青森県 八戸市様

セキュリティUSBメモリに不安
職員任せのセキュリティ対策からの脱却

SeP導入の背景についてお話しください。

澤頭氏 八戸市では、ファイルやデータなどの情報のやり取りにセキュリティUSBメモリを使っていました。しかし、PCに挿し込むとその都度ログイン操作をする必要があることに、私たちをはじめ多くの職員が煩雑さを感じていました。また、一部職員が、容易に突破されかねない簡単なパスワードを設定してしまうというような、セキュリティ上のリスクもありました。

市の情報システムの運用方針として「セキュリティUSBメモリを利用する」とした場合、購入できるものの選択肢も限られてきます。利用していたセキュリティUSBメモリが急に使えなくなってしまった場合には、手軽に入手できる一般的なUSBメモリではなく、高価なセキュリティUSBメモリを購入しなければならない、といった点も考え物でした。

このようなセキュリティUSBメモリにおけるセキュリティ上のリスクや、情報のやり取りの手段としての使い勝手の悪さ、といった課題を一挙に解決してくれることを期待してSePの導入に至りました。

誰が使っても
全庁に高レベルのセキュリティ
自動暗号化にお任せ

SeP導入の決め手はどこにあったのでしょうか。

山端氏 「自動暗号化」機能ですね。普段は平文で運用して、USBメモリへの保存やWebへのアップロードなどの外部にファイルを持ち出す行為があった場合のみ自動で判断して暗号化や禁止をする、というところに価値を感じました。外部に持ち出された暗号化ファイルが庁内へ戻った際は自動で復号される点も特長だと思います。

先ほどお話ししたように、セキュリティUSBメモリでは、ファイル持ち出しにおけるセキュリティレベルはどうしても個々の職員に依存してしまいます。SePの自動暗号化があれば、職員の一定でないITリテラシーに依存することなく、全庁において画一的で強靭なセキュリティレベルを確実に担保できます。

ファイルを外部へ持ち出す際も、特段難しい操作が必要なわけではなく、必要な操作は「リリースフォルダに一度保存する」というたった1つだけです。パスワード付きZIPファイル形式で持ち出す際にも、自動で強固なパスワードを設定してくれるので、さらにハイレベルなセキュリティが実現できると考えました。

澤頭氏 他社の製品で「全ファイル暗号化」ソリューションのお話を聞いたこともありますが、庁内全てのデータをあらかじめ暗号化してしまうというのは少し怖い部分がありました。万が一暗号化したファイルが復号できなかったらどうしようもありませんからね。

また、八戸市ではコストをできるだけ抑えるために、PCは最低限のスペックのものを利用しています。もし常時ファイルを暗号化しておくとなると、PCの動作が重くなってしまいます。となると、その分PCに求められるスペックは高くなるため、予算的にも厳しくなっていたのかなと考えています。職員のITリテラシーという観点から言うと、全ファイル暗号化を導入したとしても、暗号化に関連する操作が難しくてできないことや、問い合わせが多くなる、といったことも予想できました。

山端氏 SePでは、ファイルが外に出る時にのみ自動暗号化をかけてくれる点、ファイルを普段は平文で運用できるため、最低限のスペックのPCでも動作が重くなることなく使える点などから、コストを抑えつつセキュリティと使い勝手を両立できるソリューションであるということで、導入に至りました。

導入・運用にトラブル無し
従来通りの使い勝手のまま
セキュリティ向上
バージョンアップも簡単

SeP導入の感触や、運用し始めてからの使用感はいかがでしょうか。

澤頭氏 SePの導入を決めた当時、八戸市では庁内の約2600台のPCに対して、Windows 7からWindows 10への入れ替えをしながらAD環境の構築も進めていました。並行してSeP導入の打ち合わせを行っており、実際にSeP関連の設定を始めてからわずか2か月程度で運用開始できました。

庁内情報システム環境の大幅な変化が複数あったので不安もありましたが、トラブルなどは無く、スムーズに運用開始ができたのは良かったです。SePでは、庁内は平文で運用できるということや、他のシステムと併存させるための設定を簡単におこなうことができるので、他の既存のソフトウェアや業務システムへの影響もありませんでした。

