働き方改革やDXの潮流により、民間企業のみならず自治体においてもクラウドサービスへの移行を検討するところが増えている。一方で、総務省の三層分離要請などが障壁となって、十分にデータを活用できていないのが現状だ。本講演では、三層の構えでもクラウドを最大限に活用するための手法や、それを支援するツールなども説明された。
本コンテンツは、2023年8月31日に開催されたJBpress主催「公共DXフォーラム2023(総集編)」のセッションⅠ「クラウド上で三層の構えを最大限に活用するアクセス制御とは?」の内容を採録したものです。
クラウドストレージサービスとは
クラウドストレージサービスとは、インターネット上にファイルを保存し、管理、運用するサービスのことです。インターネット上にコンテンツを保存するため、働く場所や端末を制限せず、外部の共有も簡単です。仕事の効率化や生産性の向上が実現するとともに、オンプレミスからクラウドへ移行することで管理者への負担を軽減することもできます。
また日本は地震や津波などの被害を受けやすいため、最近ではBCP(事業継続計画)対策として導入する企業、団体も増えてきています。
地方自治体における三層の構え
2015年5月ごろに発生した日本年金機構での情報漏えいをきっかけに、総務省は2016年、「自治体情報システム強靭化モデル」を策定し、各自治体で、庁内ネットワークを「マイナンバー利用事務系」、「LGWAN(自治体専用回線:総合行政ネットワーク)接続系」、「インターネット接続系」の3つに分離すること(三層分離)を要請しました。(図1)
それぞれ業務を行うネットワーク環境を分けることで、セキュリティー対策を強化するものです。主たる業務端末をLGWAN接続系に配置するモデルはαモデルと呼ばれます。αモデルのネットワーク構成にすることで、セキュリティー対策の向上は実現できましたが、課題も出てきました。業務をネットワークごとに分けたことで、職員の業務効率が低下してしまったのです。
この問題が浮き彫りになったのが、新型コロナウイルスの猛威です。問い合わせの対応や給付金の対応、マスク配布など、自治体では多くの業務を並行して行う必要がありましたが、ネットワークが分離されていることで、業務を効率よく進めることができませんでした。
このような課題に対し、総務省は2020年5月、自治体情報セキュリティー対策の見直しを発表しています。この時に、αモデルに続くβモデル、β’モデルという新しいネットワーク構成が公表されました(図2)。βおよびβ’モデルは、業務端末の一部をインターネット接続系へ移行し、業務システムの一部もインターネット接続系へ移行することで業務効率を改善できるような構成になっています。
今後のクラウドサービス活用はより大きく
日本政府が、これまで出してきたクラウドサービス活用におけるガイドラインとして、まず2017年5月に閣議決定された「世界最先端デジタル国家創造宣言・官民データ活用推進計画」において「クラウド・バイ・デフォルト原則」が示されました。これは政府が調達するサービスはクラウドを前提にするという考え方です。
また、どのサービスを使えばいいのかという基準を示すために、2020年6月には「政府情報システムのためのセキュリティー評価制度(ISMAP:イスマップ)」ができました。2022年11月にはさらに、ISMAPの枠組みのうちリスクの小さな業務・情報の処理に用いるSaaSサービスを対象とする「ISMAP-LIU(イスマップ・ロー・インパクト・ユース)」と呼ばれる基準も新設されました。
ここで、今年度公開された「政府機関等の対策基準策定のためのガイドライン」の内容を見ていきましょう。この中で、アクセス制御について触れている部分があります。「IPアドレスによる端末の制限」や「ネットワークセグメントの分割によるアクセス制御」は、これらを動的にアクセス制御で行うと記載されています。クラウドサービスを利用することで、どこでも働けるような環境になったため 、外部からのアクセスを考慮した内容になったものと考えられます。
また、「地方自治体における情報セキュリティーに関するガイドライン(令和4年3月版)」では、技術的セキュリティーについて、「職員等が他課室等のフォルダ及びファイルを閲覧及び使用できないように、設定」することや、「担当職員以外の職員等が閲覧及び使用できないように」しなければならないとされています。
さらに 、アクセス制御については、「内部のネットワーク又は情報システムに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない」と記載されています。
