【隔離技術で三層分離を実現】自治体のセキュリティ強化と利便性向上を両立したソリューションを自治体導入事例とともに紹介

自治体のネットワーク分離の現状

自治体においては、セキュリティ対策として「三層の対策」を実施しており、「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」に分離しています。総務省は当初の三層分離モデルを「αモデル」と定義したうえで、αモデルの課題解決に向けて「βモデル」「β'モデル」を提示し、2024年10月には「α'モデル」を新たに定義しました。

現在自治体の三層対策は、「αモデル」「α'モデル」「βモデル」「β'モデル」の４つが定義されています。2023年4月時点では、政令指定都市のβ'モデルの導入が進んでいる一方、中核市・特別区の80%以上、その他市町村は90%以上が従来型のαモデルであることが分かっています。

出典：総務省「地方公共団体のセキュリティ対策に係る国の動きと地方公共団体の状況について」よりhttps://www.soumu.go.jp/main_content/000907082.pdf

αモデルからの移行が進まない理由

α'モデル以降のネットワークモデルへ移行が進まない理由としては、以下が挙げられます。

①　導入・維持コストの増加

セキュリティ脅威が増加している昨今、βモデルに移行するにはVDI環境の構築技術的対策だけでなく、職員間の連携など組織的な対応も求められています。これには予算や人材の確保が必要であり、地方の自治体にとってはハードルが高いのが現状です。

②　セキュリティ脅威の増加

βモデルやβ'モデルは、クラウドサービスやテレワークに対応しやすい柔軟な構成です。しかし、業務端末がインターネット接続系にあるため、外部からの攻撃リスクが高まるリスクがあります。

③　運用負荷の増加

βモデルやβ'モデルは利便性が上がる一方、高度なセキュリティ対策が求められます。特にEDRやアンチウイルス製品の導入・運用には、専門的な知識を持つ人材が不可欠であり、自治体にとっては運用面でのハードルが高くなります。

ネットワークモデルの特長と課題

サイバー攻撃が増加する一方セキュリティ人材不足により、セキュリティ強化と利便性向上の両立が課題となっています。各モデルにおけるシステム面での課題は以下の通りです。

【αモデル】

３つのネットワーク層を分離しています。セキュリティ対策は強力ですが、用途に応じてネットワークや端末の使い分けが必要であり、利便性に欠けていることが課題です。

出典：総務省「次期LGWANの検討状況（セキュリティ関係）」
https://www.soumu.go.jp/main_content/000866619.pdf

【βモデル/β'モデル】

インターネット接続系の端末から、画面転送方式(VDI)により業務端末（LGWAN接続系）をリモート操作できるようにします。セキュリティ対策として、VPNと併用されるケースが多いです。しかし近年では、VPN製品の脆弱性を狙ったサイバー攻撃が増加しており、「脱VPN」の動きが加速しています。VPNの安全性を維持するためには、継続的な脆弱性管理や適切な設定が不可欠であり、その運用には大きな労力が必要です。

出典：総務省「次期LGWANの検討状況（セキュリティ関係）」
https://www.soumu.go.jp/main_content/000866619.pdf

【α'モデル】

LGWAN接続系から特定クラウドサービスへ直接アクセスする「ローカルブレイクアウト方式」が採用されるケースが多く、業務の利便性が向上しています。仮想環境の構築が不要なため、システム全体への影響が少なく、導入・運用コストも比較的低く抑えられます。ただし、接続対象のクラウドサービスの選定やセキュリティ対策には慎重な設計が求められます。

出典：総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和6年10月版)」https://www.soumu.go.jp/main_content/000970479.pdf

このように「画面転送方式」や「ローカルブレイクアウト方式」ではセキュリティ強化と業務効率化の両立が難しいのが現状です。このような三層分離の課題を解決するための有力な選択肢として、HP Sure Click Enterpriseが注目されています。

HP Sure Click Enterpriseについて

HP Sure Click Enterpriseは、アプリケーション分離技術が搭載されたエンドポイントセキュリティです。導入することで挙げられる4つのメリットを解説します。

①　高度なセキュリティ対策

Webブラウザや外部メモリ、メール添付ファイルなどを仮想環境（MicroVM）内で実行します。これにより、万が一脅威を含むファイルを開いてしまっても、脅威はMicroVM内に封じ込められ、業務端末には一切影響を及ぼしません。これにより、マルウェア感染や情報漏えいのリスクを大幅に低減できます。

②　ネットワーク分離環境における業務効率化

インターネット利用に伴う端末の切り替えや作業中断といった課題に対して、安全性を保ちながら解決できます。これにより、職員は一つの端末で業務とインターネット利用をスムーズに行えるようになり、柔軟で効率的な運用ができます。

③　社内教育の負担軽減

アプリケーション分離は裏で動作しているため、メールの添付ファイルを開封する場合もいつも通りの操作で確認できます。また、Webの閲覧時は「HP Sure Click Secure Browser」という専用ブラウザを使用しますが、Chromiumベースのため、見た目や操作感はChromeブラウザやEdgeブラウザと変わりません。そのため、特別な知識や操作方法を覚える必要がなく、導入時の教育コストや運用負担を抑えられます。

運用コストの低減

クラウド版をご利用の場合はサーバーの構築が不要で、既存のパソコンに専用のソフトウェアを導入するだけで利用可能です。また、オンプレミス版でもサーバー型の仮想ブラウザや仮想デスクトップと比べ、比較的小規模なサーバー構成で導入や構築可能なため、運用にかかるコストを抑えられます。

自治体導入事例

ここからは、実際の事例を基にどのような課題をHP Sure Click Enterpriseで解決したのか、具体的にご紹介していきます

・北海道森町

出典：HP Sure Click Enterprise 導入事例ページ北海道森町役場
https://jp.ext.hp.com/business-solution/businessnow/casestudy/hokkaido-mori/

・新潟県柏崎市

出典：HP Sure Click Enterprise 導入事例ページ柏崎市役所
https://jp.ext.hp.com/business-solution/businessnow/casestudy/kashiwazaki/

・沖縄県那覇市

出典：HP Sure Click Enterprise 導入事例 - 那覇市役所
https://jp.ext.hp.com/business-solution/businessnow/casestudy/naha/?msockid=16fc05f8706b6fc32f1b108e71276ed6

ファイル転送・ファイル無害化との組み合わせでセキュリティをさらに強化

「HP Sure Click Enterprise」は、ALSIが提供するネットワーク分離環境で安全にファイル転送を行うソリューション「InterSafe FileTransporter」と、ファイル無害化ソリューション「InterSafe FileSanitizer Powered by OPSWAT」を組み合わせて利用できます。本ソリューションの組み合わせにより、インターネット接続系ネットワークからダウンロードしたファイルを隔離・保存後、ファイルを自動で無害化し、基幹系ネットワークへ転送できるため、安全かつ利便性の高いファイル授受を実現します。

まとめ

本ブログでは、自治体における三層分離の課題に対しHP Sure Click Enterpriseを活用する事例をご紹介しました。サイバー攻撃は年々増加しており、自治体においても、より強固なセキュリティ対策が求められていますが、利便性との両立が課題となっています。「HP Sure Click Enterprise」をご利用いただくことで、1台の端末でネットワーク分離環境に対応しつつ、シンプルな運用とヒューマンエラーによるマルウェア感染の防止が可能になります。三層分離に課題を抱えている自治体の皆様、HP Sure Click Enterpriseにご興味がございましたら、ぜひお気軽にお問い合わせください。