倉敷市役所 様導入事例 / PCログオン

情報政策課では、従来からセキュリティ対策を積極的に取り組んできました。その一環としてLGWAN接続系のセキュリティ強化を目指し、二要素認証など新たなセキュリティソリューションの導入を検討・検証してきました。そうした中、2015年末ごろ、総務省から自治体における情報システムのセキュリティ強靭性向上のアナウンスが聞こえてきました。当初は総務省や関係機関からの情報も少なく、マイナンバー利用事務系端末の二要素認証に関してどの程度の要件を満たせばいいのか判断できませんでした。
税・福祉をはじめ市民課・国保・介護など個人情報を扱う部門は、もともとセキュリティへの意識が高く、各々でセキュリティ対策を導入していたので「このままでも良いのでは」という意見もありました。とはいえ、LGWAN接続系のセキュリティ強化を進めていたこともあり、二要素認証のセキュリティソリューションに関しても、検証は必要との認識でありました。

総務省から正式なガイドラインが発表されてからは、マイナンバー利用事務系端末への二要素認証導入を、急ピッチで進めてきました。ただ、自治体ごとにシステム/ネットワーク環境も細部では異なり、運用形態も様々なため、参考事例が不足している状況でした。そんな中、ガイドラインをもとに、具体的にどの範囲まで取り組むべきか手探りでしたが、セキュリティ強靭性向上に向かって進めました。導入にあたっては、下記の仕様（図１）を作成しました。

情報政策課が所管するケースもありますが、基本的に各部門のシステム管理者が個別にシステムの構築・運用を担っています。今回は、情報政策課が各部門に対し、二要素認証の導入状況についてヒアリングを実施しました。その結果、「ユーザー用カード認証を導入しているが、ガイドラインが示す二要素ではない」など、要件を満たさない環境もあることが分かりました。こうした状況を踏まえ、部門の垣根を越えて進めていかなければならないと判断し、情報政策課と税・福祉など関係部門が連携することで、二要素認証対応セキュリティソリューションの導入を推進していくこととしました。

税・福祉部門などマイナンバー利用事務系業務に関わるシステムが個別で構築・運用されていることが理由です。LGWAN接続系や庁内事務系業務に対し、各部門の業務システムは、物理的に相互接続ができません。Windows Serverの利用にあたって全庁的なユーザーCALは導入していないため、各部門が個別にCALを調達し、各自でクライアント/サーバーのシステムを構築していました。セキュリティの観点から見れば、重要な情報を扱うマイナンバー利用事務系業務のシステムは、他のネットワークに通信できないことが有効な手段です。
このことから、全庁的なネットワーク構築が難しいことに加え、Active Directory型では運用・管理コストと手間が見合わないことも検討を重ねる中で分かり、最終的にスタンドアロン型での導入に至りました。

スタンドアロン型に絞りシーイーシーのPCログオンを含め他社の評価ソフトをお借りして、情報政策課で検証を行いました。その結果、いずれも使い勝手の良し悪しはなく、実務においても問題ないレベルであることが分かりました。当市が求めた要件は次のとおりです。

1. 既存のICカードリーダー／カードが使える
2. 緊急用ワンタイムパスワードが発行できる
3. 認証情報を一括でインポートできる
4. 端末でログイン管理ができる

二要素認証が必要な端末は業務の特性上、1台を複数人で利用します。これを考慮し、スクリーンロックがかかっている状態のとき、別の人の職員証で解除できることを要件としました。つまり、Aさんの職員証で端末を起動後にスクリーンロックになった場合、Bさんの職員証でも解除できる仕組みです。この仕組みなら、別の職員がログインし直しても再起動の必要がありません。また、いつ（タイムスタンプ）、誰が（ユーザー名）、何をした（Windowsログインやスクリーンロック解除）かが分かるログ機能も重要な要件としました。

部門ごとに業務システムが異なるため、まずは情報政策課と各部門のシステム管理者が一体となり、インストールして事前に検証を進めました。そこで問題がなければ、部門の承諾を得たうえで展開しました。展開については、各部門のシステム管理者が行いました。あらかじめ情報政策課で手順書を用意したので、「手順通りに行えば問題ないはず」と考えていました。しかし、結局は人が行う作業で、作業者の理解度に依存することになります。手順を飛ばしてしまったり、読み違えたりなどのヒューマンエラーは防ぐことはできません。実際に、USB接続などのデバイス制御がかかった端末では多少のトラブルがありました。ICカードリーダーの接続やソフトのインストール時に手順を間違えると「ICカードリーダーが機能しない」などが起こります。こうした場合は、情報政策課が柔軟にサポートを行いました。

今回の二要素認証対応セキュリティソリューションの導入を通じて、情報政策課と各部門が連携する体制が構築できたと感じています。あらためて、とても良い機会でした。利用開始は2017年1月からで、各部門で導入しています。ログインの際、職員証をICカードリーダーにかざす仕組みとなったため、セキュリティ意識が高まったと感じています。ほかにも、いつ誰が利用したのかログ情報をローカルのハードディスクに保管される仕組みにより、万が一トラブルが発生した場合に、すぐに確認できる証跡性の確保につながっています。

今回はマイナンバー利用事務系端末に対し、二要素認証を早急に導入しましたが、総務省はLGWAN接続系にも二要素認証を推奨しています。もともと導入を進めていたので、当市としても次はLGWAN接続系に着手したいと考えています。今回の導入を通じて得たノウハウを活かし、職員の利用状況や声を参考に、積極的に進めていきたいと考えています。