法人のお客さま
お問い合わせ
ビジネスブログ

【新宿区事例②】マルチクラウド利活用におけるクラウドセキュリティ

西澤 和正 西澤 和正

共通プラットフォーム開発本部 エンタープライズクラウド開発第2統括部
西澤 和正

2024年10月31日掲載

新宿区事例②マルチクラウド利活用におけるクラウドセキュリティ

前回のブログ「【新宿区事例】マルチクラウド利活用における自治体情報システムの構築」では、システムの標準化とガバメントクラウドへの移行を機に、自治体DXの推進に向けてクラウドシフトと情報セキュリティ対策強化を図る新宿区様における、次期イントラネットシステムの4つの構築方針と、その中の基本的な方針となる「クラウドスマートの推進」に対してソフトバンクが提案した内容について説明しました。

新宿区事例_クラウドセキュリティ_概要図

今回は、クラウド利用環境とセキュリティに関わる残り3つの方針について説明します。

なお、本記事は、新宿区 総合政策部 情報システム課にご監修いただき制作しています。

新宿区 総合政策部 情報システム課 村田 氏にインタビューした導入事例も公開しています。ぜひご覧ください。
【導入事例】新宿区が取り組むハイブリットマルチクラウドに対応した次世代システム基盤の整備

目次

構築方針2:利用者目線の効率的かつセキュアな認証

セキュアなクラウド利用環境を構築するためには、利用者の視点に立った効率的な認証基盤を構築する必要があります。これにより、端末から業務システムまで一貫したシングルサインオン(SSO)が実現できます。また、仮想デスクトップについても、ベストプラクティスに基づいた構成を行うことで、効果的かつセキュアな利用環境を実現することができます。

パスワード認証を用いた多要素認証の課題

多要素認証は「知識情報、所持情報、生体情報」の3つの認証要素から2つ以上の要素を組み合わせて認証を行います。よく使われているのは、パスワードなどの「知識情報」と、顔や指紋、静脈などの「生体情報」を組み合わせた認証です。新宿区でも、すでに二要素認証基盤を構築していましたが、一方で、パスワード利用による入力の手間やパスワード情報の漏えいによる不正侵入のリスクが依然として残っていました。そこで、セキュリティと職員の利便性の両方を向上させるため、パスワードレスのSSOを実現する効率的な認証基盤を構築します。

Entra ID と Active Directory の連携

従来オンプレミスで使用されてきた Active Directory の運用を継続しながら、クラウドを活用する場合では Entra Connect を使用することで、クラウドの Microsoft Entra ID ※1とオンプレミスの Active Directory を同期させることができます。これにより、統合的な利用が可能になります。

また、FAT PCやAVD(Azure Virtual Desktop)などの端末管理や、オンプレミス環境とクラウドの間でのSSOを構成するためには、 Microsoft Entra hybrid join 構成を採用することが最適な方法と言えます。

  • ※1Microsoft Entra ID・・・クラウド環境に特化したIDとアクセス管理の Microsoft 社のソリューション。過去には  AzureAD の名称で呼ばれていた。 Active Directory とは別のソリューションであることに注意が必要。参考 https://learn.microsoft.com/ja-jp/entra/fundamentals/compare
新宿区事例_クラウドセキュリティ_Microsoft Entra hybrid join環境

AVDは、クラウドサービスである AVDコントロールプレーンと従来のオンプレミスのActive Directory環境にまたがるサービスであるため、 Microsoft Entra hybrid join を利用することで、IDやSSO、従来のGPO管理などを両立することができます。

なお、オンプレミスの Active Directory で.local ドメインを利用している場合、自治体一般で Entra ID で利用するlg.jpドメインを代替UPNサフィックスとして登録する必要があります。この設定作業にも注意が必要です。

新宿区事例_クラウドセキュリティ_AD

端末やAVDでの多要素認証には、 Microsoft が提供する Windows Hello for Business が選択肢となります。Windows Hello では赤外線(IR)対応の専用デバイスが必要です。また、共用PCの利用やICカード認証の利用には注意が必要です。