山端氏 私も、導入に関して何かトラブルが起きた、という記憶は全くないですね。調整したい案件が出てきた場合は、迅速な対処をしていただけたので、特に問題ありませんでした。運用開始後についても安定して運用できています。それはひとえに、暗号化ソリューションの導入により「暗号化・復号を行うための特別なPC操作が必要になる」というような運用の変更がなく、SeP導入前と同様に業務を進めることができたからでしょう。

利用方法の職員への通知は、事前にSePの使い方をグループウェアで掲示しただけでしたが、「使い方がわからない」とか「難しくて操作できない」といった問い合わせがまったく無かったのは驚きでした。当初見込んだ通り、業務に支障をきたさない使い勝手の良いソリューションであることを改めて実感しています。

澤頭氏 全庁のPC操作履歴が全て記録されているというのもポイントです。持ち出されるファイルは暗号化されるかリリースフォルダを経由することになりますが、もちろんリリースフォルダ上の操作履歴も詳細に記録されています。そのため、もし万が一ということがあっても、履歴を使って迅速に対応するということができます。また、パスワード付きZIP化時に自動で強固なパスワードを設定してくれる機能によって、以前課題だと考えていた、「情報のやり取りの経路上のセキュリティリスク」という部分も、やはり非常に安心して運用できています。

山端氏 あと、SePはバージョンアップがとても簡単な点も便利ですね。コロナ禍で県外との往来がしにくいという状況があり、何度か自力でバージョンアップを行うシチュエーションもありましたが、難無く成功しています。1台だけテストでバージョンアップしてみて、その後ある程度範囲を区切りながら、最終的に全庁にバージョンアップを展開していく、という方法も簡単でした。

また、セキュリティのことを考えると、Windows OSをはじめ、Google Chromeなどのソフトウェア・アプリケーションはなるべく最新のバージョンに近づけておきたいと考えています。SePはOSやアプリケーションのバージョンアップに逐一対応していますし、非常にバージョンアップしやすいということもあり、セキュリティを含む全庁のシステム環境を都度最新に近い形で利用することができる点も重宝しています。

三層分離環境の使い勝手向上や
βモデル移行も視野に入れた
セキュリティの向上に向けて

今後のSeP活用の展望などありましたらお聞かせください。

澤頭氏 果たして今のセキュリティ体制は本当にこれでいいのか、というところで情報収集を常々行っているのですが、αモデルからβモデルへの移行という話題があります。そんな中、EMOTETなどのマルウェアの話が挙がることが多くなっています。βモデルでは業務がインターネットに寄るので、EDRを取り入れるなどセキュリティ面の更なる強化が必要と考えています。そういった面で、ご紹介いただいたディフェンスオプションを含め、SePを活用できる余地がまだまだあるのではないかと考えています。

また、セパレートオプションによる三層分離に興味をもっています。現在八戸市のインターネット系は、LGWAN系の端末とは別の物理端末でサイトを閲覧するような運用になっています。当然端末が多くなってしまうという弊害もありますので、少ない端末で済ませることができないか、と仮想化環境や仮想ブラウザの導入など様々な角度で検討しています。セパレートオプションを使えば、費用のかかる仮想化環境などを新たに導入しなくても、SePのオプションを追加するだけでできるのではないか、と考えています。実際にセパレートオプションはどのようなイメージなのでしょうか？

セパレートオプションでは、1台のPCでファイルとネットワークが完全に分離された複数のモードを切り替えながら使うようなイメージです。

例えば、LGWAN系モード、インターネット系モードという2つのモードをあらかじめ準備しておく場合、「LGWAN系モードの時に接続できるネットワークは有線LANのみ、アクセスできるフォルダはLGWAN系フォルダのみ」、「インターネット系モードの時に接続できるネットワークは無線Wi-Fiのみ、アクセスできるフォルダはインターネット系フォルダのみ」といった制御ができます。

こうすると、インターネット系モードの時に有線LANに接続することはできず、LGWAN系フォルダへのアクセスもできません。逆もまた然りです。セパレートオプションではこのような形で三層分離を実現することができます。

山端氏 なるほど。セパレートオプションのイメージはつかめました。今後も、セパレートオプションやディフェンスオプションなど、まだ活かしきれていないSePの機能をよく検討して、八戸市の情報システム環境におけるセキュリティの更なる向上を目指していきたいです。