山形県 寒河江さがえ市様

VDI方式を辞めてSePを導入
様々な課題が一挙に解決

寒河江市様でSePをご導入いただいた背景について教えてください。

佐藤氏 以前は、三層分離におけるインターネット接続系を構築するにあたって、山形県の市町村で共同調達したVDI方式の画面転送を使っていました。もともと複数自治体が利用することによるスケールメリットとしてのコストダウンを見込んでいましたが、昨今のVDI価格の高騰によりそれもなかなか見込めないということでサービスは終了しています。

次はさらに規模を拡大して、山形県を含む東北全県と新潟県まで含めた共同調達によるセキュリティクラウドを利用する話になりました。こちらの共同調達で提供していたサービスは「リモートデスクトップ」か「コンテナ型のセキュアブラウザ」という2択だったのですが…。

「リモートデスクトップ」は高額で予算の折り合いがつきませんでした。

「コンテナ型のセキュアブラウザ」は、総務省のガイドラインに示されている強靭化モデルの運用とはやや異なり、当市の求める将来的な拡張性や運用のイメージに合致しないと判断しました。

そこで替わりの製品はないかと探していた際、SePのお話を伺いました。そしてコスト的にも折り合いがつき、当市の強靭化モデル運用のイメージに合致するため導入に至りました。

課題をすべてクリアするのが弊社製品だった訳ですね。実際にご導入いただいての使用感などお聞かせください。

佐藤氏 従来のVDIによるインターネット接続系の利用は扱いが面倒ですし、速度にも課題がありました。

寒河江市は全台で400台のPCがありますが、それに比してVDI利用時のインターネット接続系への同時接続可能な台数は80台しかありません。また多くの場合、接続に2、3分以上かかり、不具合も少なくありません。以前利用していたVDIは共同調達のため、サーバーを複数の自治体が共同で使っていることもあり、様々な処理に時間がかかってしまうのです。

さらにVDIによる接続ではWeb会議をすることができなかったため、別途、タブレット端末を80台購入する必要がありました。

このようにこれまでのインターネット接続系の利用には「接続が大変」「時間がかかる」「通信が遅くなる」「人数制限がかかる」「Web会議には別の端末を用意する必要がある」と多くの課題を抱えていたのです。

SePの導入でこれらの課題がすべて解消されました。SePとセパレートオプションを導入すると、1台のマシンを「ポリシー」という形で論理的に分離することで1台2役の形で三層分離を実現できます。

まず全台にSePを導入するだけで済みますから、予算としては以前と変わっていないのに400台が同時にインターネット接続系へ接続できるようになりました。LGWAN接続系からインターネット接続系へのポリシー切り替えも非常にスムーズで、時間としては10秒もかかっていないくらいです。

LGWAN接続系は有線、インターネット接続系にポリシーを切り替えればこちらが決めた安全な無線のSSIDに自動で、強制的に切り替えることができます。そのため、インターネット接続系統での持ち運んでの利用がセキュアにできるようになりました。

Web会議の問題も解決したということですね。インターネット接続系統のご利用についてもう少し詳しく聞かせてください。

佐藤氏 Web会議用のタブレット端末は減らしている最中です。以前は、予算の制限から全職員に配布するのは難しいため、タブレット端末を持つのは課長と、課長補佐の一部職員までという運用でした。しかしSePの導入により、全職員がインターネット接続系統を同時に利用することが可能になったため、Web会議の問題に関しても解決しています。

市役所の業務は、インターネットを閲覧する業務がそれなりにあります。例えばふるさと納税関係や観光関係の情報チェック、総務課などで行う税関係の業務や、国税庁や厚生労働省のサイトなどで労働関係の情報を確認する業務など、随時閲覧が必要になってきます。その都度タブレットを持ち出してきたり、接続が面倒で時間のかかるVDIを利用したりでは、かなりの手間となってしまいます。SePはそのあたりがすべて楽になっています。

