熊本県 上天草市様

サイバー攻撃への危機感
災害時を想定した業務のクラウド化に伴う
Office365導入
理想としていた条件に合致

SeP導入に至った社会背景を教えてください。

川端氏 サイバー攻撃が急速に複雑・巧妙化している中、マイナンバー制度の施行に伴い、国・地方公共団体のネットワークが連携することとなり、情報セキュリティの強化は喫緊の課題でした。情報漏えい対策に関しては、検討を始めた当初、職員の過失・故意による内部からの持ち出しに重点をおいて考えていました。しかし、2015年の5月に発生した日本年金機構をターゲットにした標的型攻撃による情報流出事案をきっかけに、サイバー攻撃などの外部要因への対策も急務となりました。

サイバー攻撃による不正プログラム等により、いつ・どこで・何が原因になって情報が漏えいしてもおかしくない、という情勢になってきており、これからはデータ持ち出しの際に職員の操作により暗号化をかけるのではなく、外へ持ち出されるデータは全て自動で暗号化されるような情報漏えい対策ソフトを選定したいと考えるようになりました。

また、クラウド化の流れもあります。上天草市役所では、Office365を採用しています。この選定にあたっては2011年の東日本大震災、2016年の熊本地震により、自然災害発生を見据えた対策が社会的に強く求められるようになったことが色濃く影響しています。上天草市は、台風等の災害が多い地域で、停電への対策としての非常用自家発電装置の導入や、当市の合併の際は統括支所に設置されていた情報推進室(事務室・サーバ室等)を、災害対応等の効率的な連携を図るために防災担当部署がある本庁舎へ移転する等、ハード面、運用面での改善を行ってきました。また、災害時の業務継続やデータ保護等の観点からシステムのクラウド化を進めることとし、基幹業務のクラウド化やOffice365の導入等を行いました。｢内部・外部の持ち出しに対して自動的にファイルを暗号化する機能｣と、｢Office 365を導入しても、安全にデータを保管し活用する機能｣などを調達の要件として検討した結果、SePを導入する運びとなりました。

SePを選んでいただいた理由はどこにあるのでしょうか。

川端氏 暗号化製品の導入にあたっては、持ち出し時に基本的に全ての拡張子のファイルを自動的に暗号化できること、システムへ負荷をかけないこと、庁内ネットワーク内では平文で運用できること、暗号化解除時に管理者の承認を通せること、ネットワーク毎に異なるポリシーで運用できること、ファイル暗号化やデータ持ち出し等の履歴を一括で取得できること、等を選定条件として、検討を進めていました。様々な製品を検討する中で、一部暗号化できないファイルが存在するもの、データ持ち出し時の暗号化処理にはユーザによる複雑な設定が必要なものなど、当市で想定している運用とは異なる暗号化ソフトが多数ありました。SePに関しては、条件を満たした上で、暗号化・復号化が簡単で業務を妨げない点や、ネットワークポリシーを柔軟に設定できるため、それまでの使い勝手を大きく変えることなくセキュリティを強化できる点なども魅力的でした。

また、庁内PCの全ファイルを暗号化しておくような従来の製品だと、ファイルサイズが大きくなりシステムの容量を圧迫してしまいます。また、暗号化ソフトの不具合によりデータが破壊される恐れもあります。行政情報は、いわば市民の財産ですから、それらを壊すリスクは避ける必要があります。これらのことから、ストレージ自体を暗号化するのではなく、普段は平文で外に出る時だけ暗号化される、というのが理想だと考えていました。

職員が手動で暗号化する製品は、時間がたつとそのような手間を端折るようになってしまう、という事態を危惧しました。一方SePは、自動暗号化するので面倒な作業は不要ですが、外に出す時に平文で持ち出すための操作が必要となります。この作業を通して、｢自分がしている行為で情報が漏れる危険性がある｣という意識を職員に植え付けることができます。これらの点が、他の製品と比べ、魅力を感じたところです。

異なるポリシー設定で使い勝手とセキュリティを両立

現在、全国の役所で進められている｢三層からなる対策｣における｢ネットワーク環境の分離｣とSePの利用方法についてお聞かせください。

山口氏 マイナンバー制度の導入や日本年金機構における個人情報流出事案等を受けて、続々と、国から各自治体へセキュリティ強化を促す通知が届いております。その中に三層からなる対策として、庁内のネットワークを分離・分割するというものがあります。これまで基幹系・情報系として構築していたネットワークを｢マイナンバー利用事務系」、｢LGWAN接続系」、「インターネット接続系｣の3つに再構築することで、特に秘匿性の高い情報の流出を防ぎます。「マイナンバー利用事務系｣で取り扱うデータは個人情報やマイナンバー等を含む重要情報ですから、非常に繊細な扱いを求められ、データの無断持ち出しを禁止しています。しかし、口座振替や他業務システムとの媒体連携等については、平文でのデータの持ち出しができなければ業務に支障が生じてしまいます。より高度なセキュリティを保つために、担当職員が書面での所属長への許可申請と、リリース承認フォルダを利用したシステム上の申請の双方を行った上で、書面による所属長の承認を情報推進室が確認し、承認するというフローをとっています。

