1. TOP
  2. 導入事例
  3. 倉敷市役所 様

倉敷市役所 様導入事例 / PCログオン

倉敷市ではマイナンバー利用事務系端末700台、
1,800ユーザー分の二要素認証対応セキュリティソリューションとして
「PCログオン」を導入しました

豊かな自然と温暖な気候に恵まれた瀬戸内海に面し、
四国から山陰地方へつながる南北の交通軸と東西に走る山陽道が交差する中国地方の拠点となる倉敷市。
2017年2月に市制施行50周年を迎えた倉敷市は、
自治体情報システム強靭性向上モデルにおけるセキュリティ対策に基づき、
マイナンバー利用事務系端末の情報漏えい対策に取り組み、
シーイーシーの二要素認証対応セキュリティソリューション「PCログオン」を導入しました。
今回、税・福祉部門および市民課や国保・介護など(以下「税・福祉部門など」と表記)マイナンバー利用事務系端末700台、
1,800ユーザーの「PCログオン」を導入した経緯と効果について、
倉敷市 企画財政局 企画財政部 情報政策課 主任 峯戸 達氏(写真左)、
同課 副主任 片山 徳之氏(写真右)に伺いました。

導入ポイント/導入効果

  1. 1 ICカードを活用した
    二要素認証とログ管理の
    仕組みでマイナンバー利用
    事務系端末の安全性を確保
  2. 2 ネットワーク分離環境
    での管理、運用に適した
    スタンドアロン型に対応し、
    コストと負担を軽減
  3. 3 情報政策課と
    各部門連携による
    ICカード利活用と全庁的な
    セキュリティ意識の向上

導入の背景と狙い

マイナンバー利用事務の二要素認証に向けて「PCログオン」を導入

まずは、導入の背景を教えてください。

情報政策課では、従来からセキュリティ対策を積極的に取り組んできました。その一環としてLGWAN接続系のセキュリティ強化を目指し、二要素認証など新たなセキュリティソリューションの導入を検討・検証してきました。そうした中、2015年末ごろ、総務省から自治体における情報システムのセキュリティ強靭性向上のアナウンスが聞こえてきました。当初は総務省や関係機関からの情報も少なく、マイナンバー利用事務系端末の二要素認証に関してどの程度の要件を満たせばいいのか判断できませんでした。
税・福祉をはじめ市民課・国保・介護など個人情報を扱う部門は、もともとセキュリティへの意識が高く、各々でセキュリティ対策を導入していたので「このままでも良いのでは」という意見もありました。とはいえ、LGWAN接続系のセキュリティ強化を進めていたこともあり、二要素認証のセキュリティソリューションに関しても、検証は必要との認識でありました。

総務省から正式なガイドラインが発表されてからは、マイナンバー利用事務系端末への二要素認証導入を、急ピッチで進めてきました。 ただ、自治体ごとにシステム/ネットワーク環境も細部では異なり、運用形態も様々なため、参考事例が不足している状況でした。そんな中、ガイドラインをもとに、具体的にどの範囲まで取り組むべきか手探りでしたが、セキュリティ強靭性向上に向かって進めました。導入にあたっては、下記の仕様(図1)を作成しました。

マイナンバー利用事務系業務を担う各部門の状況を教えてください。

情報政策課が所管するケースもありますが、基本的に各部門のシステム管理者が個別にシステムの構築・運用を担っています。今回は、情報政策課が各部門に対し、二要素認証の導入状況についてヒアリングを実施しました。その結果、「ユーザー用カード認証を導入しているが、ガイドラインが示す二要素ではない」など、要件を満たさない環境もあることが分かりました。こうした状況を踏まえ、部門の垣根を越えて進めていかなければならないと判断し、情報政策課と税・福祉など関係部門が連携することで、二要素認証対応セキュリティソリューションの導入を推進していくこととしました。

検討のポイントと導入効果

税・福祉部門など各部門における二要素認証対応の取り組み

スタンドアロン型の選択理由は?

