山梨県様

クラウドサービスの増加
働き方改革・テレワークを背景に
αモデルからβ´モデルへ移行を決断

山梨県様がαモデルからβ´モデルに移行された経緯をお聞かせください。

伊藤氏 2015年に起きた日本年金機構からの情報流出の問題がきっかけとなって、総務省から全国の自治体に対し、ネットワークを三層に分離するセキュリティ対策強化が要請されました。本県も庁内ネットワークのLGWAN接続系と個人番号事務系をインターネットから切り離した構成に改修し、LGWAN接続系を主業務環境（αモデル）として2016年度から運用を始めました。その結果、マルウェア検知数が明らかに減るなど、主業務環境のセキュリティの強度が上がったことを実感しています。

その一方で、テレワークに代表される柔軟な働き方への対応に加え、2020年からの新型コロナウィルス感染症の感染拡大により、これまで以上にWeb会議システムなどクラウドサービスを柔軟に活用できる環境整備の必要性が高くなりました。

また、県民や事業者への情報提供や情報のやりとりなどの面で、αモデルにおける効率性の悪さも表面化していました。インターネット接続系で受信したメールの添付ファイルをLGWAN接続系に移して作業するために、無害化処理やファイルの受け取り、インターネット接続系との切替など複数ステップを踏むため手間がかかり、スピード感が失われていました。

このような課題への対応を検討するなか、総務省から新たなネットワーク分離モデルとしてβ、β´モデルが提示されたことを受け、前述の課題解決に向けた方向性としても一致していたことから、庁内ネットワーク環境をβ‘モデルに移行することとなりました。

β´モデルへ移行時に
業務効率を落とさずに
強固なセキュリティを検討

β´モデルへ移行する際にSePの導入を決められた経緯をお聞かせください。

伊藤氏 β´モデルでは、インターネット接続系で多くの業務を行うこととなるため、今まで以上に強固なセキュリティ対策が必要です。そこで、自治体情報セキュリティクラウドなど、従来からある通信監視やインシデント検知などの対策を強化すべく、EDRを導入するとともに万一ファイルが流出した際の対策としてファイル暗号化の見直しを進めました。

また、β´モデルへの移行に併せてクラウドサービス「Microsoft 365」の利用を検討していたこともあり、こうしたクラウドサービス利用の場面においても庁内ネットワークと同様に、情報保護対策面での安全性確保と業務効率低下防止を検討のポイントとしてPoC等実施した結果、これらのニーズを満たすセキュリティ製品としてSePを選定しました。

β´モデルについて移行されたときの状況や、実際の使い勝手はいかがでしょうか。

渡邊氏 β´モデルへの移行については設計から実装、運用開始まで、これまでのネットワーク改修と比べてタイトなスケジュールとなりましたが、入念な準備を経て、大きな混乱もなく実施できました。

運用開始から間もないですが、職員からは好評を得ています。県民や事業者など庁外の方々との情報のやりとりが多い業務では、特に効率面での改善が図れているようです。LGWAN接続系での業務遂行面でも特段の問題は発生していません。エンドポイントのセキュリティ対策強化として導入したEDRも、事前検証を繰り返した結果、誤検知などによる業務影響が想定より大幅に少ない状態でスタートできました。

クラウドでも庁内同様
意識することなく
セキュアな環境を実現

β´モデルになってから、SePがお役に立てているのはどんなところでしょうか。

渡邊氏 SePは庁内ネットワーク環境を信頼領域と非信頼領域に区別し、ファイルを非信頼領域に持ち出す際に自動的に暗号化・禁止するなど強固な情報漏洩対策が施せます。また、通信先URLやフォルダごとに禁止動作等を細かく制御することも可能です。それらに加え、Microsoft 365のデータ領域について部分的に信頼領域とし、庁内ネットワークと同様に操作できることも利便性向上につながっています。

本県ではSePの機能を用いて、信頼領域ではファイルを平文で利用し、Microsoft 365以外のクラウドサービス（委託事業者が指定するファイル交換サービス等）やUSBメモリへの書き込み時には所定の手順を経ないと自動的にファイルを暗号化するという運用を行っています。庁内のファイルサーバに保存しているファイルやシステムに登録しているファイルを平文のまま利用できるため、職員の負担を最小限に抑えた運用ができ、ファイルサーバ更改時も復号処理を必要としないなど、運用面での有用性の高さを感じています。

ほかにSePの機能で活用されている機能はありますか？

渡邊氏 Write制限機能のIP送信制限を利用して、未定義のアプリケーションによるインターネットへの通信を全て禁止しています。β´モデルに移行にあたり、マルウェア感染による情報流出が懸念点の一つであったため、マルウェア感染対策面でもこの機能に期待を寄せています。ホワイトリストに登録していない（未定義の）アプリケーションによるインターネットとの通信を全て遮断し、情報漏洩を防ぐことができるため、別途導入しているコンテンツフィルタと組み合わせてリスクを小さくすることができていると考えています。

SePのサポート面はいかがですか？

渡邊氏 本県ではMicrosoft Edgeを標準ブラウザとして利用していますが、それまでのInternet Explorerと比べてバージョンアップ回数も多く、各種システムを追随させることは意外に苦労します。その点、SePは常に最新のバージョンに合わせてアップデート版が提供されるため、ブラウザを最新の状態に保つ上でのハードルにならないことも有り難いです。

Microsoft 365をはじめ
クラウドサービスの履歴活用や
テレワークを意識した運用の検討へ

今後のSeP活用の展望などありましたらお聞かせください。

伊藤氏 今後は、働き方の変化として、机上以外に端末を持ち運ぶ機会が増えると考えていますので、紛失リスク対策としてSePの活用を検討していきます。

また、政府が「クラウド・バイ・デフォルト原則」を推進していることもあり、業務遂行面でクラウドサービス利用機会の増加が予想されます。SePはMicrosoft 365をはじめとする代表的なクラウドサービスに順次対応し、詳細な操作履歴・通信履歴がとれると伺っています。クラウドサービス利用管理という意味でも、取得した履歴の活用を検討していきたいと思います。