「LGWAN接続系」と｢インターネット接続系｣については、同レベルのポリシーを設定することで、セキュリティを高めると同時に、使い勝手の変更を最小限に抑えた運用を可能にしています。各ネットワークで取り扱うデータの重要度に従って｢マイナンバー利用事務系｣から抽出したデータについては、「LGWAN接続系」と｢インターネット接続系｣の各ネットワークでは復号不可、逆に、｢LGWAN接続系」と「インターネット接続系」で抽出したデータは、｢マイナンバー利用事務系」では復号可、という設定をすることで庁内におけるセキュリティも確保しています。

また、災害発生等の非常時には避難所や自席のない庁舎で業務を行う職員も多くなります。この場合、｢LGWAN接続系｣からの仮想環境では対応が難しいことから、｢インターネット接続系｣端末としてモバイル型タブレットPCを全職員に配付しました。それにより、当市のネットワークが構築されている公共施設であれば、どこでも｢インターネット接続系｣の利用が可能な環境を整備しています。｢インターネット接続系｣の端末はこうした利用方法から、外に持ち出す機会が多く、どうしても破損する恐れがあり、コストを抑えるために、他のネットワークで使用している端末と比べ、低スペックのものを導入しています。しかし、SePでは暗号化処理にかかる負荷が少ないため、低コスト・低スペックの端末を利用していても、特にストレスなく運用できることも大きいですね。

短期間でスムーズに構築、複雑な説明も不要

SeP環境構築･運用開始時の感触について伺えればと思います。

川端氏 導入開始からSV機能をオンにするまでは、おおよそ1か月半ほどでした。ネットワーク分離、二要素認証構築等と並行してSePの構築作業を行うこととなり、SePに割く時間はほとんどない中でも、これだけの短期間で構築を終えることができました。また担当職員の負担も軽く、スムーズに導入することができたように思います。

職員向けの説明に関しては、幹部職員や各部署の代表に対して、システム概要と簡単な操作説明を5分程度行い、マニュアルを配布したのみで、特に実機での研修などなく運用を開始することができました。運用状況については、運用当初から庁内では暗号化処理を意識することなく利用できています。そのため、電子メール等で外部にデータを送信し、送信相手から｢ファイルが暗号化されていてデータが読み出せない｣との指摘があることで、システムが導入されたことを思い出すような状態でした(笑)。逆に言えばそれほど使い勝手が大きく変わらなかった、ということですね。

詳細な操作履歴で不具合の原因が一目瞭然
ファイル持ち出しの把握で更なるセキュリティ向上

SePの特に気に入った点、改めて良いと思った点をお聞かせください。

川端氏 管理者が把握できていないプログラムが、SePの機能によりバックグラウンドで停止されるため安心して運用できます。またSePの履歴活用により、これまでは時間がかかったプログラム等の不具合対応について、原因や発生した時期等を詳細に調べることができるのが良い点かと思います。

庁内の異なるネットワーク間での、外部記憶媒体によるデータ受け渡しについては、外部記憶媒体に格納する際に自動で暗号化処理され、PCに取り込む際には自動的に復号されます。そのため、これまでと同様の操作で職員の負担がなく安全に運用ができます。また、履歴から、どのファイルが持ち出されているかを把握することができる点も良いです。Office365の利用においては、ファイルが暗号化された状態であっても、通常のOfficeのアイコンと拡張子のまま表示するように設定できるため、職員が戸惑うことなく、違和感なく使用できている点も、使い勝手を大きく変えないという意味で気に入りました。

セキュリティ強化のための今後のSeP活用法

これからのSePの活用方法、利用したいオプション等ありましたら教えてください。

山口氏 情報持ち出し履歴を把握することで、更なるセキュリティ強化につなげたいです。また、ネットワークの利用状況に応じて様々なソフトウェアを導入していますが、これらに関して、システム稼働状況の履歴を、ソフトウェアの次期調達における判断材料とすることができるのではないかと考えています。また、今後は、SePが導入されていない環境とのデータのやり取りを安全に行うために、データ受信側による印刷や保存等を制限し二次漏えいを防止するための対策として｢ファイルセーフカプセルオプション｣や、特に秘匿性の高いデータの印刷をセキュリティプリンタのみで実行する機能などのある｢セキュア印刷オプション」の利用などを検討していきたいです。