導入事例
北海道八雲町様
北海道八雲町様
八雲町様では、αモデルに対応した当初からHyper-Vによる仮想ブラウザを使用されていましたが、βモデルへの移行を決定したタイミングで「SKYDIV Desktop Client」を導入。同じく2011年から導入していただいている「SKYSEA Client View」の活用も含め、同町のシステム運用やPC管理について、政策推進課情報政策係の中村 達哉 様と志賀 昭仁 様にお話を伺いました。
2020年に改定された「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、自治体情報システム強靱化モデルとして、従来のαモデルに加えて新たにβモデルが示されました。βモデルでは、クラウドサービスの普及などを受けて一部システムをインターネット接続系に移管するなど、業務効率の改善が重視されています。
当町ではこのβモデルをベースに、セキュリティ強化と利便性の向上を両立させた独自の四層モデルを構築しました。具体的には、「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の三層のうち「インターネット接続系」を2つに細分化しています。認証などのセキュリティが強固なWebサービスやアプリケーションはPCから直接開けるようホワイトリストに登録し、それ以外の一般的なWebサイトを開く際は仮想ブラウザが立ち上がるという運用です。
当町ではαモデルを導入した当初からHyper-Vを基盤とした仮想ブラウザを活用していましたが、長年使い続けたこともあり、起動時に不具合が生じたり動きが遅かったりと不便を感じていました。そこで、βモデルに移行するタイミングで新しく仮想化システムの導入を検討することに。
数ある仮想化システムの中から「SKYDIV Desktop Client」を選んだ理由の一つは、“国産”のシステムであることです。万が一トラブルがあった際に問い合わせがしやすく、サポートもすべて日本語で対応してもらえる点が、運用していく上での安心感につながっています。
また、クリップボードの共有を柔軟に設定できる機能も、業務効率の改善に効果を発揮しています。従来のネットワーク体制では、ローカル環境の「LGWAN接続系」と仮想環境の「インターネット接続系」の間でデータのやりとりができませんでした。その場合、「LGWAN接続系」で受信したメールに記載されたWebサイトを開く際は、「インターネット接続系」でURLを1文字ずつ打ち直す必要があり、非常に手間がかかります。
「SKYDIV Desktop Client」では、ローカル環境から仮想環境にのみコピーを許可し、逆の操作は禁止するといった詳細な設定が可能に。セキュリティレベルを保ったまま、より効率的に業務が行えるようになりました。
さらに、シングルサインオンに対応している点も職員から好評です。PCを起動した後、仮想デスクトップや仮想ブラウザにあらためてログインし直す手間がなく、スムーズに活用できています。
仮想環境も含め、各PCの管理やメンテナンス対応には「SKYSEA Client View」を活用しています。中でも頻繁に活躍しているのが「リモート操作」機能です。当町は全国の自治体の中でもトップクラスに面積が広く、PCトラブルやメンテナンスのたびに現地を訪れて作業していると、移動に膨大な時間がかかってしまいます。そのため、わざわざ現地まで行かなくても自席の管理機から各拠点のPCを遠隔操作できることで、業務効率が格段に上がりました。
職員からもリモート操作を前提として問い合わせが入るため、トラブル発生時のオペレーションがスムーズに。PC画面にエラー表示が出た場合も、自身で無理に解決しようとせず、画面をそのまま保全した状態で連絡を入れてくれるので、管理者側としては今まで以上に状況が把握しやすくなりました。
また、IT資産管理でも「SKYSEA Client View」を積極的に活用しています。例えば、一部のPCを入れ替える際に「SKYSEA Client View」で各PCの空き容量を確認するといった使い方も。
ヘルプデスク対応やメンテナンス作業をはじめ、さまざまな場面で「SKYSEA Client View」の機能が業務効率化につながっており、その働きは職員1人分以上に相当すると感じています。予算を要求する際も、「『SKYSEA Client View』はシステム費ではなく人件費だ」とアピールしているほどです。
PC管理において、サイバー攻撃のリスクを削減するため速やかに対応したいのが、Windows更新プログラムの適用です。当町では「SKYSEA Client View」の「ソフトウェア配布」機能を活用して、業務に支障が出にくいサイレントインストールによるアップデートを行っています。
特にWindowsの大型アップデート「FU(Feature Update)」は、一度に配布するとネットワーク帯域を占領してしまうため、負荷を分散させる工夫が必要でした。試行錯誤を繰り返した結果、「1日10台を目安に期間を設定してスクリプトで配布」「スクリプトの配信~実行完了までの時間は余裕を持って指定する」など、スムーズに適用できる最適な設定を発見。
当町のWebサイト上で公開しているブログでこの方法を紹介したところ、全国の自治体から多数の問い合わせをいただくなど、大きな反響がありました。
また、スクリプトによるファイル配布は普段のメンテナンス作業にも活用しています。例えば「Microsoft IMEが立ち上がらない」という問い合わせがあった際は、Microsoft IMEを再起動するスクリプトを作成して配布・実行。リモート操作をせずとも職員のPCで指定の動作を実行させることができるので、ヘルプデスク対応の省力化につながっています。
βモデルでは業務効率が上がって便利になる分、セキュリティの強化策としてEDR製品の導入が推奨されています。そこで当町では、βモデルへの移行にあたって、「SKYSEA Client View」のオプションとして、EDR製品「FFRI yarai」との連携を強化した「EDRプラスパック」を導入しました。
新しいソフトウェアを導入した場合、一般的には専用の管理コンソールが用意され、製品ごとにログインが必要になります。一方「EDRプラスパック」なら、「FFRI yarai」が検知したアラートを「SKYSEA Client View」上で確認することができるため、その都度ログインし直す必要がありません。
エンドポイントで異常が検知された場合は迅速な対応が必要になるため、使い慣れた「SKYSEA Client View」の管理コンソールでアラートの詳細が確認できる点は大きなメリットです。
このように当町では、EDR製品の導入を含め、総務省が示した三層分離をベースにセキュリティを強化しています。今後も自治体に求められるセキュリティ対策を迅速に取り入れて柔軟に対応していく一方、さらなる業務効率化を目指して「SKYDIV Desktop Client」「SKYSEA Client View」の活用の幅を広げていきたいと考えています。