第7回 サイバー攻撃から企業・組織を守るフォーティネット「ユーザー事例」
FortiGateとFortiClient/ZTNAが実現したセキュリティと利便性の両立
インターネット前提の「β’モデル」に移行し、職員の働き方改革を推進した真庭市
提供: フォーティネットジャパン
岡山県北部に位置する真庭市は、総務省のガイドラインに基づいた三層分離を前提とした「αモデル」から、クラウドサービスの有効活用を視野に入れた「β’モデル」への移行を実施した。コストやセキュリティへの懸念で二の足を踏む自治体が多い中、真庭市がβ’モデルに移行できたのは、フォーティネット製品の導入によるゼロトラストネットワークアクセス(ZTNA)とローカルブレイクアウト(LBO)の実現が大きい。導入・構築のポイントについて真庭市 総合政策部総合政策課に聞いた。
岡山県の真庭市庁舎
導入・構築のポイント
(1)ネットワーク基盤を再構築し、インターネットを活用しやすくなる
(2)インターネットの閲覧やシステムをまたいだファイルの移動のたびに要していた手間を30%程度削減
顧客:真庭市
業種:自治体
所在地:岡山県
職員数:744人(2024年4月現在)
蒜山高原や湯原温泉など豊かな自然に恵まれる岡山県の真庭市は、デジタル技術の活用にも積極的だ。2025年は、2021年に計画した「真庭市dX 戦略計画」の最終年度に当たる。地域通貨「まにこいん」は、市民の55%に当たる約2万3000人が利用するまでに浸透している。
一方で、情報システム専属の職員2名で750名弱の職員をサポートしている状況にあり、自治体サービスが多様化する中、職員に対するサポートの負荷は増加傾向にあった。加えて真庭市の地域特性である面積の広大さも、職員の働き方改革が迫られる起点になった。
真庭市dX 戦略計画の存在もあって、真庭市上層部は真庭市dx化にあたり現場への理解が深かった。また、中央省庁から真庭市に出向している職員から、中央省庁でのWork from Homeやフリーアドレス化の話を耳にしたことも真庭市職員の大きな刺激になり、少子高齢化が進む中でも職員の働き方改革を進めなくてはならないという意識が高まり、ひいてはよりよい市民サービスの提供を目指していくためにはどうすべきかを考えるきっかけになった。そして、これらの戦術の1つとしてネットワーク基盤の最適化が必要だと判断した。
具体的には、以前の総務省のガイドラインに基づいた三層分離を前提としたαモデルから、クラウドサービスの有効活用を視野に入れ、β’モデルへの移行を決定した。デジタル庁および総務省が、2030年を目標に公表した「国・地方ネットワークの将来像および実現シナリオに関する検討会報告書」では、ゼロトラスト・アーキテクチャーへの移行が打ち出されており、その方針も踏まえた決断だった。
資料一つ閲覧するにも手間を強いられ、業務効率を大きく阻害
真庭市は近年、「まにこいん」のアプリによる住民との接点だけでなく、職員の働き方改革という観点でもデジタルトランスフォーメーション(DX)に取り組んでいる。少子高齢化が進む中でも住民サービスの質を向上させ、効率的に業務を行うには、クラウドサービスをはじめとするデジタル技術の力が不可欠だからだ。だが、一連の変革に当たってはIT環境を根本的に見直す必要があると判断した。
これまで地方自治体では、情報漏洩対策を重視したかつての総務省のガイドラインに基づき、「個人番号利用事務系」「LGWAN 接続系」「インターネット接続系」という三つのシステムを切り離して運用する「三層の対策」、いわゆる「αモデル」が採用されてきた。真庭市も、当時としては先進的なシンクライアントシステムを導入して三層分離を実現し、安全な業務環境を実現してきた。
しかし、この環境ではリモートワークはもちろん、庁内での業務を進める際にもさまざまな制約が生じていた。真庭市の場合も、インターネット閲覧やメールに添付されたファイルのダウンロードといった日常業務のたびにシンクライアントを立ち上げ、さらに専用の仮想ブラウザを立ち上げて認証するといった煩雑な操作が必要となり、職員に少なくない負担を強いていた。
「机の上のシンクライアント端末がなければ何も資料が見られない状態でした。会議室で打ち合わせをしていても、追加の資料が必要になると、『一度机に戻って取ってきます』という状態でした」(真庭市 総合政策部総合政策課 主幹 植木孝和氏)
真庭市 総合政策部総合政策課 主幹 植木孝和氏
その後総務省はガイドラインを改定し、職員の業務システムや業務用端末をインターネット接続系から利用できる「βモデル」および「β’モデル」が提唱された。いくつか追加のセキュリティ対策を講じる必要があるが、インターネットやクラウドサービスへのアクセスの自由度が高まり、業務の効率化が見込まれる。
移行を検討しつつも、コストやセキュリティ対策などの面で踏み切れない自治体が多い中、真庭市はゼロトラストの考え方を取り入れることで問題を解決できると判断。LGWAN系ファイウォールの更新のタイミングに当たっていたこともあり、クラウドサービスの本格的な活用と合わせ、業務システム、業務端末の両方をインターネット接続系に移行し、情報資産単位でのアクセス制御などの対策でセキュリティを担保するβ’モデルを目指す方針を2023年度に立てた。
