これまで、自治体におけるセキュリティを確保するために、自治体内部においては三層(インターネット接続系・LGWAN接続系・マイナンバー利用事務系)分離による対策、インターネット接続系からのインターネットへの通信に対しては自治体セキュリティクラウドによる対策が取られてきました。このため、多くの自治体ではLGWAN接続系に業務端末が配置され、インターネットへの接続が必要な場合にはインターネット接続系に配置された仮想デスクトップなどを通じて接続する形態が多く取られてきました。一方で、自治体に対しては、「クラウド・バイ・デフォルト」原則 「自治体デジタル・トランスフォーメーション推進計画」 に基づき、クラウドサービスを活用することで住民向けのサービスをより向上させたり、業務をより効率化させたりすることが求められています。2020年12月28日に改訂された「地方公共団体における情報セキュリティポリシーに関するガイドライン」 では、これらを反映し、業務端末をインターネット接続系に配置する「βモデル」について言及するなど、「三層の対策」の見直しが反映されています。各地方公共団体はこのガイドラインを参照し、組織の実態に応じて自主的に情報セキュリティポリシーを定める必要があります。

一方で、上記の通り多くの地方自治体では業務用端末がLGWAN接続系に配置されており、三層分離のセキュリティを保ったまま、この業務端末からどのようにクラウドサービスを活用するかが課題になっているのではないかと思います。そこで、三層分離を維持したままLGWAN接続系からMicrosoft 365の利用を実現されている秋田県由利本荘市様の事例を紹介させて頂きます。

由利本荘市様ではコミュニケーションの活性化を目指すためにMicrosoft Office 365を新しいコミュニケーション基盤として選択されました。LGWAN接続系にある業務端末からセキュアにOffice 365を用いるために、Microsoftの各種セキュリティソリューションを利用することで、ゼロトラストセキュリティの考え方に基づき、エンドポイントおよびクラウド側のセキュリティを確保されています。また、LGWAN接続系からセキュアにOffice 365に接続するための通信経路を確保するために、A10 Thunder CFWをご選択いただきました。

A10 Thunder CFWはフォワードプロキシとして動作し、ドメイン名に基づいたトラフィック制御を行うことができます。Office 365を始めとするクラウドサービスの多くはドメイン名で規定されており、IPアドレスは頻繁に更新されることがあることから、ドメイン名に応じたトラフィック制御が重要になります。由利本荘市様の事例では、A10 Thunder CFWはOffice 365向けのトラフィックだけを通過させ、それ以外のトラフィックを止めることによって、通信経路上でOffice 365向けの専用の通信のやりとりを実現しています。また、Office 365の対象となるドメインのリストは自動で更新される仕組みを導入しており、サービスの追加や変更で生じるドメイン名の変更には動的に対応しています。

上記のようにOffice 365専用の通信経路が確保され、IDベースでのアクセス制御を適用しても、管理外(例えば、個人用や別組織のアカウント)のIDでのログインをID基盤側では制御することができません。Office 365では特定の組織のドメイン名以外でのログインを制限するテナント制限の機能を有しており、由利本荘市様ではこれを利用するためにA10 Thunder CFWを利用しています。この機能を利用するために、A10 Thunder CFWでは一度TLS暗号化されたHTTPSのトラフィックを復号し、ログインを許可するドメイン名をヘッダとして埋め込み、再度通信を暗号化してOffice 365に送信します。これにより、Office 365向けの通信経路をOffice 365の専用の経路とするだけでなく、由利本荘市様のドメインでの利用に制限することができています。このように、特定の組織のみで利用できるクラウドサービスへの経路をA10 Thunder CFWにより実現することで、LGWAN接続系からのセキュアなOffice 365への通信を実現しています。

由利本荘市様の導入事例は、以下の資料からご覧いただけます。
https://www.a10networks.co.jp/case/files/A10_CS_JP_2021May_YurihonjoCity.pdf

A10 Thunder CFWによる自治体ネットワークのセキュリティ対策の詳細は、以下の資料からご覧いただけます。
https://www.a10networks.co.jp/download/files/SB_A10_Solutions_for_Local_Government.pdf

A10 Thunder CFWの由利本荘市様への導入構成(イメージ図)

Webセミナー |【DX事例】LGWAN環境から直接Office 365利用を実現した由利本荘市モデル

DXによる抜本的な業務効率化や働き方改革の実現を目指し、Microsoft Office 365によるコミュニケーション基盤の導入を決定した由利本荘市。

「三層分離」の原則を守りながらコミュニケーション基盤の利活用とセキュリティ確保を実現するため、αモデルの概念を維持したままLGWAN 環境からMicrosoft Office 365 利用を可能にした由利本庄市モデルをご紹介します。

オンデマンド視聴