新宿区事例_クラウドセキュリティ_認証要件

業務や職員の区分に応じて物理的なPCを共用することがありますが、 Windows Hello では生体情報をPCのセキュリティチップに格納する仕様となっているため、共用PCの運用には制約があります。また、ICカード管理についても別のソリューションとの組み合わせが必要になります。

上記の条件に該当する場合、サードパーティー製の多要素認証管理ソリューションを検討する必要があります。新宿区では、自治体向けに豊富な実績を持つDDS社のEVEMAを採用しています。

クラウド利用環境としての Azure Virtual Desktop

新宿区では、クラウド利用環境として Microsoft 標準のクラウド型仮想デスクトップであるAzure Virtual Desktop(AVD) を採用しました。

仮想デスクトップの利用には以下のメリットがあります。

  • 端末環境の集約・統制・セキュリティ強化:標準的なデスクトップ環境を提供し、管理者がアプリケーションを集中管理します。また、物理端末への秘密情報の保存を防止し、 Windows の更新の適用が容易になります。
  • 端末運用の簡素化:物理端末には最低限の機能を実装し、物理的な故障時の交換を容易にします。

さらに、クラウドベースの仮想デスクトップを利用することで、以下の利点があります。

  • 管理の解放:AVDのコントロールプレーンがクラウドベースになるため、仮想デスクトップ基盤ソフトウェアや仮想化用の物理環境の管理から解放されます。

  • リソースの柔軟な伸縮:利用者数の増減に併わせて、リソース(CPU、メモリ、ディスクなど)の伸縮が柔軟に行えます。
  • 通信管理の容易化:クライアントとサーバー間の通信がクラウド内またはクラウド間で完結するため、オンプレミスでの通信は画面転送や認証に限定されます。これにより、通信管理が容易になります。
新宿区事例_クラウドセキュリティ_AVD環境

AVDを利用する場合では認証通信はインターネット通信が必要となるので、LBO(Local Breakout)※2が必要です。一方、画面転送に使用されるRDP(Remote Desktop Protocol)については、RDP ShortPath※3を構成することで閉域内での通信とすることができます。

  • ※2Local Break Out(LBO)・・・集約型のインターネット接続をおこなわず、拠点から直接接続するためのネットワーク構成。自治体の三層分離ネットワークにおいては、主にLGWAN接続系からインターネット接続系やセキュリティクラウドを経由することができない特定通信に限定して例外的にセキュアにインターネットへ直接接続するネットワーク構成。
  • ※3RDP ShortPath・・・クライアントアプリとAVDセッションホストを直接UDP接続する方式。RDP ShortPath では、 Express Route プライベートピアリングを経路として利用可能であり、遅延の少ない閉域接続を実現します。

従来の仮想デスクトップでは、費用対効果の課題がありましたが、AVDでは Windows 11 などのクライアントOSのマルチセッションを利用することができます。マルチセッションでは、1つのOSを複数のユーザー(例えば8人など)で共有することで、リソースの分割ロスやOS利用分のリソースを抑えることができ、コストを削減できます。概算では、マルチセッション構成はシングルセッション構成と比較してトータルコストがおよそ半分になると言われていて、大きなコスト削減が可能となります。

プロファイル管理に関する課題において FSLogix 方式を使用することは、速度と管理の観点からベストプラクティスとされています。従来のオンプレミスの仮想デスクトップ環境では、特にログオンやログオフ時にプロファイルを格納するストレージが性能上のボトルネックとなることが多かったですが、 FSLogix を使用することで Azure NetApp Files を利用した設定にすることができ、ボトルネックの少ない構成を取ることができます。これにより、運用上の負荷を軽減することができます。

