自治体などの業務では、取り扱う情報の重要性などに応じて利用するネットワーク環境を分離する「ネットワーク分離」のセキュリティ対策が講じられている。広島県庁で3月に運用を開始したシステムの構築や運用などを手掛けるネットワンシステムズが事例を公開した。
広島県庁は、「インターネットを利用する業務」「マイナンバー取り扱い業務」「総合行政ネットワーク(LG-WAN)を利用する業務」の3つの業務に応じてネットワーク分離を講じた。職員はこれらの業務を同じPCで行うが、「インターネットを利用する業務」では通常通りPCを操作し、「マイナンバー取り扱い業務」と「LG-WANを利用する業務」については、画面転送型の仮想デスクトップ環境(1750台分)を操作して行う。
特に後者の2つの業務は、仮想デスクトップ環境にすることで、実データが外部に漏えいするリスクを軽減した。PCから仮想デスクトップ環境へアクセスする際の認証にも、IDとパスワード、個々の職員が保持する“物理的なカード”を組み合わせることで、不正ログインされる危険性を低減した。
広島県庁で講じられている「ネットワーク分離」の概念イメージ(出典:ネットワンシステムズ)
さらには、サーバ上の仮想デスクトップ環境の画面データをPCへ転送する際に、遅延などによる操作性の低下を防ぐアプリケーションデリバリーコントローラ(ADC)の機能を使い、特定のPC以外は仮想デスクトップ環境に接続できない仕組みも講じている。事前に体感速度を向上させるようにADCを設定して、職員の感触も確認したという。
今回の広島県庁でのシステムを構成する機器と製品は下記の通り。
- 仮想デスクトップソフトウェア:VMware Horizon
- サーバ仮想化ソフト:VMware vSphere
- ブレードサーバ:Dell PowerEdge
- 共有ストレージ:Dell EMC Unity
- 仮想デスクトップ用セキュリティソフト:Trend Micro Deep Security
- アプリケーションデリバリーコントローラ:F5 BIG-IP
県総務局 情報戦略総括監の桑原義幸氏は、サイバー攻撃に対するセキュリティを強化しつつ、今後も重要情報を適切に管理する体制を整えていくとし、「県民の皆様のくらしをより良いものにすべく、取り組みを進めていきたいと考えています」とコメントしている。