栃木県 日光市様

莫大なコストがかかる仮想化を廃止
SePセパレートオプションの導入で
三層分離をリーズナブルに実現

日光市様が「三層分離」環境をSePセパレートオプションで運用されるに至った経緯をお聞かせください

大島氏 SeP導入以前、日光市ではSBC方式による仮想化を利用して三層分離環境を整備していました。インターネット系に接続するための仮想環境を構築していましたが、そのためにはLGWAN系の端末とは別に、高価なサーバーを購入する必要がありました。さらにOSライセンスについても、LGWAN系端末の分だけではなく、仮想環境で使う分も準備する必要があり、いわば二重でコストがかかる状態でした。5年後にはシステム更改も控えており、その際にも諸々の再購入が必要になります。初期導入時のイニシャルコストのみならず、将来にわたって継続的に莫大なランニングコストがかかることなどを考慮すると、インターネット系の仮想化を継続するのは難しいと考えていました。

仮想化環境の使い勝手にも課題を感じていました。特にWebページの表示については、一昔前のインターネットのように時間がかかり、本当に遅かったです。SBC方式では、サーバーのCPUやメモリなどといったリソースを大勢で分割して使うということで、アクセスが集中する時間帯では動作の重さが際立っていましたね。しかも同時接続数が300と限りがあったため、社会のIT化が著しいこの時代にそもそも職員全員がインターネットに接続して調べものをできる環境でない、ということも改善すべき点の1つでした。

このような三層分離環境の整備に関する課題を一挙に解消することができる製品としてSePセパレートオプションを選びました。SBC方式での三層分離環境を実現するために必要だった高価なサーバーは不要になり、必要な端末数が1職員あたり1台で良くなったことによりOSライセンスの購入数も減らせたため、大幅にコストを削減できました。端末の統合により購入が必要な台数を削減できた一方で、職員全員が随時インターネット系に接続できる環境も整備できました。また仮想化における動作の遅さについては、SePの導入によりPC本体のリソースをそのまま存分に使うことができるようになったため、解消できました。

誰でも使える操作性で
全庁がさらにセキュアに
職員のセキュリティ意識も向上

SePによる三層分離環境を運用し始めてからのご所感を教えてください

大島氏 セキュリティが非常に向上したと思います。「メールにファイルを添付する」「USBメモリにファイルを保存する」「外部の方と情報のやり取りをするためにCD-ROMにファイルを保存する」といった、ファイルが外部に持ち出される際に自動暗号化がかかる点が非常にセキュアです。ファイルを暗号化せず外部に持ち出す際は、必ずリリースフォルダを通さないといけないというところで、ユーザーがファイルを外部に持ち出すことを意識する、ひいてはセキュリティ意識が向上するという面での効果を実感しています。

また、これは運用開始前には想定していなかったセキュリティ上のメリットですが、予期せぬプログラムがSeP・ディフェンスオプションの機能によりしっかり止められていることを、利用しようとした暗号化USBが使えなかったことで体感しました。そういう意味で考えると、マルウェアなどのプログラムが予期せぬ動きをしたときにも堅牢に防止してくれることが期待できますね。

こういったセキュリティ面の強靭化が実現できた一方で、ユーザーの操作性がSeP導入前と変わらないという使い勝手的な面でも大きなメリットを感じています。日光市では当初「職員はうっかりミスをしてしまうもの」ということを前提に、そのような過失をいかに防げるかという「ゼロトラスト」的視点で製品選定を進めていました。その点、SePの誰でも使える操作性という部分を期待しており、その期待通りの使い勝手で運用できているように感じます。

管理のしやすさも抜群
自力でのSePバージョンアップも簡単
手厚いサポートで設定変更もばっちり

日光市様では膨大な数のPCからなる情報セキュリティ環境を日々管理されています。SePの管理をされていて感じることをお聞かせください

大島氏 管理者側としても管理がしやすいと感じています。というのも、「SePの使い方が分からない」「ファイルが暗号化されて読めなくなった」といった問い合わせがユーザーから全然来ないからです。情報システムに関する管理業務の中でも問い合わせ対応が占める割合は少なくないですが、SePに関しては問い合わせ対応の必要が無く、管理業務の削減という効果を存分に発揮しています。この点については、SeP導入前と変わらぬ使い勝手で運用できている、というところが大分効いているのではないかと思います。

管理という意味ではソフトウェアのアップデートもあります。Windows更新プログラムの適用などはSIerに依頼するため、ソフトウェアアップデートの適用を決めてから実施が完了するまで数週間を要するなど、大きなタイムラグが発生してしまいます。一方SePのバージョンアップは非常に簡単なため、日光市担当者のみで内製することが出来ています。そのため担当者が決めたらすぐに全庁展開できる、という大きなメリットがあります。

業務で使う様々なソフトウェアのアップデートを、スピード感をもって全庁に展開していく上でポイントとなるのが、SePが各種ソフトの最新バージョンに素早く対応していることです。各種ソフトをアップデートするには、セキュリティソフトもそれに対応したバージョンを使う必要があります。特にブラウザはアップデートの頻度が高いですが、SePは迅速に対応しているので最新のブラウザを最新のセキュリティのもとで利用することができる、という点が非常にありがたいと思っています。他のセキュリティソフトは各種ソフトへの対応に時間がかかるため、ソフトウェアのアップデートをなかなか実行できない、というのと比べると歴然とした差がありますね。

このようにSePを管理していく中で、分からないことがある、設定変更を行いたい、というシチュエーションがもちろん出てきますが、ハミングヘッズさんの担当の方に質問すると迅速にご対応・サポートいただけることも助かります。都度具体的な指示を頂けるので問題なく運用できている、という面でも管理業務の負担軽減を実感しています。

多岐にわたるSeP活用方法
セキュアなクラウド利用や
基幹系端末の統合も視野に

将来的に構想されているSePの活用方法をお聞かせください

大島氏 日光市では、ローカルブレイクアウトをした上でMicrosoft 365を利用できる環境を整備する予定です。自治体業務におけるクラウドサービス利用というのも不可欠になってきていますからね。しかし、Microsoft 365をはじめとするクラウドサービスの利用にはセキュリティリスクの上昇という懸念も付き物です。そういった懸念については、SePがクラウド利用環境でも強靭なセキュリティを構築できるということで、全然問題ないと考えています。SePにより、インターネット上の各URLに対して「持ち出し時に暗号化」「持ち出しを禁止」「リードオンリー」「読み書き禁止」といった詳細なセキュリティコントロールを掛けられるので、Microsoft 365も安心して利用できると思っています。

また、基幹系におけるガバメントクラウド化計画の流れがある中で、LGWAN系の端末と基幹系の端末を統合する、ということに興味があります。なぜなら、基幹系専用の端末を別途準備する必要がなく1職員あたり1台のPCで運用できるため、更なるコスト削減が見込めるからです。しかも環境構築という意味において、既に導入しているSePセパレートオプションを利用して基幹系用のポリシーを追加する程度の設定変更が必要なだけで、長期にわたる大掛かりな変更作業が不要というところも良いですね。このようにSePは、一度導入してしまえば費用的にも時間的にも大きなコストをかけることなく、多岐にわたる情報システム環境の変化に合わせた柔軟な運用を随時実現していけるという点で、長期的かつ様々な面・用途で効果を発揮してくれる製品なのではないでしょうか。