新宿区事例_クラウドセキュリティ_仮想デスクトップ構成

また、もう一つサイジングの要素となるCPUとメモリについては、ワークロードに応じて共有するセッションホストの仮想マシン(VM)のスペックを決定します。従来のオンプレミスの仮想デスクトップでは、通常オーバーコミット(実際のハードウェアで使用可能なリソース以上に仮想マシンに割り当てること)が行われていました。これにより、見かけ上の仮想マシンの割り当てリソースに比べて十分なパフォーマンスが得られない問題がありました。しかし、AVDではこのような問題が起こりにくいと言えます。AVDの特徴の一つは、ボトルネックのない効率的なリソース利用構成が可能であることです。そのため、ユーザーは快適な使用感を得ることができます。

AVDマルチセッション環境においてパフォーマンスチューニングに関する留意点があります。一つは、Windows 11 マルチセッションでは、AppReadiness ServiceとOS標準アプリケーションが原因でログオン遅延の問題が生じることがあります。この問題は、マスターイメージを調整したり、「幅優先アルゴリズム」によるスケーリングプラン設定で処理を分散することが可能です。また、追加で導入するサードパーティー製品がマルチセッション環境特有の問題を抱えている場合もあり、問題を早期に検出するためにPoC(概念実証)フェーズを設けることが重要です。問題を検出し、適切な対処を行い、本番の設計・構築へ進めていくことがクラウド環境においても重要です。

こうした認証基盤とクラウド利用環境の整備により、セキュリティを確保しながらクラウドの利便性を最大限に引き出すことが可能になります。

構築方針3:安全安心(機密性・完全性・可用性)なシステムの整備

機密性

自治体情報システムにおいて、区民の情報などの機密性を守ることは非常に重要です。従来、機密情報の外部漏えいを防止するために、ファイル暗号化技術が活用されてきました。この技術には以下のメリットがあります。

  • マルウェアによる情報漏えいの防止:ランサムウェアや情報漏えいを引き起こすマルウェアがファイルをインターネット上に漏洩させても、ファイルを閲覧できない。
  • 誤送信による情報漏えいの防止:誤操作により意図しないファイルをメールに添付しても、許可されていない環境では受信者はファイルを閲覧できない。

一方で、ファイル暗号化技術はファイルサーバ上でも暗号化されて格納されるため、庁内でのファイル検索や情報共有、暗号化・復号の操作が業務の効率化を妨げる課題がありました。

新宿区では、業務によって異なる暗号化の対象を設定し、ファイル群と情報共有を対象とするファイル群をファイルサーバ単位で分割しています。これにより、職員にとっても分かりやすく必要な範囲で合理的なファイル暗号化の運用を実現しています。業務に応じて適切なセキュリティ対策を実施し、機密情報の保護と効率的な情報共有を両立させることが重要です。

新宿区事例_クラウドセキュリティ_ファイル暗号化

新宿区では、暗号化製品として InterSafe File Protection を選定しています。ユーザーは編集、保存においても、暗号化や復号を意識することなく、普段通りの操作性が維持されることも重要でした。また、独自の暗号技術を用いているため、 Microsoft 365 E5 Compliance を導入する必要がなく、ライセンスコストを抑制しています。

完全性

ファイルの改ざんリスクを低減するための暗号化と同時に、操作ログや画像による証跡を記録することにより、職員による誤操作などによるファイル変更が発生した場合でも記録から追跡が可能となります。これにより、データの完全性を確保することができます。この点については、次の章(構築方針4)でも詳しく説明していきます。

また、管理者の誤操作やマルウェアなどの脅威、ストレージの障害などによって本番システムとバックアップが同時に消失するといった事故が報告されています。このような事故から完全性を確保するためには、適切なバックアップ戦略が重要です。システムのバックアップにおいても、従来の外部メディアを使用した遠隔保全からクラウド化により同一サイト内での世代管理および遠隔保全が容易になります。これにより災害やシステムの障害時にもデータの復元性を確保することができます。

