ケース スタディ
三重県庁は2023年7月、同県が新たに構築したDX推進基盤のセキュリティ基盤に、パロ アルトネットワークスのクラウドセキュリティプラットフォーム「Prisma Access」を採用 した。クラウドサービスとテレワークの利用を前提にしたDX推進基盤では、従来の「境界」 の概念を捨て去り、情報資産にアクセスするものはすべて安全性を検証する考え方とな るゼロトラストセキュリティの仕組みを取り入れることが必須だと判断。それを実現するソ リューションとして、クラウドサービス上に必要なセキュリティ機能が実装されたPrisma Accessの導入に至ったという。
三重県庁
三重県が構築を進めるDX推進基盤では、クラウドサービスやテレワークの利用を前提にした情報セキュリティ対策が必要だった
三重県は日本列島のほぼ中央、太平洋側に位置する近畿地方の県。南北約170km、東西約10~80kmという細長い県土に約180万人が居住する。創建2000年を誇る日本国民の総氏神「伊勢神宮」をはじめ、世界遺産の「熊野古道」、リアス式海岸の景観が美しい「伊勢志摩国立公園」といった名所旧跡と自然に恵まれる一方、伊勢湾岸沿いには工業地帯が広がるなど、日本の産業・経済をリードする指折りの工業県でもある。
そんな三重県は、デジタルトランスフォーメーション(DX)による地方創生に注力する自治体としても知られている。2021年には「みんなの想いを実現する『あったかいDX』」を基本理念に掲げたDX推進の取り組みを始動。2022年には「暮らし」「しごと」「行政」の3分野でDXを推進する「みえデジプラン(みえのデジタル社会の形成に向けた戦略推進計画)」を策定し、本格的なデジタル社会の実現を目指したさまざまな取り組みが進められている。そうした取り組みを支える重要な役割を果たすのが、デジタル推進局が整備した「DX推進基盤」だ。
「DX推進基盤では、①クラウドサービスのメール/グループウェアへの移行、チャット など新たなツールの導入を推進する『コミュニケーション基盤』、②デジタルデータによ る政策立案を推進する『データ活用基盤』、③情報セキュリティ対策の強化、テレワーク 環境の充実を図る『惰報セキュリティ基盤』という“3つのサブ基盤”の整備に取り組んで います。なかでも惰報セキュリティ基盤は、場所・時間・端末の制約を受けない業務環境 を実現するために、非常に重要な基盤だと考えています」(三重県 総務部 デジタル推 進局 デジタル改革推進課 副課長 岡本悟氏) この情報セキュリティ基盤を整備するために、三重県が取り入れることにしたのが「ゼロトラストセキュリティ」の考え方だった。
「三重県では従来、データセンターを中心とする『三重県行政WAN』の内部ネッ トワークは安全だとする境界防御型のセキュリティ対策を講じてきました。しかし、テ レワーク環境の整備によって庁外へ業務端末を持ち出すことになると、インターネット 接続によるマルウェア感染や業務端末の紛失よる情報流出、ID/パスワードの漏洩に よる不正アクセスなどさまざまな脅威に晒される危険性があります。また、三重県行政 WANへVPN接続する従来の構成では多数接続による通信帯域の逼迫、装置の欠陥 を突いた不正アクセスも強く懸念されます。こうした課題を解決し、クラウドサービスの 活用とテレワークの実施を前提にしたDX推進基盤を整備していくには、ネットワークに アクセスする端末やユーザーを信用しない前提でセキュリティ対策を徹底するゼロトラ ストモデルへ転換させていく必要があると考えました」(三重県 総務部 デジタル推進 局 デジタル改革推進課 情報基盤班 班長 杉山幸嗣氏)
そこで三重県では、必要となる要件をまとめ、それを実現するソリューションを選定することにした。
「新しい情報セキュリティ基盤では、①ゼロトラストモデルの考え方に基づく端末およ びユーザー認証の仕組みが用意されていること、②通信経路を暗号化できること、③ 場所を問わずにインターネットヘ安全にアクセスできること、④三重県行政WAN上で VPN接続を使わないテレワーク環境を実現できること、⑤通信の監視による脅威の検 出と緊急対応が可能なことといった要件を挙げました。そして、これらの要件がクラウド サービス上に実装された『SASE(Secure Access Service Edge)』と呼ばれるセ キュリティモデルの導入を目指すことにしました」(三重県 総務部 デジタル推進局 デジ タル改革推進課 情報基盤班 主幹 長井新氏)
SASEソリューションの導入を目指した三重県は、複数のソリューションについて比較検討を行い、必要な要件を整理した。その結果、最終的に選定することとなったのが、パロアルトネットワークスのクラウドセキュリティプラットフォーム「PrismaAccess」だった。
「Prisma Accessは端末を庁内・庁外のどちらで利用しても同レベルのゼロトラスト ネットワークアクセス(ZTNA)を実現することができます。また、Prisma Accessとの 親和性が高い同じパロアルトネットワークスの次世代ファイアウォール『PAシリーズ』を 設置すればSASE機能の一部を庁内にも適用可能であり、IP-SECトンネリングにより ネットワークトラフィックが制御できることも評価ポイントとなっています」(長井氏)
三重県が情報セキュリティ基盤に採用するSASEソリューションの比較検討を開始 したのは、2022年1月のこと。同年9月にはPrisma AccessとPA-3420の導入を決 め、10月から12月にかけて開発を実施。2023年1月から約半年間のテストを経て、7 月末から本番運用が始まった。ちなみにPrisma Accessの導入や開発は、三重県行 政WANの構築も手掛けているNTT西日本グループが支援したという。
「テレワーク環境での運用はまだ検証段階ですが、Prisma Accessの開発において、 『Pre-Logon機能』(端末にログインする前にユーザーを認証する機能)に対する認 証機能の実装、より強固で簡便な認証方式の採用、情報資産の重要性に応じたきめ細 かいアクセス制御の設定などを進めています。現在は庁内からの利用にとどまっていま すが、運用初日に発生した、アクセス集中による通信トラフィックの輻輳に対しても、ロー ドバランサーとの組み合わせにより迅速に対応することができました」(長井氏) 本番運用の開始から間もないものの、すでにPrisma Accessの導入効果を実感 しているという。
「クラウドセキュリティプラットフォームを取り入れた情報セキュリティ基盤は、現在まで何のトラブルもなく安定運用できています。暗号化されたトラフィックを復号しても通信速度が低下することなく利用できているところにも導入メリットを感じています」(杉山氏)
こうして情報セキュリティ基盤の運用を開始した三重県だが、現在は業務端末を庁外 に持ち出したテレワーク環境におけるPrisma Accessの適用を段階的に進めている 最中だという。
「テレワーク環境での運用は2023年度中に範囲を絞った実証を行い、ZTNAなど の動作検証を十分に行ったうえで全庁へ展開していく予定です。また、個人所有の端末 からのネットワークアクセスを可能にするBYOD(Bring Your Own Device)の導 入も検討しています。今後、クラウド利用やテレワークなどの働き方がさらに常態化して いくことも見据えながら、ゼロトラストセキュリティを基本にした全庁ネットワークの見直 しなども検討していく必要があると考えています」(岡本氏)
多くの地方自治体がゼロトラストモデルを採用した情報セキュリティ基盤の構築を模索するなか、一歩先に実現に漕ぎ着けた三重県。デジタル推進局にはすでに、他県からの問い合わせも多く寄せられており、今後は同県の取り組みが他自治体の良い手本になっていくに違いない。