1. ホーム
  2. 法人のお客様
  3. 導入事例
  4. 神奈川県 様

神奈川県 様神奈川県

神奈川からは1件の個人情報も流出させない覚悟で
クラウドによる高度な統合セキュリティ対策を実現

総務省が取りまとめた自治体情報セキュリティ強化対策事業の通達を受け、神奈川県は県と市町村及び神奈川県後期高齢者医療広域連合の計35団体と共同利用する「神奈川情報セキュリティクラウド(KSC)」の構築に乗り出した。部分的なアプライアンスやオンプレミスでの基盤導入は一切考えず、求める要件と機能をすべて満たすトータルな"サービス"を調達するという基本方針の下で導入したのが、IIJのクラウドソリューションだ。

課題

  • インターネットの脅威から住民情報と重要情報を徹底して保護
  • 県や各市町村のセキュリティ水準のばらつきの解消
  • マイナンバー制度における、国や自治体間での情報連携への対応

効果

  • ファイル無害化や出口対策により情報流出を防止
  • 各団体で高水準のセキュリティ対策を統一化
  • 自治体情報システム強靭化(ネットワーク三分割)にも対応

導入前の課題

情報流出を許さない全県挙げての対応

2015年5月に日本年金機構で発生した個人情報流出事案に強い危機感を持った総務省は、マイナンバー制度及び行政に重大な影響を与えるリスクを回避するため、同年12月に各自治体に対して情報セキュリティ対策の抜本的強化を求める通達を出した。

これを受けて神奈川県が着手したのが、「神奈川情報セキュリティクラウド」(以下、KSC)の構築である。インターネットの脅威から住民情報を徹底して保護するため、県と市町村及びLGWAN(総合行政ネットワーク)を利用する神奈川県後期高齢者医療広域連合の35団体が同じセキュリティ水準を一体となって確保するとともに、その水準を維持・向上させていくことを目指した。併せて、その仕組みの中で情報システム強靱化(庁内ネットワークの三分割)の機能も実現し、マイナンバー制度における国及び地方公共団体の情報連携にも活用されるLGWAN環境からの情報流出も徹底して防止することなどを基本方針とした。

神奈川県の市原敬氏は、「構想当初から、『神奈川からは1件の個人情報の流出も許さない』というスローガンを掲げ、強い覚悟を固めてKSCの実現に臨みました」と語る。

総務省から通達が出される以前から、神奈川県では日々脅威が高まるインターネットの脅威に対し、庁内のセキュリティ対策に限界を感じ、庁内ネットワークのインターネット接続系の分割を検討していた。そこへ日本年金機構の事案を受けた総務省通達があり、県が市町村のインターネット接続も集約する対応を求められたため、一気にKSCの構築が加速した。2015年11月から2016年夏ごろまで延べ8回にわたって県と市町村の意見交換は重ねられ、その結果として「インターネット接続口の集約」「仮想ブラウザ」「メールゲートウェイ」「LGWANへの不適切なアクセス等の監視」「無害化」などの要件が合意された。

選定の決め手

約8万5,000人の職員が利用。国内最大級の情報セキュリティクラウド

KSCの要件は、総務省が求めた自治体情報セキュリティの抜本的対策をも大きく上回った。神奈川県は、このセキュリティシステムをオンプレミスで導入することは当初からまったく考えていなかったという。「日々進化する脅威に対応できるサービスを利用できるなど様々なメリットがあるクラウド型システムが今後のシステムのトレンドになるだろうという考えから、求める要件と機能をすべて満たすトータルなサービス提供型として調達したいと考えました」と市原氏は強調する。

神奈川県はこうして取りまとめたRFP(提案依頼書)を2016年8月に開示し、入札の結果導入を決定したのが、IIJ GIOをベースとするIIJの包括的なセキュリティ提案である。

「今回の要件は広範囲の技術領域に及ぶとともに、オール神奈川約8万5,000人の職員が利用する全国でもトップクラスの大規模なクラウドという非常に厳しい条件の中で、IIJは本当に良い提案をしてくれたと思います」と市原氏は振り返る。