新宿区事例_クラウドセキュリティ_バックアップ構成

可用性

前回のブログでご説明したスマートクラウド方針に基づき、情報と業務の重要性から、業務システム用の基盤として国産クラウドであるASPIREを利用します。ASPIREはキャリアグレードの運用によりSLA 99.999%の可用性を提供することで高い信頼性を持ち、業務システムの運用に適しているためです。

財務会計や文書管理などの職員事務に関わる業務システムや基幹系システムは、業務停止などの影響が直接的に関わるため基盤による影響を最小限に抑えることが重要です。可用性を確保するために、高い信頼性を持つASPIREを利用することで業務の停止や影響を最小限にすることが可能になります。

MSPによる安全安心なシステム整備の実現

昨今のクラウドサービス利用時の情報セキュリティ侵害事例等をみると、いずれの事案についても、クラウドサービスの特性やクラウドサービス特有の脅威等を踏まえた適切なリスクの想定・分析・対策が行われていないことに起因するケースが多く見受けられます。クラウド活用においてクラウド導入フレームワークのベストプラクティスを利用することで、リソースの最適な活用や統合的な管理、効率的な運用やリスク管理など、コスト管理や可用性・信頼性・セキュリティの向上にも寄与します。

ソフトバンクの提供するMSP(Managed Service Provider)サービスを採用することで、クラウド導入フレームワークを効果的に活用することができるようになります。

新宿区事例_クラウドセキュリティ_MSPサービスの活用

ソフトバンクのMSPサービスでは、クラウド導入から運用までをトータルでサポートします。経験豊富なクラウドプロフェッショナルが導入コンサルティングから設計構築、移行作業、そして運用保守までを一元的に担当します。マルチクラウドの利活用においても、サービスの適切な使い分けや連携にも対応します。

24時間365日の監視対応も重要な要素です。MSPサービスの活用によりクラウドサービスのプラットフォームや自治体のリソースを監視し障害を検知するため、自治体は安心して本来の行政業務に集中することができます。

このようにMSPサービスの活用によって、自治体の管理者はクラウドプロバイダとのやりとりや運用管理に負荷を感じることなくマルチクラウド上にシステムを整備、運用することが可能となり、行政サービスに関わる業務の効率や柔軟性を高めることができます。

構築方針4:次世代情報セキュリティ対策の実現(統合的対策・内部不正防止)

統合的対策の重要性

従来のパターンファイルを用いたEndpoint Protection Platform(EPP)と呼ばれるアンチウイルス(AV)ソフトだけでは既知のマルウェアを防ぐことはできても未知のマルウェアは防御できません。そこで振る舞い検知や機械学習により未知のマルウェアも事前に検知するのが次世代アンチウイルス(NGAV)です。また、感染や侵入に伴う不審なイベントを検知し、対処を行うEndpoint Detection and Response(EDR)も重要です。

しかしながら、サイバー攻撃はさらなる巧妙化が進んでいます。特に従来の出入口対策やエンドポイントにおける検知・対策だけでは対策が不十分になっています。特にクラウドを活用する際には、ユーザーが管理するエンドポイントやオンプレミスネットワークの対策に加えてクラウドサービスや認証サービスなど、ワークロード全体での脅威の検知・対処が重要になります。これらの複数の領域で検知・対処を行うのが統合的な対策であるExtended Detection and Response(XDR)です。

新宿区事例_クラウドセキュリティ_XDR

従来の境界型防御とクラウドに適合した次世代情報セキュリティ対策

自治体情報システムは、引き続き閉域ネットワークを活用した境界型防御を基本にしており、セキュアなクラウド接続サービスを利用して従来の信頼できるネットワーク環境をクラウドに拡張しています。

そのため、従来の境界型防御の特徴である出入口対策に加えて、内部対策を拡張する形でEDR/XDRを統合的な対策として取り入れることで、オンプレミスとクラウドの両方を防御することが可能になります。これにより、既存のシステムを継続的に利用しながら新たなクラウド環境を安全に活用することができます。

