"マイナンバー制度への対応で導入して以来、数回のネットワーク構成変更がありましたが、ずっとDDIが最後の砦になっています"

福井県坂井市
総合政策部 企画情報課 参事
半澤 宏一 氏

"どんなに多層防御をしていても、すり抜けてくる脅威があります。それらを検知してくれるDDIには助けられています"

福井県坂井市
総合政策部 企画情報課 主査
虎田 憲治 氏

"システム面での対策とともに、疑似スパムメールなどによる訓練を実施することで、庁内のセキュリティ意識も高まっています"

福井県坂井市
総合政策部 企画情報課 技師
渡邉 雄大 氏

福井県の嶺北地方北部に位置する坂井市は、2006年3月に三国町、丸岡町、春江町、坂井町の合併により誕生した。国の天然記念物である名勝「東尋坊」や、日本最古の天守が現存する「丸岡城」などを擁し、東洋経済新報社による「住みよさランキング」^※で6年連続トップ10入りを記録している自然豊かな市だ。繊維産業が盛んで、特に「越前織」と呼ばれる細幅織物や浴衣帯は全国シェア1位となっている。また、県内有数の米どころであるほか、越前ガニや甘エビなどの海産物も豊富である。

坂井市の約900台のPCは、そのほとんどが内部情報業務用途としてLGWANに、約150が基幹業務として個人番号接続系ネットワークに接続して利用、運営されている。

これらのPCを管理しているのが、総合政策部の企画情報課だ。その参事である半澤 宏一氏によると、坂井市はメールおよびWebアクセスにおけるセキュリティ対策として以前から、トレンドマイクロの「Deep Discovery™ Inspector（以下、DDI）」を導入していた。

※ 出典 東洋経済新報社 「都市データパック」

DDIを導入したきっかけはマイナンバー制度へ早期に対応するためだったという。「当時はネットワーク分離をしておらず、基幹業務、内部情報業務、インターネット接続を1台のPCで行っていました。全庁的なセキュリティ対策として、迷惑メール対策やインターネット閲覧制限の導入、個々のPCには『ウイルスバスター™ コーポレートエディション（以下、ウイルスバスター Corp.）』を導入していましたが、1つの端末で基幹業務や内部情報業務、インターネットとのやりとりを行っていたのですから万全とは言えませんでした」と話すのは、同課の主査である虎田 憲治氏。

坂井市では、同市を含む2市1町で運営される「福井坂井地区広域市町村圏事務組合」でIT製品、サービスの選定や導入を行っている。マイナンバー対策の選定時には、すでに導入されていたウイルスバスター Corp.との親和性などを考慮した同組合によりDDIに白羽の矢が立った。さらにその後の検証で、近年の情報漏えい事件などで問題となった「既存の対策をすり抜ける脅威」への対応の重要性から、サンドボックスでのふるまい検知の機能が改めて注目されたという。「主に組合側で選定が行われ、当市には最終的な確認が求められたという状況です。その後問題なく導入は進み、導入以降も大きなインシデントは発生していません」（半澤氏）。

DDIの導入後にマイナンバー制度の施行があり、その後2016年までにインターネットの分離、個人番号接続系とLGWAN接続系の分離を実施し、2017年に坂井市を先頭に県内の全市町が県の情報セキュリティクラウドに参加している。このような抜本的な対策を経ても、DDIによるセキュリティ対策は必要だという。

インターネット分離については、仮想ブラウザでのWebへのアクセス、メールの無害化によって対応している。メールについては、まずプロバイダーの迷惑メールフィルターがあり、その後県の情報セキュリティクラウド、加えて市役所内に入ってきてからの対策、さらにウイルスバスター Corp.がチェックするという多層防御の体制をとっているという。

メールの無害化については、メール本文のテキスト化、URLリンクの無効化、添付ファイルの削除を行っている。

「このように万全を期してはいますが、それでもすり抜けてくる脅威に対する心配はありました」（虎田氏）。

DDIは、すべてのネットワークポートと105種類を超えるプロトコルを監視し、専用の検出エンジンとカスタムサンドボックス解析によって、従来のセキュリティ対策を回避して侵入しようとする不正プログラムを検出する。坂井市では多層防御によるメール対策を実施しているが、上位層のパターンファイルの更新が間に合わない場合などに不正なメールのすり抜けが発生することを危惧している。

坂井市ではマイナンバー制度の施行を見据えたDDIの導入後、インターネットの分離、個人番号接続系とLGWAN接続系の分離、県情報セキュリティクラウドの接続と、ネットワーク環境を数回にわたって変更し、セキュリティを高めている。DDIについてもその都度パートナーと調整を行い、監視ポイントを最適化することで、高い精度で脅威の侵入を防御し続けている。現在、インターネット接続系では、メール通信、仮想ブラウザでのWebアクセスをするポイントへDDIを設置することで、上位層の対策が間に合わない場合の不正メールや不正サイトに対応している。

ネットワーク環境が変遷しても、DDIにより一貫して保護されている実感があると同課の渡邉 雄大氏は言う。「県情報セキュリティクラウドの接続を含めた多層防御で、市役所内まで届く危険なメールはかなり減少しました。それでもまだ、すり抜けてくるものを、DDIが最終的に止めてくれているという実感があります。ただ、これだけの多層防御をすり抜けてくるものは危険度も高いと思われます。そこで最近では、パートナーで監視しているDDIで不審なものが検出されたときの通知を、従来の1日1回から都度メールで通知がくるように運用を変更し、態勢を整えています」。

今後について伺うと、「現在、エンドポイントのウイルスバスター Corp.とDDIを連携させる『Trend Micro Control Manager™』の検証を行っており、詳細を詰めている状況です。この連携ができれば、セキュリティ対策をさらに強化でき、運用の手間も軽減できると考えています」と半澤氏。また、職員のセキュリティ意識の向上のために、セキュリティに関するアンケートを実施したり、eラーニング研修の推進、予告なしに疑似スパムメールを送って対応する訓練などを行っているという。今後もパートナーに協力してもらいながら、セキュリティ対策を強化していきたいと半澤氏は語った。

※ 記載内容は2017年12月現在のものです。内容は予告なく変更される場合があります。