税・福祉部門などマイナンバー利用事務系業務に関わるシステムが個別で構築・運用されて いることが理由です。LGWAN接続系や庁内事務系業務に対し、各部門の業務システムは、物理的に相互接続ができません。Windows Serverの利用にあたって全庁的なユーザーCALは導入していないため、各部門が個別にCALを調達し、各自でクライアント/サーバーのシステムを構築していました。セキュリティの観点から見れば、重要な情報を扱うマイナンバー利用事務系業務のシステムは、他のネットワークに通信できないことが有効な手段です。
このことから、全庁的なネットワーク構築が難しいことに加え、Active Directory型では運用・管理コストと手間が見合わないことも検討を重ねる中で分かり、最終的にスタンドアロン型での導入に至りました。

PCログオンへの評価のポイントは?

スタンドアロン型に絞りシーイーシーのPCログオンを含め他社の評価ソフトをお借りして、情報政策課で検証を行いました。その結果、いずれも使い勝手の良し悪しはなく、実務においても問題ないレベルであることが分かりました。当市が求めた要件は次のとおりです。

  1. 既存のICカードリーダー/カードが使える
  2. 緊急用ワンタイムパスワードが発行できる
  3. 認証情報を一括でインポートできる
  4. 端末でログイン管理ができる

二要素認証が必要な端末は業務の特性上、1台を複数人で利用します。これを考慮し、スクリーンロックがかかっている状態のとき、別の人の職員証で解除できることを要件としました。つまり、Aさんの職員証で端末を起動後にスクリーンロックになった場合、Bさんの職員証でも解除できる仕組みです。この仕組みなら、別の職員がログインし直しても再起動の必要がありません。また、いつ(タイムスタンプ)、誰が(ユーザー名)、何をした(Windowsログインやスクリーンロック解除)かが分かるログ機能も重要な要件としました。

導入の流れを教えてください。

部門ごとに業務システムが異なるため、まずは情報政策課と各部門のシステム管理者が一体となり、インストールして事前に検証を進めました。そこで問題がなければ、部門の承諾を得たうえで展開しました。展開については、各部門のシステム管理者が行いました。あらかじめ情報政策課で手順書を用意したので、「手順通りに行えば問題ないはず」と考えていました。しかし、結局は人が行う作業で、作業者の理解度に依存することになります。手順を飛ばしてしまったり、読み違えたりなどのヒューマンエラーは防ぐことはできません。実際に、USB接続などのデバイス制御がかかった端末では多少のトラブルがありました。ICカードリーダーの接続やソフトのインストール時に手順を間違えると「ICカードリーダーが機能しない」などが起こります。こうした場合は、情報政策課が柔軟にサポートを行いました。

導入の効果はありますか?

今回の二要素認証対応セキュリティソリューションの導入を通じて、情報政策課と各部門が連携する体制が構築できたと感じています。あらためて、とても良い機会でした。利用開始は2017年1月からで、各部門で導入しています。ログインの際、職員証をICカードリーダーにかざす仕組みとなったため、セキュリティ意識が高まったと感じています。ほかにも、いつ誰が利用したのかログ情報をローカルのハードディスクに保管される仕組みにより、万が一トラブルが発生した場合に、すぐに確認できる証跡性の確保につながっています。

今後の活用と展望

全庁システム基盤のセキュリティ対策としてICカード認証の活用を広げたい

今回はマイナンバー利用事務系端末に対し、二要素認証を早急に導入しましたが、総務省はLGWAN接続系にも二要素認証を推奨しています。もともと導入を進めていたので、当市としても次はLGWAN接続系に着手したいと考えています。今回の導入を通じて得たノウハウを活かし、職員の利用状況や声を参考に、積極的に進めていきたいと考えています。

所在地
岡山県倉敷市西中新田640
職員数
3,359人(正規職員のみ/平成29年4月1日現在)
人 口
483,968人(平成28年10月1日現在)
面 積
355.63km²
URL
http://www.city.kurashiki.okayama.jp/

お電話でのお問い合わせ(受付時間:平日9:00-17:45)

03-5783-3162

Webからのお問い合わせ

お問い
合わせ

page top