神奈川県 相模原市様

テレワーク移行は喫緊の課題
しかもセキュリティも両立するのは
一筋縄ではいかない

SeP導入前の環境や課題などについて教えてください。

二瓶氏 新型コロナウイルス感染症の感染拡大以前から職員の多様な働き方への取組の１つとしてテレワーク環境の導入の検討を行っていました。その一環としてサテライトオフィスの導入なども実施していました。

令和2年初頭頃から新型コロナウイルス感染症の感染拡大がおこり、職員の感染防止及び行政事務の業務継続の観点から、本格的にテレワーク導入の必要性を強く認識するようになりました。そのため、まずは妊娠中の職員や基礎疾患を持っている職員など、優先的に安全を守る必要のある職員向けに、令和2年3月にVDI用に50台のシンクライアント端末を導入しました。

その後、新型コロナウイルス感染症の感染拡大が進み、4月に緊急事態宣言が発令されたことに伴い、令和2年5月に500台のテレワーク環境を追加整備することとなりました。追加で整備する500台のテレワーク環境としてまず検討したのは、令和2年3月に導入した当時と同様のVDI環境を構築し、シンクライアント端末を利用して庁内ネットワークに接続する方式でした。しかし、ライセンスやサーバー機器等に係る費用が高額であることが大きな障害となっていました。

そこで代わりに採用が検討されたのが、職員が自席で利用している５０００台の端末を利用して、閉域SIM回線経由で庁内ネットワークに接続する方式でした。この方式だと、サーバーの構築や特別なライセンスは不要なため、導入に係る費用が抑えられるメリットがあります。しかし職員が使用している端末はFAT端末のため、万が一持ち出した端末を紛失すると、端末に保存されている情報が漏洩する可能性があることが課題でした。

当時もファイル暗号化システムを利用していましたが、端末本体の記憶領域を暗号化することはできず、このリスクを排除することができませんでした。

また、当時利用していたファイル暗号化システムでは、ファイル持ち出し時に設定するパスワードを月に１度、全所属分職員が変更しなければならない運用となっていました。これでは、情報漏洩対策として不足を感じるところがある上、職員の事務負担も大きなものとなってしまいます。

このような背景があり、端末本体の記憶領域暗号化とファイル持ち出し時の暗号化の両方を機能として備えているシステムの導入を検討するに至りました。

SeP の導入で
持ち出し時のセキュリティの強化と
使い勝手の向上を両立

そのような背景下でSePを導入していただいた理由を教えてください。

二瓶氏 先ほど申し上げました「記憶領域の暗号化」と「ファイル持ち出しの暗号化」という2つの機能要件をかなえられること。もう一つが、緊急事態宣言を受け短期間での導入が必要になったため、導入の際の支援体制が厚くスムーズに導入できることが重要でした。

SePは、ストレージ暗号化機能で「記憶領域の暗号化」、evolution /SV機能で「ファイル持ち出し時の暗号化」を実現できます。SePが相模原市の求める機能要件にしっかりと合致したことが結果的に導入する決め手となったと考えています。また実際の導入期間に関しても、当初目標であった一カ月間程度の短期間で、手厚い支援体制もあり無事導入が完了できました。

相模原市様におかれましては「政令指定都市」という立場であることから、ご苦労もあると思います。弊社製品が貴市のセキュリティシステム構築にどのようにお役に立てたか、教えてください。

二瓶氏 確かに職員数は多いです。端末の台数も5000台に上り、これらのセキュリティも担保しなくてはいけません。さらに緊急事態宣言下でスムーズにテレワークへ移行しなくてはいけない点なども考えると、使い勝手がよく利便性が高いということも必要になってきます。

早川氏 端末の操作履歴についても、我々が手をかけることなく自動で収集され、インシデントが起きた際などの確認手段として、セキュリティの向上に寄与しています。

二瓶氏 例えば、ファイル持ち出し時には、「リリース承認機能」を利用しています。「リリース承認機能」ならば、持ち出したいファイルをリリースフォルダに保存することで、承認者に自動で持ち出し申請が通知されるため、申請および承認がGUI上で処理が完了し、ユーザビリティが向上しています。さらにこうしたやり取りが、履歴として残っているためセキュリティも向上しています。

セキュリティと使い勝手がバランスよく揃っているのが理想的ですね。

暗号化のパスワード
「月1回、手動による変更」から
「毎回、自動で生成」で負担を激減

ご導入いただいて改めて使い勝手がよいなどと感じられた機能はありますか？

織田氏 以前使用していた暗号化システムは、先ほど申し上げました通り、ファイルの持ち出しのパスワードを月1回変更するという運用ポリシーで利用していました。これも理想としては都度、変更する方がセキュリティを担保できるのですが、職員の負担とセキュリティの兼ね合いで定められたものです。

SePはファイルを持ち出すときに、毎回異なるパスワードを自動生成できるので手間にならず、強固なセキュリティを保つところは便利ですし、スムーズな運用が可能になりました。

二瓶氏 庁内のネットワークの無線化が進み、最近では職員が端末を持って会議室に行って打合せということもできるようになりました。

しかし、庁内とは言え端末を持ち運ぶわけですから、テレワークほどではないにしても、暗号化していないと情報漏洩する可能性がありました。今回SePを導入したことで、庁内の持ち運びに関するセキュリティについてもカバーできるようになりましたね。

そして、これは一番大きいことかもしれませんが、導入時にサポートを非常に手厚くしていただきました。

以前使用していた暗号化システムからSePに乗り換えるときに、以前の暗号化システムが自動で復号しない関係で、一度手作業で復号化して、再度暗号化する必要がありました。情報部門の職員だけではさばききれない量でしたが、自動化ソフトウェアのAIハミングヘッズにて自動復号化ツールを作成していただいたことにより、大きな混乱なくシステム移行をすることができました。

また、運用後もイレギュラーなケースがでた場合は、迅速に相談に乗っていただき、レスポンスが早いのはとても助かっています。

「拡張アクセス権」「リリース承認」
セキュリティ向上だけでなく
既存業務の効率化まで視野に

ほか、将来的に構想されているSePの活用方法について可能な範囲で構いませんので教えてください。

二瓶氏 ファイルごとにアクセス権限を細かく制限できる「拡張アクセス権」は、非常に便利な機能だと感じました。

特定のファイルに対して、OSの機能を使ってスクリーンショットやファイルコピーなどの制限を行うのはなかなか難しいです。しかしSePの「拡張アクセス権」を利用すれば、例えば、ファイルサーバー上にある特定のファイルに対して「閲覧はさせたい」でも「印刷はさせたくない」「ダウンロードもさせたくない」というような制限を簡単にかけられます。

現在、会議や審議会など、センシティブな情報を扱うような会議では、会議資料が席上配布のみということがあります。印刷した資料を席上に配布はしますが、帰るときは回収するというような運用です。

「拡張アクセス権」を使えば、ペーパーレスになったときにも同じような運用が可能になります。つまり、ファイルサーバー上に重要なファイルをおいて閲覧のみ許可し、デスクトップへのダウンロードやスクリーンショット、印刷を制限する…そういう使い方ができるかもしれないと感じました。

早川氏 それ以外では、「リリース承認機能」を利用していますが、それを活用してはんこレスを推進できないか検討しています。

現状はUSBメモリやカメラなどの機器を外部に持ち出すときに、申請用紙を上長に提出し、上長が承認、押印すれば持ち出せるというフローになっています。このフローをリリース承認機能に移行することで、申請用紙の廃止、はんこレスを実現しようと検討しています。