J-LIS2022 シーイーシー出展レポートVol.1 ~ガバメントクラウドを見据えた「自治体DXの推進とセキュリティ対策」~
地方自治情報化推進フェア2022 出展レポートVol.1
2022年11月1日~2日、幕張メッセで「地方自治情報化推進フェア2022」が開催されました。『「いつでも、どこでも」から「誰でも」の世界へ』をテーマに、自治体DXを推進するソリューション展示や有識者セミナーが行われ、地方公共団体の関係者を中心に、大勢の人々が訪れました。
本記事では、ガバメントクラウド移行を見据えた「自治体DXの推進とセキュリティ対策」を、元京都府CIO兼CISO 情報政策統括監の原田智氏が解説したベンダープレゼンテーションの様子と、シーイーシーのセキュリティに関するブース展示をレポートします。
元京都府 CIO兼CISO 情報政策統括監 原田氏が解説!自治体DXの推進とセキュリティ対策
地方自治体の基幹業務システム標準化に向けて、政府の共通クラウド基盤「ガバメントクラウド」をめぐる動きが活発化しています。2023年度からの本格移行期を前に、自治体はどのような備えをすればよいのでしょうか?
11月2日のベンダープレゼンテーションでは、元京都府CIO兼CISO 情報政策統括監の原田智氏をお招きし、京都府内の市町村の業務システム共同化を実現されたご自身の経験も踏まえながら「自治体DXの推進とセキュリティ対策」についてご講演いただきました。
自治体DXとシステム標準化の現状
生産年齢人口が減少し、自治体でも望む人材の確保が困難になる一方、住民の行政サービスへの期待値は高止まりしています。今後は「誰がやっても高い生産性を確保できるような仕事のやり方に変えていくことが必要です」と原田氏。そのためのシステム標準化であり、DX実現だと話します。
デジタル庁の「地方公共団体情報システム標準化基本方針」には、2025年度までにガバメントクラウドを活用した標準準拠システムへの移行を目指すことが明記されています。2022年9月には、ガバメントクラウド先行事業の検証状況が中間発表されました。
中間発表では、現行システムの利用形態によって、コスト削減効果の差が生じています。単独でデータセンターを利用している自治体では削減効果が大きく、京都府笠置町のように、すでに国の取り組みに先行してシステム共同化を実現していた自治体ではコスト増となっています。原田氏は、今後のさらなる検討に期待を寄せました。
今後、システム標準化にはどのような課題があるのでしょうか。原田氏は、その代表例として「予算化」に言及。自治体では予算審議が通らないと着手できませんが、ベンダーが2025年度までの3年分の費用を見積もるのは難しいのが現状です。「思いきり高額か、条件を盛り込んだ見積書になりかねません」(原田氏)。
その理由として挙げられるのが、ベンダー側の不安要因の多さです。仕様の自由度が高すぎること、要件が追加される“後出しジャンケン”を警戒せざるを得ないこと、働き方改革の影響で、ベンダーが要員を確保しづらくなっていることから、見積もりの提示が困難になっています。今後クラウド化が進むと、自治体システム市場全体の先細りが懸念されるため、“将来的な利益を見込んでとにかく受託する”という形も現実的ではありません。
「最大の問題となるのが損害賠償です。特に、データ移行では、現行システムで整備できずに放置されていた古いデータが復活して悪影響を及ぼすことがあり、損害賠償に発展する例も多くあります。そうした点も含めて、ベンダーによっては厳しい見積もり対応になります」(原田氏)。
見積もりが提示されなければ来年度からの事業化ができず、一方で高額な見積もりが提示されれば財源問題が浮上する恐れがあります。「おそらくデジタル庁にてなんらかの対応がされると思いますが、かなり難しい局面になる可能性があります」(原田氏)。
他にも、経済安全保障や離島・山間地のネットワーク環境整備など、課題は山積しています。原田氏は「これから年末に向けてかなり動きがあると思います。皆さんも大変だと思いますが、状況をよくウォッチして対応する必要があります」と会場に語りかけました
自治体業務に潜むセキュリティリスク
