横浜市 様

自治体DXを進める日本最大の政令指定都市「横浜市」

　神奈川県の県庁所在地、横浜市の人口は3,773,673人（2022年7月1日現在）。全国に20ある政令指定都市の中で最大の人口を抱える。
　横浜市では、DX（デジタルトランスフォーメーション）の実現に向けて取り組むため、「デジタル×デザイン」をキーワードに、デジタルの恩恵をすべての市民、地域に行きわたらせ、魅力あふれる都市をつくることを基本目的とした「横浜DX戦略」の作成を進めている。2022年6月にその素案が完成し、夏にはパブリックコメントを集め、2025年までの4年間を最初の戦略期間として、重点施策に取り組んでいく。
　「デジタル統括本部は2021年度に発足し、市としてDX実現を推進するための組織です。さまざまな方針を定めたり、各部署間の調整や取りまとめを行ったりしています」と話すのは、横浜市 デジタル統括本部 企画調整部 企画調整課 担当係長の高岡 隆守氏だ。
　自治体DXを進める上ではセキュリティの強化も重要なポイントとなるが、横浜市ではそれ以前からセキュリティ対策には積極的に取り組んでいる。その一つとして毎年度実施しているWebサイトの脆弱性チェックがあり、2021年度はアライドテレシスの「Net.CyberSecurity Webサーバー診断サービス（以下、Webサーバー診断サービス）」を利用して脆弱性チェックを行った。

毎年度Webサイトの脆弱性をチェック

　今回横浜市がWebサーバー診断サービスを利用して脆弱性をチェックしたのは、横浜市が運営する116のWebサイト。「広報などさまざまな目的で各区局が運用するWebサイトが、今回116ということになります」と高岡氏。
　基本的にWebサイトのセキュリティについては所轄の部署が責任を持つが、年に一度企画調整課が取りまとめたうえで、ツールを利用し一括でチェックを行っている。
　「Webサイトの制作にはルールを定めており、セキュリティについても担保されていることが前提ですが、横浜市全体でのセキュリティ向上のために、脆弱性のチェックを当担当で取りまとめて実施しています」と言うのは、横浜市 デジタル統括本部 企画調整部 企画調整課 セキュリティ・番号制度担当の近藤 泰佑氏。
　2020年度までは無償の診断ツールを利用してきたが、いくつかの課題があったと近藤氏は振り返る。まず診断に要する時間の問題だ。複数サイトの同時診断などの機能がなく、業務の負担になっていた。
　そして診断結果の分かりにくさだ。「結果の約8割が英語で、一部しか日本語化されていませんでした。そのためその後の対応に繋がりにくいという課題がありました」と近藤氏。
　そこで診断を行っていくのであれば有償でもしっかりしたツールを利用する方が良いということになり、要件を作成。今までの課題を解消することに加え、脆弱性を改善した後は必ず再診断を行うため、その部分も含めた仕様で入札を行い、アライドテレシスのWebサーバー診断サービスが落札した。

チェック業務の効率化と脆弱性への対応のしやすさが向上

　アライドテレシスのWebサーバー診断サービスは、クラウド上からWebサーバーの脆弱性を診断するサービスだ。クラウド上から診断を行い、診断結果は専用のセキュリティ診断結果サイトで確認できる。診断結果サイトでは脆弱性の改善方法も確認でき、検出された脆弱性ごとの再診断も可能だ。
　2021年度のチェックは2022年1月から3月の間で実施。116サイトを診断した。Webサーバー診断サービスの使い勝手について近藤氏は、「並列で複数サイトの脆弱性診断を進めることができ、業務負荷を軽減することができました。これまでは診断に数日かかっていましたが、確実に短い時間で終わっています。診断するWebサイトのURL一覧をアライドテレシスに渡してセットアップしてもらいましたので、操作は簡単でした。これまでは一つひとつURLを入力してから診断という流れでしたので、これも業務負荷の軽減になっています」と言う。
　Webサーバー診断サービスでは診断結果レポートはもちろん日本語で、高岡氏は「結果が分かりやすく見える化できて良かったです」と評価する。診断結果には深刻度が「High」「Low」などと分かりやすく表示されるため、すぐに対処しなければならない脆弱性かどうかがひと目で分かるのもWebサーバー診断サービスの特長だ。
　診断レポートを受けて、脆弱性が見つかった場合にはWebサイトを所轄している部署が修正を行うが、今回は例年に比べて再診断の依頼が多かったという。例年以上に脆弱性が多く見つかったというわけではなく、「レポートが分かりやすくなったということで、所轄の方も、運営を行っている外部業者の方も対応しやすくなったのだと思います」と近藤氏は言う。
　また診断サービスの中には専用の端末が必要だったり、ツールのインストールが必要だったりするものもあるが、アライドテレシスのWebサーバー診断サービスはクラウドサービスでの提供のため、ネットワーク環境の変更や特別なツールのインストールは必要ない。「今回診断サービスについては初めての外部からの調達ということで、情報もあまりない中で必要な機能を最低限仕様としましたが、結果としてクラウドサービスのWebサーバー診断サービスはとても使いやすかったと思います」と高岡氏。

アライドテレシスが積極的に支援

　今回のWebサーバー診断サービスでは、アライドテレシスが積極的な支援を行った。「脆弱性チェック時だけでなく、チェックした後もアライドテレシスにはかなり助けていただきました。各課の担当者や外部業者からの技術的な質問に対しても、アライドテレシスのSE（システムエンジニア）は真摯に対応してくれて、大変助かりました」と近藤氏。以前に利用していた無償のツールにはサポートがなかったため、何か不明なことがあっても自ら調べたり、組織内の詳しい人に助けを求めたりすることしかできなかったという。
　横浜市では近年大きなセキュリティインシデントなどは発生していないが、一般的にWebサーバーの脆弱性を狙ったサイバー攻撃は増加していると言われており、まだ2022年度の調達については未定だが、今後も脆弱性のチェックは定期的に続けていく予定だ。
　「今回の利用を受けて、要件なども見直しつつ、続けていこうと思っています。DXの推進については、セキュリティとの両輪で進めていかなくてはなりません。今後もこうした脆弱性のチェックをはじめ、セキュリティ対策の強化は継続していきます」と高岡氏は今後の展望を語った。
　アライドテレシスではこれからも、製品や技術、サポートなどの提供を通じて、横浜市のセキュリティ対策をはじめ、さまざまな課題の解決を積極的に支援していく。

導入ネットワーク構成イメージ図

導入企業基本情報