また、SePの設定により、インターネット接続系統利用時には、LGWAN接続系用のフォルダにはアクセスさせない一方で、ワークスペースフォルダにダウンロードする、ワードやメモ帳も使用する、テキストをコピーする、などが可能な設定にしています。

ワークスペースフォルダは毎晩削除される設定のため、端末にはローカルデータが残らず、都度データレス化されます。セキュリティの面でも安心です。

セキュリティの面と言えば、寒河江市様では自動暗号化機能をしっかりご活用されていますよね。

大泉氏 自動暗号化機能は使い勝手がいいですよね。メールのやりとりにおいても添付した時点でファイルは暗号化しているので送信経路では安全ですし、受け取った側が当市内で利用しているものと同じSePが入っている端末なら復号も簡単です。

USBメモリにデータを持ち出したとしてもSePの自動暗号化機能により、ファイルをコピーすると同時に暗号化されます。そのため、USBメモリを紛失したり、盗難に遭ったりしても中のファイルは暗号化されたデータしかないため情報は漏洩しません。

またこの外部に出ると同時にファイルが「自動的に暗号化される」というのも大きな特徴だと思っています。ファイル持ち出し時に暗号化を忘れた、というような過失は情報漏洩の大きな原因の一つです。しかし、自動的にファイルが暗号化されるのであれば、こうした過失による漏洩の心配もなくなります。

デジタル戦略課としては、庁内を常にセキュアな環境に保ちたいと考えています。全庁的にセキュリティを強化していく上では、仮にインターネット接続系統を使わなかったとしても導入したいくらいに考えています。

今後SePを活用される構想などありましたらお聞かせください。

佐藤氏 80台あるWeb会議用タブレット端末の削減ですね。一部タブレットと2画面を並行して業務がある職員の端末は残して、ほぼすべての廃止を視野に入れています。

SePセパレートオプションの導入により、LGWAN接続系端末とインターネット接続系端末は統合され、全職員がWeb会議を含むインターネット環境へアクセスできる環境が整います。Web会議のために利用していたタブレット端末は不要になり、結果として管理コストや調達コストの削減すらも実現するでしょう。

ほかには将来Microsoft 365を導入した場合の認証も考えています。現在、Officeは買い切り版を使っているため不要ではありますが、SePを使えば、Microsoft 365の認証はインターネット接続系に切り替えるだけで楽にできます。通常LGWAN接続系ではインターネットへの通信を許可していないためMicrosoft 365が認証できず、利用もできません。

そのため、Microsoft 365の認証を行うためのローカルブレイクアウトなどを検討する必要があります。

ほかの市ではこのローカルブレイクアウトのために、ゲートウェイを使った認証をしていたところもあると聞きましたが…。速度も遅く、認証するためだけの単機能だったからでしょうか、今では聞かなくなりました。

大泉氏 SePのサイバーハイジーンオプションにはMicrosoft Defenderの管理機能もあるということなので使ってみたいですね。現在はMicrosoft Defenderを適切に管理するすべがないため、利用をためらっています。ですがSePで一括管理が可能でしたら、折を見て検討しても良いですね。

現在SePをインターネット接続系とLGWAN接続系の2系統でご利用されていますが、将来的に基幹系でのご利用は考えられていますか？

佐藤氏 検討はしています。というのは、現在、基幹系の端末は70台ほどで、これは10年ほど前の業務量を想定した台数になっています。近年では標準化への移行、また健康や福祉関係など、市役所で行う業務量は増加の一途をたどっています。

そのため、10年前に想定した70台では足りなくなってきているのです。

しかし現状の業務量に合わせて基幹系の台数を増やすというのも、簡単な話ではありません。予算の問題や、庁舎の物理的なキャパシティの問題もあり、単純には解決ができないのです。

SePを使えば、極端な話、基幹系のポリシーを追加するだけ、つまりSePの設定を変更するだけで基幹系を利用できる端末を増やせるので、台数の問題はすぐに解決します。設定変更だけなので追加の予算も場所の問題もすべて解決します。将来的にはそういったものにも対応をしていきたいですね。