講演後半のテーマは「セキュリティ」です。自治体を取り巻くセキュリティの現状はどのようになっているのでしょうか。
原田氏は、ランサムウェアの増加を指摘。データを暗号化して身代金を要求する従来型だけでなく、詐取データの外部公開を引き換えに身代金を要求する二重恐喝型・暴露型も登場しています。これまでの標的型攻撃からVPN(Virtual Private Network)へと、侵入経路も移っています。
「自治体も狙われています」と原田氏。2019年5月、米国ボルチモア市役所では、多数のコンピューターがランサムウェアに感染し、市役所業務が約1カ月停止しました。日本国内でも、2021年から2022年にかけて、委託先、外郭団体、学校での被害が相次いで発表され、ターゲットが徐々に自治体に近づいています。
具体的に、どのようなセキュリティリスクに警戒すればよいのでしょうか。原田氏は「αモデルにもリスクは潜んでいます」として、3つのリスクを挙げました 。
<3つのセキュリティリスク>
- データ連携に潜むリスク
- 運用管理、機器管理に潜むリスク
- その他自治体業務に潜むリスク
自治体は、業務効率維持のために、LGWAN接続系とインターネット接続系で多くのデータを連携させています。そこに発生するのが「データ連携に潜むリスク」です。データ連携時にランサムウェアに侵入されないよう、慎重な運用が必要です。
特に警戒するべきなのが「運用管理、機器管理に潜むリスク」です。システムの異常監視、メール通報、遠隔操作などのための運用・管理セグメントで、インターネット経由で通信する際にリスクが発生します。最近は、通信機器がソフトウェア化し、その脆弱性を突かれるケースも多発。ルーターなどのセキュリティ設定を見直すことが非常に重要です。
「その他自治体業務に潜むリスク」としては、委託先とのファイル交換、他の自治体からの感染拡大、職員のテレワークや不注意にともなうリスクが挙げられます。
DX時代のセキュリティ対策とは
こうしたリスクに対して、自治体はどのようなセキュリティ対策を行えばよいのでしょうか。原田氏は、「隔離(三層分離)」「境界型」「ゼロトラスト」を組み合わせて行うことが重要だと話します。
「隔離が最大のセキュリティ対策です。社外に絶対漏らしてはいけない重要情報は、金庫にしまう。それはデータもお金も一緒です」(原田氏)。
境界型は、信頼できる「内側」と信頼できない「外側」の境界線で対策を実施します。従来のセキュリティ対策の基本と言えますが、テレワークやモバイルワークでの対応には不安があるのも現実です。「職場の中で固定して運用していればよいですが、人が減っていくこれからの時代は、いつでもどこでも仕事をするように変わっていかざるを得ません」(原田氏)。
そこで必要になるのが、クラウドやテレワーク時代に対応し、何も信頼しないことを前提に対策する「ゼロトラスト」です。ただし、エンドポイントの不審な挙動を検知するEDR(Endpoint Detection and Response)は、運用負荷の高さが課題となります。
「EDRは、ある程度の誤検知が避けられません。誤検知を恐れずに通報しないと肝心なものが抜けてしまう可能性があるからです。そのたびにネットワークを止めて対応していられないので、SOC(Security Operation Center)支援を含めて専門集団のお世話にならないと、エンドポイントセキュリティはなかなか実現できないと思います」と原田氏。
京都府のSOC支援を受託しているのが、シーイーシーが提供するCEC SOCです。「後発であまり名前を知られていないかもしれませんが、しっかりと対応いただいています。24時間365日、日本人のエンジニアが対応してくれます。かつ、リーズナブルで、ありがたいと思っております」と原田氏はCEC SOCを評価。
「隔離、境界型、ゼロトラスト。どの対策も一長一短があるので、組み合わせてうまく守っていく。かつ、専門家のサポートも受けながらやっていくのがよいのかなと思います」(原田氏)。
60名以上の方にご参加いただき、会場はソーシャルディスタンスを確保しながらもほぼ満席に。原田氏の豊富な知見に基づく講演に、参加した方々は熱心に耳を傾けていました。
クラウドの利便性を最大化する「セキュリティのミライ」とは?
