大阪府 四條畷市様

理想のネットワーク構成実現には
調達費用・運用コスト・セキュリティ
全てを満たせるSePセパレートOPが最適

四條畷市様がSeP及びセパレートOPを導入される以前に感じておられた課題や、採用に至った背景をお聞かせください。

小出氏 当市ではもともと、インターネット接続系についてSBC方式の仮想化と物理端末とを併用する形で運用していました。本来であればSBCのみで運用できればよかったのですが、仮想環境では対応できない専用アプリケーションの利用や電子証明書のインストール、大容量ファイルの取扱いなどに関しては、どうしても物理端末で業務をする必要がありました。また、インターネット接続系には資産管理ソフトも導入していなかったため、現場に足を運びメンテナンス作業を行う必要があり人的コストがかかる状況でした。

インターネット接続系の仮想と物理の二重管理に伴う日々のメンテナンスコストや端末の調達費用に関して大きな課題意識がありました。これを解決するソリューションとして、セパレートOPに目を付けたことがきっかけです。

矢寺氏 テレワークの運用についても課題を感じていました。これまでは、自席端末とは別に調達したテレワーク専用の端末を貸し出す運用をしていました。しかし、使用されないときは置いてあるだけになってしまうなど有効活用ができていないことが課題でした。

また、コロナ禍に実施していた在宅ワークの利用は減少している一方で、各種研修や近隣市との打ち合わせなど、出張する機会は以前の水準に戻ってきています。こうした状況で、端末リソースを無駄にせず、一定の需要が見込まれるテレワークの環境を向上させたい、という思いから自席端末を持ち出す形でのテレワーク運用を理想としました。実現するために不可欠なセキュリティ対策として、SePの自動暗号化やデータレスを実現するワークスペースフォルダ機能などにも興味をもちました。

このように、情報システム管理コスト、および端末調達費用を削減しつつも、使い勝手の良いテレワーク環境と強靭なセキュリティ環境を両立できる、四條畷市として理想とするネットワーク環境を実現できるSecurity Platformを採用するに至りました。

専用端末60台削減で管理コスト大幅減
自席端末を持ち出しても
セキュアなテレワークが可能に

SeP導入後、想定していた効果は実感できておられますか。

小出氏 当初想定していた通り、インターネット接続系の物理端末やテレワーク専用端末などの特定用途でしか使っていなかった端末を無くすことができ、自席端末を持ち出してセキュアにテレワークを実施できる環境整備ができました。

特定用途端末の削減については、インターネット接続系の物理端末の30台、テレワーク専用端末の30台、合わせて60台を削減することができました。これによる端末調達費用や管理工数の削減効果は非常に大きかったです。

矢寺氏 テレワークに関しては、自席端末を持ち出せるようになったことで気軽にテレワークをしやすくなり、利用が増えているという印象です。これまではテレワーク専用端末からSBC環境を利用し、庁内のサーバーへアクセスしての作業になり、普段利用している自席端末のような実務環境とは違うため、利便性が低下する側面がありました。自席端末を持ち出す運用にしたことで、庁内でも庁外でもシームレスに業務できる環境になったという点で利便性向上につながったと感じています。

また、業務環境として各所属に共有フォルダを準備していますが、ユーザーの使い勝手としてはテレワーク時に、ローカル保存したデータを使用したいニーズがありました。しかし、ローカルデータを利用することは、端末紛失時などのデータ保護的な観点で不安に思っていました。この不安はSePのワークスペースフォルダ機能で解消しています。

保存先がワークスペースフォルダ内のみでそれ以外の場所には保存できず、フォルダ内のファイルを自動削除することも可能であり、ワークスペースフォルダ自体の暗号化やデータ持ち出し時の自動暗号化といった多要素なセキュリティ制御ができるため、テレワーク環境の利便性とセキュリティ向上のどちらも叶えられる環境になりました。

SePを知らない当初は、端末紛失対策としてのデータ保護のためにWindowsに標準搭載されているBitLockerの利用を検討したこともありました。しかし、ログイン時にBitLockerのパスワードを入力する必要があるなどユーザー操作が発生してしまう事や、回復キーの管理・再発行ができない、といった使い勝手の悪さが懸念事項でした。この点についてはSePが入ってさえいればそのような管理は不要なうえ、前段で記載したワークスペースフォルダ自体の暗号化やデータ持ち出し時の自動暗号化といった多層的なセキュリティ制御により安全なテレワーク環境が構築できました。