地方自治体でのクラウドサービス活用事例
実際に地方自治体ではどのようにクラウドサービスが活用されているのでしょうか。ここでは自然災害時にBCP基盤として活用された事例を2つ紹介します。
1つ目は2016年に発生した熊本地震におけるクラウドストレージ活用です。熊本地震では、位置情報と現地調査写真や申請書データをクラウド上で一元管理しました。タブレット端末からその場で世帯別フォルダに画像を保存し、データ管理やリアルタイムでの共有、複数プロジェクトチームでの連携基盤として活用されました。
2つ目の事例は2018年に発生した西日本豪雨です。この際に、BoxJapan(ボックスジャパン)社が広島県に無償でライセンス提供を行い、被災地現場の写真を共有・保存することができました。災害対応の初動対応の一翼を担ったとして、同県知事から感謝状が贈られています。
いずれも、クラウドストレージを利用することで、業務効率の向上だけでなく、災害発生時のBCP基盤としても活用できた事例です。一方で、クラウドストレージに関心はあるものの実際の活用はこれからという自治体も多いようです。
活用する上で考慮しなければならないポイントの1つがアクセス権限です。庁内、所内でクラウドサービスを利用する際、ガイドラインにも対応できるようにネットワーク環境(LGWAN系、インターネット系)に応じてクラウドサービス上で表示されるフォルダを自動で変更しなければなりませんが、これを解決しようとすると、ネットワーク環境ごとに利用するアカウントを購入したり、アクセス権限を管理者が都度変更したり、インターネット系環境でのみ利用を行ったりするなど、職員の負担増、コスト増、管理者への負担増が起こります。
これではせっかくクラウドを導入しても活用が限定的になってしまうという新しい課題が出てきしまいます。
クラウド上で三層の構えを最大限に活用
どうすればこれらの課題を解決しクラウドを三層の構えで最大限に活用することができるでしょうか。その実現を支援するのが、当社が2023年10月に発売を予定している新製品「CL-UMP(クランプ)」です。
「CL-UMP」は、ユーザーがいつでもどこでも安心してクラウドストレージを使用できるように開発された新サービスです。ユーザーがサインオンした時にパソコンの状態を判定して、アカウントの権限を自動的に切り替えることができます(図3)。
同じユーザーでも、会社、自宅、社外など、環境や状況によってセキュリティーリスクは異なります。「CL-UMP」はクラウドのアカウントに対して、利用する端末環境でアクセス権限を動的に変更します。アカウントは1人1アカウントで運用可能です。利用者が意識することなく必要な権限を付与するため、自分がどこにいるかなどを設定する必要もなく、ただ、いつも通りにBoxにログインしてファイルを操作することができます。もちろん、管理者は運用開始後に設定を変更することも可能です。
自治体の三層の構えにおいて、「CL-UMP」のこの機能は最大限に活用できます。通常のクラウドストレージでは、1団体1テナントつまり、1つの領域でデータを保存管理しますが、これでは三層の構えが運用できません。
「CL-UMP」を利用すれば、そのアカウントがどのネットワーク環境からクラウドストレージへアクセスしているのかを自動で判別し、ネットワーク環境ごとに操作できるフォルダを切り替えることで、仮想的にクラウドストレージ上を三層の構えと同じ構成にすることが可能です。
「CL-UMP」はすでにある特別区で実証実験を行っています。この特別区では、ファイルサーバーが各課で個別管理されていたため、サイロ化が進み、必要なファイルがどこにあるのか分からないといった状態でした。そこで、外部とのコラボレーション機能に特長を持つクBoxを採用し、LGWAN系、インターネット系のそれぞれでBoxアカウントの購入を検討していましたが、コスト増が課題でした。
そこで当社の「CL-UMP」を活用し、各ネットワークからBoxへアクセスした際、接続しているネットワーク用のファイル操作は自由とし、その他ネットワーク用フォルダは参照のみできるように自動制御することを提案しました。現在、Boxを各ネットワークのコンテンツハブとして活用できるのか実験中です。
ほかにも民間企業や代理店様から、実証実験をやってみたいという話をいただいています。うちも実証実験をやってみたいという自治体の皆様がいらっしゃれば、ぜひ当社にご相談ください。