更に高く評価するのが、その後の構築フェーズに入ってからのIIJの対応である。プロジェクトがキックオフしたのは同年11月のことだが、総務省から求められたマイナンバー情報連携のための体制を6月末までに確立する必要があり、35にも及ぶ団体の移行期間を考慮すると、2017年2月末までにKSCを稼働させなければならなかったのだ。

「実質4ヵ月間に満たないスケジュールの中で、かなり無理なお願いをせざるを得なかったのですが、IIJはしっかりやり遂げてくれました。クラウドデータセンターの構築やサービスの運用に長けた事業者でなければ、こうした短期間でのKSCの立ち上げは困難だったと思います」と市原氏は話す。

導入後の効果

堅牢なセキュリティを生かし、職員の働き方改革を推進する

2017年7月までにすべての市町村の移行が完了し、その後もKSCは高信頼の運用を続けている。「当たり前のことですが、個人情報を流出させるといったインシデントは1件も起こしていません」と市原氏。

このセキュリティ強化に特に大きな貢献を果たしたサービスの1つとして市原氏が取り上げるのが、ファイル無害化機能である。インターネットからダウンロードしたファイルや電子メールの添付ファイルについて、そこに含まれているマクロやスクリプトなどを取り除いてから庁内に取り入れるというものだ。

「従来はインターネットから庁内に素通りで入ってきたファイルが、今では受け取るまでに2~3分のタイムラグが発生するものの、外部から持ち込むファイルに対する職員の危機意識を高めることにも役立っています」と市原氏は指摘する。

しかし、それでも想定外のことは起こるものだ。危険度が高いと判定されて隔離されていたファイルを、わざわざ庁内のパソコンに取り込んでしまうという事案が起こったのである。

結論を述べると、このケースでも感染拡大や情報流出を未然に防ぐことができた。KSCの出口対策サービスが即座に働き、外部との通信を遮断したのである。

「セキュリティに対する職員のリテラシーにまだまだ格差があるのも事実ですが、誰一人として神奈川県や市町村の職員を情報漏洩の"加害者"にはしたくありません。その意味でもIIJが提供する高信頼のクラウドサービスに支えられています」と市原氏はKSCに信頼と期待を寄せる。

IIJが提供する24時間体制のSOCサービスへの期待も大きい。「庁内では定期的な異動もありますし、セキュリティ専門人材や精通した担当者を確保することは難しいのです」と市原氏は外部に委託するメリットを説明する。

こうして日々実績を重ねていくKSCを運用する一方、市原氏は「職員の働き方改革を推進したい」という構想も持っている。単なる残業削減にとどまらず、一人ひとりのワークライフバランスの適正化を図っていくためにはテレワーク/モバイルワークの環境なども整備する必要があり、その環境においても大前提となるのがセキュリティなのである。

そして、高度な情報セキュリティ水準を実現した成功事例として、今後は他の自治体や民間企業でも効果のあるこの情報セキュリティクラウドを積極的にPRしていきたいという。

神奈川県様へ導入したシステム概要図

導入したサービス・ソリューション

お客様プロフィール

神奈川県
県庁所在地:神奈川県横浜市中区日本大通1
神奈川県は33の市町村からなり、都道府県で唯一、政令指定都市を3市(横浜・川崎・相模原)抱え、全国で2番目の人口規模を誇る。東は横浜・川崎を中心とした京浜工業地帯、西は丹沢の山々や人気の箱根・湯河原の温泉地帯、県の中央部は広い平野が広がり、南東の丘陵地の先には三浦半島が望める。江ノ島、湘南海岸、古都鎌倉など人気の観光地も有する。

神奈川県

※ 本記事は2017年9月に取材した内容を基に構成しています。記事内のデータや組織名、役職などは取材時のものです。

導入事例

資料請求・見積依頼もお気軽に

お問い合わせ

電話でのお問い合わせ tel:03-5205-4466 (土日祝日除く 9:30~17:30)

導入したサービス・ソリューション