MDRの重要性

サイバー攻撃を早期に検知し迅速に対処することは、被害を最小限に抑えるために非常に重要なポイントです。Managed Detection and Response(MDR)※4は、脅威の検知やインシデントの調査・分析・対処を行うことで、セキュリティ運用を支援します。

しかし、組織内に専門的なセキュリティの知識を持つ人材を確保することは難しいため、独自のSecurity Operation Center(SOC)を用意することができません。そのためMDRを活用することで、クラウドシステムを24時間監視し脅威を迅速に検知でき、初動対応を行うことができるようになります。

ソフトバンクでは、マネージドセキュリティサービス(以下、MSS)を提供しており、24時間365日の体制でさまざまなサービスに対するセキュリティの監視・分析・対処を行っています。セキュリティの運用監視・分析を行うSOC機能を提供するだけでなく、セキュリティ運用とネットワーク運用の窓口を一本化することで、お客さまの総合的な相談窓口としてご利用いただけます。

新宿区事例_クラウドセキュリティ_MMS

ソフトバンクのマネージドセキュリティサービス(MSS)は、NIST(National Institute of Standards and Technology) ※5が提唱するCyber Security Framework(CSF)に基づいてセキュリティ運用を実施しています。NISTは、CSFに基づいた具体的なガイドラインや技術的推奨事項を提供するためにSP800シリーズと呼ばれる文書を提供しています。自治体においても、サイバーセキュリティ対策を体系的に整備し、リスクを効果的に管理することが非常に重要です。MSSを採用することで容易にCSFを実践することができ、セキュリティの強化や標準化を効果的に進めることができます。

新宿区事例_クラウドセキュリティ_CSF
  • ※5NIST(National Institute of Standards and Technology、米国国立標準技術研究所)サイバーセキュリティフレームワーク・・・組織がサイバーセキュリティのリスク管理と対策を実施するためのガイドラインです。このフレームワークは、組織の現状を評価し、リスク管理とセキュリティ対策のためのプロセスを策定するためのベストプラクティスを提供します。https://www.softbank.jp/biz/solutions/cybersecurity/security-glossary/nist-csf/

サイバーセキュリティリスクへの対策

クラウドプロバイダーが提供するコミュニケーション、データ活用、生成AIといった最新技術の活用により、管理者にとって把握しづらいリスクが存在する可能性もあります。適切な管理と監視体制を整え、クラウド環境固有のリスクに対処することが重要です。攻撃者は脆弱性を見つけ出し、それを利用して侵害を試みます。そのため、攻撃者の視点でシステムやネットワークを見ることで、脆弱性やセキュリティの欠陥を早期に発見することができます。サイバー攻撃が巧妙化する中で、攻撃者の視点でセキュリティ対策を講じる必要があります。

セキュリティ専門資格において、CEH(Certified Ethical Hacker)は、システムの脆弱性を見つけ出し対策を講じるための知識と技術を持つ資格です。また、GIAC(Global Information Assurance Certification)は、ペネトレーションテスト、インシデントレスポンス、フォレンジック解析など、実績に基づく内容の資格です。MSSチームはこれらの専門資格持つメンバーを有し、セキュリティに関するさまざまな課題に対応しています。

自治体においては、セキュリティインシデントが発生した場合、個々のベンダの技術者とやり取りすることでログの提出や調査、切り分けなどの専門的な対応が必要となります。MSSでは、セキュリティとインフラの専門家が対応することで迅速かつ確実な対応を行うことができます。

また、ソフトバンクは Microsoft 365 E5 Security 製品群や主要なゲートウェイ製品群に対応しており、クラウドとネットワーク全体のマネージドセキュリティを提供しています。このように、ソフトバンクのMSSはクラウドとネットワークの総合的なセキュリティを実現するための対応策を提供しています。

新宿区事例_クラウドセキュリティ_総合セキュリティ対策

Proofpoint ITM による内部不正対策

自治体行政において万が一住民情報が漏えいしたり情報が不正利用されると、住民のプライバシーが侵害される大きな問題となります。そのため、内部不正への対策は非常に重要です。