原田氏の講演にもあったように、クラウド時代に対応する「ゼロトラスト」セキュリティの実現には、EDRやSOCの活用が不可欠です。
「セキュリティのミライ」を取り上げたシーイーシーの出展ブースでは、県庁・政令指定都市に多数の導入実績があるセキュリティオペレーションセンター「CEC SOC」を紹介しました。低価格で高品質な、24時間365日のセキュリティ運用サービスです。
「セキュリティのミライ」を取り上げたシーイーシーの出展ブースでは、県庁・政令指定都市に多数の導入実績があるセキュリティオペレーションセンター「CEC SOC」を紹介しました。低価格で高品質な、24時間365日のセキュリティ運用サービスです。
「セキュリティ対応の人材が不足している」「予算を抑えながら外部委託したい」「既存のEPPとEDRのベンダーが異なっている」といった課題を解決できるサービスです。
その他に、システム間インターフェースの基盤として、ガバメントクラウド対応にも役立つ「共通基盤ソリューション」、LGWAN環境を通じてセキュアに庁内外のファイル共有を行う「自治体クラウドソリューション」など、多様な働き方や行政のクラウド化を実現するソリューションが紹介されました。
新しい働き方を加速する「自治体クラウドソリューション」
クラウドを活用して、テレワークや災害対策などにも対応できる新しい働き方を導入することは、自治体の喫緊の課題となっています。
「ガバメントクラウドへの移行を待たずに、できるだけ簡単にクラウドを使い始めたい」「セキュリティを万全にして、庁外でも普段どおりに業務をしたい」「地域の災害に備えたい」と、さまざまな課題をお持ちの自治体も多いのではないでしょうか。
「自治体クラウドソリューション」では、そうした自治体の悩みに応える3種類のクラウド活用を提案しました。
(1)書類作成中心型のテレワーク構成(スモール導入)
「自宅や出先で書類を作成したい」「すぐに利用を開始したい」「導入コストを抑えたい」という自治体におすすめです。庁外で作成したファイルを、LGWAN-ASP経由で、安全にLGWAN系端末に共有する仕組みを提供します。多様な働き方を今すぐ、安価に実現できます。
(2)通常業務型のテレワーク構成(仮想端末方式)
「テレワークでも、通常と同じ業務を行いたい」という自治体に最適です。クラウド上に構築したVDI(仮想デスクトップ)による、セキュアなテレワーク環境を提供します。ファイル移動が制限されており、重要な情報資産を扱うデータガバナンスに対応しています。
(3)災害時の行政継続
災害発生時にクラウド経由で自治体ホームページを更新できるCMS環境と運用サポートを提供します。自宅や避難場所など、いつでもどこからでも最新情報を発信できます。通信・システム障害からサイトを復旧させるDR対策も、クラウド活用で迅速化が可能です。
ガバメントクラウド移行を省力化する「共通基盤ソリューション」
クラウドを活用して、テレワークや災害対策などにも対応できる新しい働き方を導入することは、自治体の喫緊の課題となっています。
とりわけ移行の過渡期には、従来システムと標準準拠システム、オンプレミス環境とクラウド環境が混在するため、システム間連携が複雑化し、インターフェース開発コストの増大が想定されます。
今回展示された「共通基盤ソリューション」は、業務システム間のデータ連携を集中制御し、全システムをつなぐハブの役割を担います。各システムは共通基盤ソリューションとのインターフェースだけを構築しておけば、システム同士のインターフェースを個別に構築する必要がありません。
システムの追加・改修・入れ替えにともなうインターフェース開発を、短期・低コストで実現できるため、自治体情報システム標準化、ガバメントクラウド移行の省力化に役立ちます。
以前から提供しているソリューションですが、これからのガバメントクラウド対応に向けて、あらためて注目を集めました。
地方自治情報化推進フェア2022 シーイーシー出展レポート