「β’モデルを活用すればより柔軟な働き方が可能になり、再びコロナ禍のような事態が起きてもリモートワークへの切り替えも容易になります。総合的に考え、ゼロトラストの考え方に基づいてネットワークを最適化し、総務省のガイドラインで示されたβ’モデルへ舵を切ることに決めました」(真庭市 総合政策部総合政策課 美甘幸路氏)
真庭市 総合政策部総合政策課 美甘 幸路氏
ゼロトラストネットワークアクセス(ZTNA)とローカルブレイクアウト(LBO)を段階的に導入
真庭市はこの方針に基づき、FortiGate 600FとFortiClientを組み合わせ、ゼロトラストの考え方に基づいて新たなネットワーク基盤を構築することにした。
真庭市では以前からkintoneやカオナビといったクラウドサービスを利用し始めていたが、Microsoft 365をはじめ、活用範囲をさらに広げることにした。これらクラウドサービスも含めたインターネットをより安全に利用するための環境を、FortiGate が提供するネットワークセキュリティ機能に加え、FortiClientを組み合わせたゼロトラストネットワークアクセス(ZTNA)とローカルブレイクアウト(LBO)、テナント制御によって段階的に実現し、顔認証技術など他のソリューションとも統合していく計画だ。
フォーティネット製品を導入した真庭市のネットワーク
「ゲートウェイとクライアントソフトウェアとで別々のソリューションを導入するのではうまく連動できないのではという不安が残りますし、運用面でも負荷がかかります。はじめから連携が担保されているものを導入したいと考えました」(美甘氏)
まず2024年10月に総合政策課など一部の部署で試験的に運用を開始し、2025年1月には200台を各課に配布し、徐々に導入を開始した。その運用状況を踏まえ、2025年秋には全庁に新たな環境を展開する計画だ。
Fortinetを選んだ理由/導入の効果
フォーティネット製品を選んだ理由について、美甘氏は「FortiGate は鳥取・岡山自治体情報セキュリティクラウドでも採用されているなど長年の実績があり、ゲートウェイとしての基本的なセキュリティ機能については信頼がありました。ASICを採用しているため性能が高く、先進的な技術に取り組む企業というイメージでした」と述べる。
活用し始めてから日はまだ浅いが、以前に比べ大幅に利便性が高まったことを実感している。
「今は、インターネットを見ようと思えばすぐに見られるようになりました。なおかつ安全性も担保されているため、利便性と安心を感じています」(同主査 藤森広崇氏)。
真庭市 総合政策部総合政策課 主査 藤森 広崇氏
一概には言えないが、日々の業務に要していた手間が三割は減った印象だという。仮想ブラウザのライセンス数に上限があり、アクセスが集中すると遅くなるといった事態もなくなると期待している。リモートワーク用にもう一台、専用パソコンを持ち歩く必要もない。
「すべてのユーザーがIT 操作に詳しいわけではない以上、いちいち環境に合わせてユーザーが手順を踏むのは困難ですが、新たな環境では外部にパソコンを持ち出すと、ネットワークが切り替わったことをFortiClient が検知し、顔認証を経て自動的にVPNで接続してくれます。ユーザーが意識せずに接続できる環境を実現できます」(美甘氏)
まだ本番運用を始めたばかりでトラブルが皆無というわけではない。しかし、フォーティネットのエンジニアによるサポートを通して速やかな対応が得られるため助かっているという。
「インターネットにつながるという見た目は同じでも、10年前、20年前とはセキュリティに雲泥の差がある状態で活用できるようになり、いっそう進化した形でβ’モデルに移行できると期待しています」(植木氏)
今後は、全職員にMicrosoft 365の使い方などを周知し、新しい効率的な働き方を広げていく方針だ。人手不足が深刻化する中、ゼロトラストに基づく新たなネットワーク基盤をベースにさらなる働き方改革を進め、電子申請の活用や「まにこいん」のスーパーアプリ化といった形で住民向けサービスの質の向上を図り、住民との新たな連携を作っていく方針だ。
本記事はフォーティネットジャパンのユーザー事例「3台のハードウェアを1台のFortiGateに集約 これまでのネットワーク構成も従業員の使い勝手も変えることなくプロキシサーバを入れ替え」を再編集したものです。
この連載の記事
- 第6回
sponsored
3台のハードウェアを1台のFortiGateに集約 使い勝手を変えずにプロキシサーバを入れ替え - 第5回
sponsored
「自分たちの工場のセキュリティは自分たちで守る」 現場と一体になって進めたリコーのOTセキュリティ - 第4回
sponsored
クラウド導入を機に「一人一アカウント体制」を整備したNINS ベスト・オブ・ブリードの10社を統合 - 第3回
sponsored
ホテルモントレ、高度化するサイバー攻撃を24時間365日体制のEDR運用で守る - 第2回
sponsored
ニトリはネットワークの運用・管理も「自前主義」 SD-WANで実現したコスト削減とビジネスの進化 - 第1回
sponsored
セキュリティを意識しないテレワーク環境を構築した北海道新聞社 自らの保守でランサムウェアの脅威を防ぐ