従来の対策としては、操作ログの活用が一般的でした。操作ログは、システムやアプリケーションの利用履歴を記録することで、不正な操作の証拠となるものです。しかし、操作ログだけでは内部不正の予防や調査には限界があります。さらに、操作ログには情報の不足という制約もあります。例えば、ファイルに意図しない変更や不正行為が行われた場合、単純な操作ログだけでは詳細な情報が得られず、被害の範囲や加害者の特定が困難となることがあります。

情報の不足を解消するためには、操作ログに加えてユーザーの視点での画像による証跡やキーロギングが有効です。画像による証跡は、具体的なファイルの編集内容や変更履歴を可視化することができます。これにより、情報不足を補うだけでなく、問題のあるユーザーの行動の特定や意図的な不正行為の検知にも役立つことが期待されます。

新宿区では、内部不正対策専用のツールとしてProofpoint ITMを採用しました。このツールは、ユーザーの操作を独自に評価し、危険性の高い操作をする可能性のあるユーザーを分析し、リアルタイムで抑止することができます。操作ログだけでは捉えられない情報や傾向を把握し、抑止まで行うことで、より効果的な内部不正対策を実現することができます。

新宿区事例_クラウドセキュリティ_ProofPoint ITM

内部不正は予防が難しい問題ですが、EDRや資産管理ツールに加えて内部不正対策専用のツールを組み合わせることで高度な分析と証跡管理を行い、包括的な対策が可能となります。組織は内部不正対策に積極的に取り組むことで、リスクを最小限に抑えることができます。

まとめ

今回は、次期イントラネットシステムのセキュリティに関わる3つの構築方針(クラウド利用環境とクラウドセキュリティ)について、ソフトバンクの提案内容について説明いたしました。

ソフトバンクは、新宿区と共に創り上げた次期イントラネットシステムにより、自治体DXの実現とそれを支えるマルチクラウドの利活用を全力でサポートいたします。また、本ブログ作成において、ご支援・監修いただいた新宿区様に感謝申し上げます。

新宿区様 導入事例

新宿区事例

新宿区が取り組むハイブリットマルチクラウドに対応した次世代システム基盤の整備

新宿区 総合政策部 情報システム課 村田 新 氏にお話を伺いました。

ダウンロードする

関連サービス

Azure Virtual Desktop(AVD)

Microsoft Azure 上で提供している仮想デスクトップサービス(VDI)です。Microsoft 365 との高い親和性をもち、Windows 10のマルチセッションを利用できます。自由で安全な業務環境の構築により生産性の向上を実現します。

MSPサービス

ソフトバンクはAWS アドバンストティアサービスパートナーです。「はじめてのAWS導入」から大規模なサービス基盤や基幹システムの構築まで、お客さまのご要望にあわせて最適なAWS環境の導入を支援します。

PloofPoint ITM

Microsoft Azureは、Microsoftが提供するパブリッククラウドプラットフォームです。コンピューティングからデータ保存、アプリケーションなどのリソースを、必要な時に必要な量だけ従量課金で利用することができます。

マネージドセキュリティサービス(MSS)

 Oracle Cloud Infrastructure(OCI)は、あらゆるワークロードに対応する完全なインフラストラクチャサービスとプラットフォームサービスです。ミッションクリティカルシステムにおけるクラウド運用を加速するサービスを継続的に提供します。

関連記事

【新宿区事例】マルチクラウド利活用における自治体情報システムの構築

 \ 業務課題をデジタルで支援 /

デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。

中小規模のお客さま向けサイトをみる

メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。

おすすめの記事

条件に該当するページがございません

法人のお客さま向け イベント

イベント・セミナー

ビジネスに役立つ 資料ダウンロード

資料ダウンロード

「今」と「未来」を発信 ソフトバンクのビジネスブログ

ビジネスブログ

クラウドテクノロジーブログ

クラウドテクノロジーブログ