【大崎上島町】ゼロトラストを実現した小さな自治体の大きな挑戦 自治体ネットワーク3層全てのゼロトラスト化に向けて 次世代ファイアウォール「PA-440」を導入

大崎上島町は、庁内ネットワーク全体のゼロトラスト化を実現する方法を模索する中で、パロアルトネット ワークスの技術者とディスカッションの機会を持った。そこでの会話がゼロトラスト化実現のヒントになった と大崎上島町 企画課 DX推進係 係長の末廣 大樹氏は振り返る。

「パロアルトネットワークスからは、ハードウェアのファイアウォール機器を活用してZTNAに対応してはど うかと言われました。当時、ゼロトラストネットワーク＝クラウドという固定観念に囚われていたため、オンプ レミスでZTNAを実現する方法があったかと、大きな気づきを得ました」（末廣 氏）

このアイデアの背景には広島県特有の事情がある。広島県のセキュリティクラウドはSWG、EDR、SOCの機能を提供しているため、大崎上島町はゼロトラスト化に向けて県のセキュリティクラウドに不足する機能だけを調達すれば良い。ハードウェアの次世代ファイアウォールにより通信の可視化と詳細なアクセス制御、高精度の脅威検知と防御、リモートアクセス機能を実装すれば、庁内に限定された形ではあるが、庁内ネットワークの3層全てをゼロトラスト化できる。

最終的に大崎上島町は、オンプレミスのファイアウォールを活用し、庁内ゼロトラスト化を実現する方向性を入札仕様にまとめ、令和5年度に入札を実施した。

入札の結果、次世代ファイアウォール「PA-440」の多層防御機能とVPNソリューション「GlobalProtect」を提案する業者が落札した。約5カ月の開発期間を経て、大崎上島町では以下のネットワーク環境を実現している。

庁内ネットワークは仮想LANによる3層分離が行われており、それぞれの配下に各ネットワーク専用のPC端末が配置されている。端末にはGlobalProtectクライアントがインストールされており、通信は全てGlobalProtectとPA-440を経由する。PA-440は外部からの脅威侵入の検知・ブロックはもちろん、ネットワーク内部を通過するデータもリアルタイムで解析し、悪意のあるファイルを検知・ブロックする。さらに、PA-440によるマイクロセグメンテーションも行われており、仮想LANによる3層分離とあわせてネットワークセキュリティが強固に保たれている。なお、可用性を高めるためPA-440は冗長構成が取られている。

マイナンバー利用事務系、LGWAN接続系のPC端末は庁内利用限定だが、インターネット接続系のノートPC端末は庁外持ち出し可能で、閉域網SIMが搭載されている。ノートPC端末の通信は、GlobalProtectのVPNを経由してPA-440を通過し、そこから庁内ネットワーク、もしくはローカルブレイクアウトにより特定SaaSにアクセスをする。

PA-440が提供する庁内ゼロトラストネットワークに、GlobalProtectが提供するVPN、ここに広島県のセキュリティクラウドが提供するSWG、EDR、SOCを付加することで、大崎上島町は庁内ネットワークの3層全てをゼロトラスト化することに成功した。

パロアルトネットワークスのソリューションを活用したネットワークセキュリティの構築により、大崎上島町は以下の導入効果を実現している。

庁内ゼロトラストセキュリティの実現

ハードウェアのファイアウォール機器であるPA-440を利用することで、庁内ネットワーク3層全域においてゼロトラストセキュリティを実現。庁内のネットワークトラフィック全ての検証・監視が行えるようになった。

自治体ネットワーク3層分離の強化

仮想LANによるネットワーク3層分離に加えて、PA-440によるマイクロセグメンテーションを実施することで、3層分離の目的である脅威防御の強化や、情報漏えいリスクの低減を実現。また、PA-440のDLP機能を利用することで、機密データの漏えい対策も強化している。

β´モデルのセキュリティ対策を強化

閉域網SIMに加えて、GlobalProtectのVPN接続、PA-440のパケットフィルタリングなどにより、インターネット利用時のセキュリティが強化された。PA-440に搭載されている「WildFire」は、最新の脅威情報をクラウドから取得するため、未知のマルウェアや新手の攻撃手法も検知できる。広島県セキュリティクラウドが提供するSWG、EDR、SOCと併用することで、β´モデルにおける強固なセキュリティを実現している。

大崎上島町は当初、ゼロトラスト化に向けて統合型セキュリティソリューションの導入を検討していたが、情報提供依頼を行ったベンダーからは初期構築費用だけで1億円を超える概算見積が出たという。しかし、今回実施した入札では、初期構築費用に5年間のランニング費用を加えてもそれを下回る金額で購入ができた。入札について松橋氏はこう振り返る。

「我々が求めた仕様は、いわゆるスイート製品で実現しようとするとコストが跳ね上がるものでした。今回の入札には3社が参加しましたが、パロアルトネッ トワークスの製品を使用することに気づいたベンダーだけが、ずば抜けて安い見積金額を提示できました。セキュリティクラウドが充実している広島県特有の 事情はあるものの、こんなにも低コストでゼロトラストが実現できることをぜひ多くの自治体に知ってもらいたいです」（松橋 氏）

大崎上島町は今後、新たに構築されたネットワーク環境を活かして2つの取り組みを進めていく計画だ。

1つ目は、業務効率化に貢献する業務システムの導入だ。強固なセキュリティ対策が施されたβ´モデルのメリットを活かし、勤怠管理システムなどのクラウドサービスの活用を検討していく。

2つ目は、移動役場の実現だ。複数の島で構成され、高齢化率が高い特徴を持つ大崎上島町のDX推進事業は、デジタル化したバックヤードを最大限に生かし、住民と対面できる機会を増やしていく方向で取り組まれている。新たなネットワーク環境では、庁外からのリモートアクセスでも庁内と同じ業務処理が行えるため、今後は住民の元に出向いてサービス提供ができる仕組みの設置を検討している。

自治体に対するセキュリティ対策の要請は年々強まっている。しかし、小規模な自治体は予算面、技術面の制約が大きく、セキュリティ対策の強化を思うように進めることができない。パロアルトネットワークスは、そうした小規模自治体でも導入がしやすい、コストパフォーマンスに優れたソリューションを提供することで、これからも自治体DXの推進とセキュリティ対策の強化を支援していく。