自治体ネットワークでのクラウド活用とセキュリティ対策を両立！α’モデルでのローカルブレイクアウトに使える「クラウドUTM」とは？

自治体ネットワークのセキュリティ確保に大切な三層分離。一方でクラウドサービスの活用も推進されています。安全性と利便性を両立したい、でもβ・β’モデルへの移行は難しい…というお悩みの解決に向け、従来型の構成をベースにしたα’モデルで使えるクラウドUTMについてご紹介します。

自治体ネットワークの「三層分離」とは？

住民の個人情報など、重要な機密情報を取り扱う自治体のネットワーク。安全に業務を行うために強固なセキュリティ対策が欠かせません。

2015年に日本年金機構が不正アクセスを受け、個人情報が漏えいしたことをきっかけに、ネットワークを業務内容に応じて「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の三層に分けたセキュリティ対策が行われるようになりました。下図の「αモデル」が主な構成で、メールやインターネット検索の利用には専用端末か、仮想ブラウザなどを利用します。

ネットワークや端末を分離したことで個人情報などのセキュリティは高まったものの、職員の業務効率や利便性がトレードオフとなってしまう点が課題です。

三層分離の概要図（αモデル）

クラウド活用の推進とセキュリティ対策、どう両立する？

一方で、2018年にはクラウドサービスの活用を推進する「クラウド・バイ・デフォルト原則」が公表されました。これはクラウドサービスの急速な進歩によって利便性や信頼性が高まっていることを背景に、政府の情報システムを構築する際にクラウドサービスの利用を第一候補として検討する方針のことです。

そして総務省は2020年12⽉に新たな働き方を実践するためのネットワークの在り方や、業務の効率性・利便性の向上とセキュリティ確保を両立する対策を求めた「地方公共団体における情報セキュリティポリシーに関するガイドライン」改定を発表しました。続く2022年3月には、ゼロトラストセキュリティを前提としたβ・β’モデルの導入示唆を強めた同ガイドラインの更なる改定が行われました。

これに自治体デジタルトランスフォーメーション（DX）推進計画が提唱されている背景もあり、クラウドの活用を視野に入れた三層対策が求められています。

三層分離の概要図（βモデル）

しかし、βモデルに移行するにはLGWAN業務システムをインターネット接続系に移行することになり、ネットワーク構成の大規模な変更や、外部監査・エンドポイントセキュリティ対策が必須になるなど、移行コストの高さがネックとなっています。
そこで解決策となり得るのが、αモデルをベースとした構成のまま、クラウドUTMを介してクラウドサービスを利用する方法です。

「α’モデル」にクラウドUTMを活用

αモデルをベースにした「α’モデル」と呼ばれる構成では、「ローカルブレイクアウト」 という方法でLGWAN接続系から特定のクラウドサービスへ直接接続します。このローカルブレイクアウトを安全に行うための方法として、クラウドUTMの活用が挙げられます。

クラウドUTMとは、様々なセキュリティ機能を統合したUnified Threat Management／統合脅威管理の機能をクラウドで利用できるサービスのことです。各拠点にUTMの機能を持つ機器を設置する必要がなく、導入・運用・管理のコストを抑えながらセキュリティを強化できるのが特長です。

αモデルの場合、LGWAN接続系の端末でインターネットやクラウドサービスを安全に利用するには、仮想ブラウザなどのツールが利用されています。しかし、ネットワークを跨いでファイルをやり取りするための無害化処理に手間がかかる、インターネット接続系のゲートウェイに通信が集中するなどの課題がありました。

ローカルブレイクアウトを利用するα’モデルの場合は、クラウドUTMをセキュリティゲートウェイとして特定のクラウドサービス宛の通信だけ許可するため、LGWAN接続系の端末から直接アクセスしても安全に利用することができます。UTM自体がクラウドサービスのため、新たな脅威に対するセキュリティパッチの適用も早く、管理工数を抑えながらもセキュリティホールの見落としを防ぐことができます。
さらに、インターネット接続系のゲートウェイを通さないため、通信の混雑も回避可能です。

三層分離の概要図（α’モデル）