説明した。既存の3層分離環境では「インターネット接続系の仮想ブラウザは作業領域がないので不便」「系ごとにIDとパスワードがバラバラで不便」という声が上がったという。現在のコロナ禍では「テレワークができない」「仮想ブラウザーやリモートデスクトップ環境では、ウェブ会議のように多くのリソースを使うアプリが利用できない」という不満もあった。βパターンへの移行に向けては、システム構成が複雑になりそうなことへの不安やセキュリティー対策への不安の声が多かったという。

こうした課題や不安を解消するために、ユニアデックスはさまざまな製品を用意している。例えば、αパターン向けにはリモートデスクトップとVDI(仮想デスクトップ環境)のハイブリッド構成で、コストを抑えながらも柔軟にインターネットへアクセスできる環境を構築。セキュリティー対策では、ウイルス対策とマイクロセグメンテーションを連携させて、感染した端末を自動的に隔離するような仕組みも提供する。

βパターン向けでは、自宅でも庁内と同じように業務が行える環境を構築。インターネット端末と自宅利用端末の双方に高度なセキュリティー対策を講じる。LGWAN業務には、利便性を考慮したVDIを導入。さらに、クラウドサービスの活用を見据えたシステム構成を採用する。これらを実現するにはさまざまな製品を組み合わせる必要があるが、松下は「お客さまのニーズに合わせて、最適な製品を組み合わせてソリューション化して提供します」と語る。

実際、約4000人の職員が在籍する都内の自治体では、ユニアデックスが提案するソリューションを採用。ヴイエムウェアが開発したさまざまな仮想化環境を導入して、接続端末の統合化やセキュリティーレベルの統一、端末管理負荷の軽減、インターネット接続系の利便性向上などを実現している。松下は「構成パターンごとにさまざまな製品を組み合わせたソリューションで、自治体の皆さまを統合的に支援していきたいと考えています」と抱負を語った。

  • 本セッションはYouTubeコンテンツ
    新規タブで開く

    でもご覧いただけます。https://youtu.be/fCgmb6UNN7w
    新規タブで開く

Session2
20年以上のテレワーク経験者がハッピーなテレワークで生産性と従業員満足度を向上させるための秘訣を伝授

20年以上のテレワークで、その表も裏も知り尽くした、ユニアデックスのエバンジェリスト&IT漫談家 高橋優亮が、多彩な事例を交えつつ、テレワークで生産性も従業員満足度も向上させ、働く人も、お客さまも、みんながハッピーになるためのコツを全方位からお届けします。本セッションはYouTubeコンテンツにてお楽しみください。

https://youtu.be/fgMte6FZsiA 新規タブで開く

Session3
端末をインターネットに接続する「βパターン」に必要不可欠なセキュリティー対策を解説

βパターンでは従来型セキュリティー対策では不十分

ヴイエムウェア株式会社
テクニカルサービス統括本部
パートナー技術本部 パートナー第一SE部
シニアパートナーソリューションアーキテクト
岡山 厚太氏

総務省が2020年12月28日に公表した「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改訂版では「βパターン」と呼ぶネットワーク構成が新たに提示された。これは、業務端末と一部の業務システムをインターネット接続系に配置する構成で、LGWAN接続系のシステムはVDI(仮想デスクトップ環境)などの画面転送を活用する。

βパターンでは、端末がインターネットに接続されるため、外部のクラウドサービスやビデオ会議の利用が可能になる。テレワークに活用できるなど利便性が高くなる半面、高度なセキュリティー対策が求められることになる。ヴイエムウェアの岡山厚太氏氏は「高度化・複雑化するサイバー攻撃に対応するには既知のマルウエアの侵入を防ぐだけでは不十分です」と指摘する。ヴイエムウェアが2019年に実施した調査では、マルウエアの検体の90%が従来型セキュリティー対策をすり抜けているという。

攻撃者は常にセキュリティーシステムを回避して攻撃しようとするため、すり抜けが発生するのは実は当然のことなのである。そのため攻撃者の侵入後にサイバー攻撃を検知・検索するような仕組みが必要になるのだ。

これを実現するソリューションとして注目を集めているのが「EDR(Endpoint Detection & Response)」だ。EDRとは、エンドポイント(ネットワークの末端に接続された機器や端末)の上で実行されるアプリケーションの動作を収集し、検知や検索を実行することで、セキュリティーインシデントの深刻化を防ぐためのツールのことだ。攻撃者の侵入を前提としていることが大きな特徴で、侵入後に必要な「検知・検出」「トリアージ・調査」「復旧」「事故後の対応」などの機能を備えている。

未知の脅威を検知可能な「VMware Carbon Black」を提供

このEDRの機能を搭載したソリューションとしてヴイエムウェアが提供しているのが「VMware Carbon Black」である。Carbon Blackは、2段階でサイバー攻撃を検知する機能を備える。1つ目が、脅威量を低減する「NGAV(次世代型アンチウイルス)」。クラウドでの解析やAIベースの検知エンジンを用いることで、従来型では検知の難しいファイルレス攻撃を防御することも可能だ。

NGAVをすり抜けた攻撃に対処するのがEDRだ。マルウエアの操作や動作の記録・監視を行い、サイバー攻撃を発見次第、すぐに必要な対処を実行する。岡山氏は「サイバー攻撃を検知・対処した後も、被害にあった原因の調査や今後のセキュリティー対策に反映させる必要があるため、運用が重要なポイントになります」と指摘する。Carbon Blackでは、NGAVとEDRが一体となることで脅威対策を高度化し、検知から対処までの時間を最小化するサイクルを実現するという。

同氏は、セキュリティー対策を立案する際には「予防フェーズの徹底」と「検知から対処までの時間短縮」を考慮することが重要だと助言する。前者は、対処が必要な脅威量を極小化して余計なインシデントを起こさないことで、Carbon BlackのNGAVの機能が該当。後者は、検知から対処までを短縮することで漏洩リスクを最小化することで、EDRの機能が該当する。

同社はCarbon Blackのほかにも、デバイスや場所を問わず、シンプルかつセキュアにあらゆるアプリケーションへのアクセスと管理を可能にする端末管理ツール「VMware Workspace ONE」やアプリケーションおよびデスクトップの仮想化製品の「VMware Horizon」、ネットワーク仮想化製品「VMware NSX-T Data Center」など、自治体におけるネットワーク分離に有用なソリューションを提供中だ。岡山氏は「ユニアデックスとの協業で、自治体のお客さまを支援していきたいと考えています」と意気込みを語った。

IT SECURITY ANNEX

関連情報

関連コラム

超高速・多数同時接続の時代 クラウドセキュリティーはゼロトラストで考える
新型コロナウイルス感染症の拡大防止のため、産業界ではテレワークの推進が掲げられています。
クラウドファースト時代はゼロトラスト!ヴイエムウェアが描くSASEとは
VMware SASEは「Zero Trust」と「SASE(Secure Access Service Edge)」を実現するプラットフォームの名称で、Zero Trust/SASEの実現のために必要な機能のほとんどをヴイエムウェアのソリューションで構成しているところが注目点です。

お問い合わせ

お客さまの立場で考えた、
最適なソリューションをご提供いたします。
お気軽にお問い合わせください。

お問い合わせ
TOPに戻る