東芝情報システム株式会社

事例紹介SIソリューション

Secure Protection 導入事例 「釧路市」

Secure Protection により個人情報ファイルを暗号化し、情報流出・紛失対策を徹底

Secure Protection 導入事例 「釧路市」

導入ソリューション:パソコン内の重要・機密ファイルを「探して」「守る」 「Secure Protection」 概要

釧路市では、公務で扱う個人情報・特定個人情報を含む情報資産のセキュリティ対策強化を推進し、適切なセキュリティポリシーの策定、職員研修を徹底してきた。さらに 5年程前からは、USB メモリなどの外付けデバイスの制限や、使用状況のログを残す仕組みの導入など、情報セキュリティ対策をシステム面でも積極的に強化してきた。

課題

情報流出・紛失のリスクを避けることができない中で、万が一情報が流出しても悪影響を及ぼすことのないセキュリティ対策の必要性に迫られていたが、その一方で職員への負担が少ない運用を実現する必要があった。

解決

個人情報を含む重要ファイルを自動で検出し、自動で暗号化する情報漏えい対策ソリューション「Secure Protection」を導入することにより、職員の負担を増やすことなくセキュリティ強化を実現することができた。

機密情報の流出を監視、探して守る情報漏洩対策ソリューション「Secure Protection」

Secure Protection 導入の背景

マイナンバー制度の運用開始を控え、自治体情報システムのセキュリティ強化が求められた

  • 2015年、日本年金機構で標的型攻撃による個人情報流出事件が発生

  • 総務省は自治体情報セキュリティ対策強化を求める

    1. マイナンバー関連システムのインターネットからの分離
    2. 自治体情報システムの強靱性向上
    3. 自治体情報セキュリティクラウドの導入

マイナンバー制度の運用開始に向け、総務省は「新たな自治体情報セキュリティ対策の抜本的強化に向けて(2015年11月)」を発表した。
「これに対応するため、釧路市では業務システムのインターネットからの分離や、メールの無害化に取り組んできました。ファイルの暗号化については総務省のガイドラインには含まれていませんが、情報流失・紛失時のリスクはゼロではないので、暗号化による二重のガードが必要と判断しました」(内田氏)。

総務部情報システム課 課長 内田 博 氏

総務部情報システム課
課長
内田 博 氏

Secure Protection 導入の経緯

情報流出が防ぎきれないのであれば「情報流出が起きる」ことを前提とした対策を

総務省が示すガイドラインに対応を済ませた自治体もある一方で、急ピッチで対応を進める自治体もあるなど、当時、自治体間のセキュリティ対策にはばらつきがあった。釧路市は、従来から人的な面やシステム的な面でのセキュリティ対策を推進してはいたが、新たな対策も求められていた。
従来個人情報ファイルについて、作業終了後には消去する運用などをしていたが、消去忘れなどのリスクは残されていたからだ。悪意がなくても情報流出のリスクが残る以上、「情報流出が起こる」ことを前提としたセキュリティ対策が必要だった。

「ファイルの流出そのものを徹底して防ぐという考えもありますが、システムとしてかなり高額なものになります。そして、市役所は大きな組織ですから、誰かがファイルを外部に持ち出すことを、技術的にカバーすることは不可能に近いのです。釧路市では、万が一ファイルが外に出て行ったとしても、そのファイルが使えなければ事故には結びつかないという考え方のほうが現実に即していると判断しました。情報が流出することは完全には防げないことを前提とし、流出しても悪影響を及ぼさない仕組みを作る方が合理的です」(内田氏)。

「その場合、ファイルの暗号化が有効な対策であることは明らかですが、ファイルの機密レベルを都度、職員が判断して暗号化するのでは負担が大きくなりすぎます。かといって扱う情報のすべてを暗号化するのは、運用上も予算的にも現実的ではありません」(向井氏)。

こうした中、釧路市のねらいである「職員の負担の少ないファイル暗号化ツール」の検討が始まった。

総務部情報システム課 課長補佐 向井 大 氏

総務部情報システム課
課長補佐
向井 大 氏

Secure Protection の導入効果

2016年2月に2000ライセンスを釧路市に導入

釧路市では、約半年間にわたってさまざまな暗号化製品を検討した。職員が特別の操作をしなくても暗号化できること、暗号化するファイルの選定条件を自由に設定できること、適正な費用で導入できることを最重要ポイントとして検討を開始。最終的な絞り込みの後に、一般競争入札を行い Secure Protection の導入が決定した。

