ホーム > PC-Webzineアーカイブ > 徳島県庁はアプリケーション仮想化を採用してインターネット分離環境を構築

徳島県庁はアプリケーション仮想化を採用してインターネット分離環境を構築

徳島県庁はアプリケーション仮想化を採用してインターネット分離環境を構築

2017年02月02日更新

cross セキュリティ×仮想化

アプリケーション仮想化の採用でインターネット分離環境を構築
〜徳島県庁が総務省の「情報セキュリティ対策の抜本的強化」に対応〜

2016年1月からマイナンバー制度が稼働し、2017年7月からは情報連携がスタートする。国と地方で特定の個人情報がやり取りされるようになる中で、1カ所でも情報セキュリティレベルの低い自治体があるとすべての自治体が危機にさらされてしまう。徳島県は、総務省の指針に対応し、Webブラウザーなどアプリケーションを仮想化することで、県庁LAN(マイナンバー・LGWAN)へのアクセスとインターネットへのアクセスを分離する環境の構築を目指すことにした。現状と課題を追ってみた。

情報セキュリティ対策の抜本的強化として マイナンバー関連を扱うシステムを分離する

官民を問わず情報流出の被害が相次いでいるいま、自治体の業務や機能が停止・低下すると、住民生活や社会・経済活動に多大な影響を与えることになる。総務省はマイナンバー制度の施行を控えた2015年7月、地方公共団体における情報セキュリティに関わる対策検討のため「自治体情報セキュリティ対策検討チーム」を設置。2016年11月には、緊急時の対応体制やシステム・ネットワークの点検などについての「新たな自治体情報セキュリティ対策の抜本的強化に向けて」を公表した。


総務省の情報セキュリティ対策の抜本的強化の指針では、


①「標的型攻撃に係るインシデント初動マニュアル」の策定
②インシデント発生時における内閣サイバーセキュリティセンターまでの連絡ルートの再構築(多重化)
③自治体の緊急時対応計画の見直しと訓練の徹底
④インシデント情報の共有や情報セキュリティ専門人材のノウハウを自治体の対策に生かす仕組み「自治体情報セキュリティ支援プラットフォーム」の構築を行った


と報告されている。


マイナンバーを安全に利用するために最も効果的なのは、マイナンバーとインターネットの利用環境を完全に分離することだ。両者がつながっていなければ攻撃を受けることもない。ただ、ネットワークの分離という考え方は自治体や金融機関以外には国内では浸透しておらず、今回の取り組みは民間企業の先を行くものだという。


マイナンバー制度の開始に合わせて、すでにすべての地方公共団体がインターネットと既存住基システムとの分離を完了している。抜本的強化では、情報提供ネットワークシステムの稼働を見据えて、


①マイナンバー利用事務(既存住基、税、社会保障などは、他の領域との通信ができないようにする
②財務会計などLGWANを利用する業務用システムとWeb閲覧・インターネットメールなどの通信経路を分割する


ことを求めている。

アプリケーション仮想化の採用は 膨大なユーザー数とコスト削減に対応

「徳島県では数年前から、経済性に優れ、信頼性と安定性の高い情報通信基盤の整備を目指してさまざまな施策を検討。庁内クラウドで使ってきたインフラ基盤があったので、基盤を有効に使うような形でインターネットの分離の作業を進めてきました。いわゆる、ブラウザーだけを仮想化して使うという感じです。約4,000人の職員が強固なセキュリティと高い生産性を両立した環境で業務を実施できるようになっています」と、徳島県の取り組みを説明するのは、徳島県 経営戦略部情報戦略課 情報セキュリティ担当室長の山住健治氏だ。


すでに、ヴイエムウェアの総合ソリューション「VMware vCloud Suite」などの製品を用いて、災害時にも県行政を停滞させないプライベートクラウド環境を構築。さらに在宅勤務やサテライトオフィスでの業務を実現するため、デスクトップ仮想化ソリューション「VMware Horizon」やエンタープライズモビリティ管理プラットフォーム「VMware AirWatch」も導入。モバイルワークやテレワークのシステム(VDI環境)も、県庁クラウドの仮想基盤の中に組み込む形で進めてきた。今後、さらに在宅勤務やサテライトオフィスのニーズが高まると思われるので、人事部門ではさらに拡充しようと力を入れているという。


今回の新たな自治体情報セキュリティ対策の抜本的強化のためのインターネット接続環境隔離にあたっては、ネットワークと端末の二重化や仮想デスクトップ、仮想アプリケーションなどの仮想化技術などいくつかの方法を検討した。その結果、サーバーやストレージのリソースを効率的に使用できる「アプリケーション仮想化」を採用することにした。いくつかの業者に提案してもらったが、ヴイエムウェアの製品が予算面、性能面での要求を満たしていたという。では、アプリケーション仮想化とはどのような考え方なのか。山住氏が説明する。


「仮想デスクトップは、一つの仮想PCの中に仮想環境を丸々作るので、仮想マシンを一つ作るごとにアプリが1台分必要になります。アプリケーションの仮想化は、Windowsサーバーの中にリモートデスクトップの形で入っていくことになるので、一つのサーバーで100人なり200人が共有してアプリケーションを使うことになります。これを仮想デスクトップで行おうとすると何倍ものリソースが必要になりますが、アプリケーションの仮想化ならば明らかにコスト削減につながります」

市町村のインターネットの出入り口を集約する 自治体情報セキュリティクラウドを構築

総務省の抜本的強化の指針では、「自治体情報セキュリティクラウド」の構築にも言及している。


従来、自治体の情報セキュリティ対策は個々の判断に任せられてきたが、対策レベルには大きな差が生じている。そこで、都道府県と市区町村が協力して「自治体情報セキュリティクラウド」を構築し、市区町村のインターネットへの出入口を一つに集約し、高度な情報セキュリティ対策を講じようというものだ。


「徳島県でもセキュリティクラウドの構築が進んでおり、我が県も3月から参加する予定です。徳島県下の市町村と県とがインターネットの出入口を一本化してしまい、1カ所でメールやインターネット上からくる脅威を一度に集めて監視していく。自治体ごとにやるとセキュリティレベルにばらつきが発生し、その分コストもかかるので、各都道府県でまとめて一括して行おうというのがセキュリティクラウドの考え方です。全市町村のセキュリティレベルを同じレベルに引き上げるということですから、目的と効果は大きいものがあると思います」(山住氏)


セキュリティ強化の新局面に入った現在、明らかになってきた問題点、課題などはないのだろうか。山住氏は、稼働してわかってきたことがいくつかあるという。


「徳島県では、インターネットの分離をアプリケーションの仮想化で行いましたが、それでは仕事ができないという部分がかなり出てきました。いま、あらゆるサービスがインターネットに接続することを前提に考えられています。例えば、国が進めている地方創生のために、『リーサス』という地域経済分析システムが公開され、地方自治体も使えるようになっています。ところが、仮想アプリケーションではアクセスできない。専用のクライアントソフトが端末に入っていないとだめだということがわかったのです。VPNを使って接続しているところも仮想アプリケーションではアクセスできず、専用の端末を準備しなければいけない。そういうことが、実際にやってみてからぽろぽろ出てきている。後手にはなりますが、来年度から、その対策を一つ一つ打っていかなければならないと考えています」

キーワードから記事を探す