その他、出張先での会議などに紙資料をもっていく必要がなくなった、というペーパーレスの効果もありました。

Microsoft 365ライセンス認証も
網羅的で容易に把握できるログも
手厚い運用サポートも

SePを実際に運用されてからのご所感を教えてください。

矢寺氏 庁内ネットワークの構築と合わせて、Microsoft365の調達を行いました。αモデルを採用しているためライセンス認証が難しく、事前検証でも認証が完了するまでに半日程度の時間を要する状況でした。同様の課題を持っている自治体が多くいるということは知っていましたが、事前検証時の同様の状況であれば本稼働時に混乱が生じることは容易に想像できました。

その課題もセパレートOPで難無く解決しました。インターネット接続系モードとして、インターネットへ接続するモードを作成、利用して、ほとんど時間をかけることなくライセンス認証することができました。1度認証を通してしまえば、インターネットに接続できないLGWANモードに切り替えた後でも問題なくMicrosoft 365を利用することができています。

このように1台の端末でLGWAN接続系、インターネット接続系が使え、しかも必要なMicrosoft 365のライセンス認証が可能となりました。Microsoft365のライセンス認証はネットワーク機器の導入により実現することも可能でしたが、SePの機能を活用することにより、経費の削減につながりました。

小出氏 EDRリアルタイムアナリティクス機能も有用かつ面白いですね。エラーが起こった時など、状況把握が容易ですし、仮にセキュリティインシデントが発生した際の後追いもしやすそうだと感じています。

端末管理番号など、ちょっとしたキーワードを入力しさえすれば、欲しい情報にすぐにたどり着け、とても使い勝手が良いです。ブラウザベースながらインターネット接続が不要で、LGWAN接続系モードでも問題なく機能を使える点も使いやすいです。

また、他のログ系ソリューションと比べても得られる情報の粒度が圧倒的に高く詳細で、バックで動いているプログラムといったところまで把握できることには感心しました。

そして、今回SeP環境を構築してから運用開始後に至るまで、ハミングヘッズさんの手厚いサポートに助けられていると実感しています。例えば、庁内でソフトウェアの新規インストールができず、我々としても対処に苦労したことがありました。結果的にはSePのセキュリティ制御によるものでしたが、それについて相談した際には迅速に対処していただけました。その際にソフトウェアインストール用モードの追加や、それ以降また別のソフトをインストールしたいときにどのような手順で作業すればいいかのレクチャーをしていただき、今では我々自身の手でも対応できるようになっています。

SePに期待する
ゼロトラストな環境の実現や
WSUS廃止後のWindowsアップデート管理

将来的に構想されているSePの活用方法をお聞かせください。

矢寺氏 「ゼロトラスト」への取り組みです。「国・地方ネットワークの将来像及び実現シナリオに関する検討会」の資料でも触れられており、高いセキュリティ実現のために検討が必要だと思っています。

その点、既に利用しているSePのEDRリアルタイムアナリティクス機能を有効活用出来るのではないかと考えています。他のEDRソリューションを検討して、1から導入して、設定して、メンテナンスして…ということをする必要がありません。本市が考えるゼロトラストを実現するEDRソリューションとしては、SePのEDR機能について更なる拡充を期待したいところです。

小出氏 あとはWindowsアップデート管理ですね。現在はWSUSを利用して、部署や建物などで分けながら、1か月から2か月と長期にわたってアップデート作業を実施しています。この作業コストも軽減できるに越したことはありません。

SePには、WSUSの代替が可能なうえ配信成功率も速度も非常に高いサイバーハイジーンOPというソリューションがあると伺っています。先般Microsoft社から将来的なWSUSの廃止が発表されたのもあり、Windowsアップデート管理については遠くない将来検討していくべき事項です。我々としても庁内IT環境の全体構成としてある程度仕様がそろっている方が運用しやすく、メリットがあると思いますので、サイバーハイジーンOPは検証などをしながら是々非々で判断していくべき選択肢の1つになってくるのではないでしょうか。