情報システム課では、運用開始にあたって職員に対し十分な説明を行った。セキュリティ強化にあたっては、仕事の手順が変わるのではないかと職員が不安を抱えるのは当然のことだ。これを払拭することも導入準備としては欠かせない手順となる。そこで、百数十を超える部署から参加してもらい、2時間ほどの研修会を開いた。こうした準備もあり、2000ライセンスという大規模な導入にもかかわらず、運用はスムーズに始まった。

「一般的にセキュリティを強化すると、仕事の仕方が変わったり不自由になったりということがありますが、そうしたことがないように、東芝情報システムと事前に充分相談したことから、庁内からの問い合わせ対応なども大きな混乱もなく稼働できました」(内田氏)。

釧路市では、職員に対して Secure Protection による暗号化についてあえて詳しくアナウンスしていないという。暗号化の仕組みがあることが前提となると、ポリシーを守らなくなる可能性もあるからだ。そのせいか、運用開始直後は「見慣れないアイコンと拡張子のファイルがあるが問題ないだろうか」という問い合わせもあったという。暗号化されたファイルは、アイコンと拡張子が変更されるためだった。特別な反応はそれくらいで、具体的な不安や不満の声が出てこない程、スムーズに運用できているという。職員が意識しないですむくらいに、負担がかかっていないと言える。

運用開始時のもう一つの工夫

初期導入の不安も夜間インストールでスムーズに

運用開始直後は、すべてのファイルに対して検索を行い、対象となるファイルを暗号化していくことになる。その際、パソコンに負荷がかかり業務に支障が出る懸念があった。

「そうした負荷を最小限にするために、Secure Protection の運用開始直後は、夜間もパソコンの電源を落とさないようにしました。こうした工夫によって、夜間にファイルの検索を進め日中の負荷を低減することができました」(中川氏)。

初回の全検索が完了すると、2回目以降は差分検査を行う。前回の検査終了後に新規作成、更新したファイルのみを検査するため、業務に支障が出るとの声はないという。この検索の結果、あらかじめ設定したルールによって個人情報を含んでいると判断されたファイルには、暗号化が実行される。もともと流出してはいけない情報を含むファイルは個人のパソコンに残さずサーバー上に保管するポリシーであり、職員の対応は徹底している。しかし、市役所では人事異動もあるため、それまでマイナンバーなどを含む個人情報を扱わなかった部署から、扱う部署に異動する場合もある。するとヒューマンエラーによって個人のパソコンに個人情報を含むファイルが残ってしまうケースもある。

総務部情報システム課 主査 中川 洋和 氏

総務部情報システム課
主査
中川 洋和 氏

初回の全検索が完了すると、2回目以降は差分検査を行う。前回の検査終了後に新規作成、更新したファイルのみを検査するため、業務に支障が出るとの声はないという。この検索の結果、あらかじめ設定したルールによって個人情報を含んでいると判断されたファイルには、暗号化が実行される。もともと流出してはいけない情報を含むファイルは個人のパソコンに残さずサーバー上に保管するポリシーであり、職員の対応は徹底している。しかし、市役所では人事異動もあるため、それまでマイナンバーなどを含む個人情報を扱わなかった部署から、扱う部署に異動する場合もある。するとヒューマンエラーによって個人のパソコンに個人情報を含むファイルが残ってしまうケースもある。

こうした場合に、人の判断に頼らず機能するのが Secure Protection だ。
セキュリティポリシーを徹底して、職員全員を守る。その上で、万一の際の防護策として暗号化の仕組みが見えないところで働いていく。

「今後は、ファイルを暗号化する基準をさらに厳しくしていくことも検討課題の一つです。検知条件の見直しも含めて、今年度中に検討したいと考えています」(内田氏)。

マイナンバーの活用が広がる可能性もある中、自治体情報システムのセキュリティ強化がますます求められる。職員に余分な負荷をかけることなく運用できる、Secure Protection の機能強化に期待すると内田氏は語った。

Secure Protection 利用イメージ
Secure Protection 利用イメージ

顧客情報

表は左右にスクロールできます
顧客名 釧路市
人口 173,069人 (2017年7月末現在)
顧客概要 釧路市は北海道東部、太平洋沿岸に位置する。道東の政治経済の中心として役割をもつ一方、釧路湿原国立公園及び阿寒国立公園の大自然の国立公園を有する。
URL
導入プロダクト

* 本記事は、2017年8月に取材した内容をもとに構成しています。記事内における組織名、役職などは取材時のものです。
* 本文中の会社名および製品名は各社が商標または登録商標として使用している場合があります。
* 本資料の内容は予告なく変更される場合がありますのでご了承下さい。
* 「FinalCode」「ファイナルコード」はデジタルアーツグループの登録商標です。
* 「すみずみ君」は三菱スペース・ソフトウエア株式会社の登録商標です。

↑ページトップへ

お気軽にお問い合わせください。