神奈川県藤沢市

VMware NSX® Data Center連携で
運用の効率化とセキュリティ強化を両立
エージェントレス型の対策で負荷も軽減

概要

お客さまの課題

長年にわたって力を入れてきた情報セキュリティ対策を一歩押し進め、サーバを保護し、インシデント発生時に影響を最小限に抑える方法が必要だと考えた

解決策と効果

VMware NSXとTrend Micro Deep Security™の連携でダイナミックに制御できる仕組みを構築。しかもエージェントレス型であるためIT部門、職員双方に負荷をかけずにセキュリティを強化した

"VMwareの仮想環境をフルに活用していくならば、Deep Securityのようにコントロールできる製品との組み合わせは必要です"

藤沢市
総務部担当部長 兼IT推進課長
大高 利夫 氏

"導入で課題が出てこないことはあり得ませんが、VMwareとトレンドマイクロが互いの情報を持ち寄り、連携して対処していただける体制があり、安心できます"

藤沢市
総務部 IT推進課
情報システム・ネットワーク担当
青谷 和弥 氏

導入の背景

都心からほど近い距離ながら湘南・江の島など豊かな自然に恵まれた藤沢市。同市では、住民台帳の管理や税務などさまざまな行政業務を円滑に実現する基盤として、また地域情報化を通じて約43万人に上る住民へのサービス向上を図るため、ICT環境の整備に力を注いできた。

その両方に欠かせない要素がセキュリティだ。同市の大高 利夫氏は、「行政そのものをきちんと動かし、また住民から信頼される自治体を目指すために、情報セキュリティに力を入れてきました」と述べる。その表れが自治体としては珍しいISO 27001認証の取得で、2006年以来10年以上に渡って認証を取得してきた。また策定したセキュリティポリシーが守られているか、IT推進課職員が実際にPCを立ち上げて定期的に調査を行い、ルールの徹底を図ってきた。

かといって、ルールを押し付けてきたわけではない。むしろ正反対で、何かにつけ「困っていることはないか」と相談に応じ、円滑な業務との両立を図ってきた。「守れないルールを押し付けても意味がありません。セキュリティは職員の皆さんを守るためのものと説明し、業務を妨げたり、職員に負担をかけたりしないよう、うまくツールやシステムを組み合わせ、そこでカバーできない部分は人の目で補ってきました」(大高氏)

お客さまの課題

藤沢市では6年おきに行っていたインフラの更改期を迎えていた上、2018年1月から利用を開始した庁舎の建て替えに合わせ、ネットワークインフラを刷新した。

総務省は「自治体情報システム強靭性向上モデル」を掲げ、インターネット分離をはじめとするさまざまな対策を講じるよう求めたが、以前から対策に力を入れてきた同市では、既にシンクライアントを採用していた。「管理者権限を与えずに2000台を超えるPCの設定を施していこうとすると管理の負荷が大きすぎると考え、シンクライアント化しました」(大高氏)

今回の更改では、強靱性向上モデルに沿ってインターネット分離を徹底するとともに、シンクライアントシステムも三世代目に移行した。もう1つ力を入れたのが物理サーバの削減だ。基幹システム、情報システムを支えるサーバ群は100台あまりに上っていたが、ハードウェア性能の向上を踏まえ、「物理サーバは半分以下の30台程度に集約しつつ、論理サーバは増やしました」(藤沢市 青谷 和弥氏)。ただ、その際にサーバを保護し、かつ何らかの障害やインシデントがあったときに切り離し、影響を最小限に押さえ込む方法が必要だと考えたのである。

選定理由

複数の仮想サーバを論理的に分割できかつ柔軟にコントロールできる手段を募り、複数の提案を比較した結果、藤沢市では「VMware NSX® Data Center」と「Trend Micro Deep Security™」(以下、Deep Security)の組み合わせを採用した。

NSX Data Center単体でも、マイクロセグメンテーションによって論理サーバ1つ1つを独立させ、ファイアウォールに囲まれた形でコントロールし、必要に応じて切り離すといった処理が可能だ。さらにDeep Securityと連携させることにより、検知した脅威に応じてダイナミックに対処できると考えたことが選定理由の1つになった。

以前からクライアントの保護にウイルスバスター™ コーポレートエディションを採用しており、実績に安心感を持っていた。また、エージェントレス型であることもポイントだった。パターンファイル更新時にネットワーク負荷が集中するといった懸念がなく、運用管理の負荷が軽減できるからだ。職員にとっても、システムのパフォーマンスが重くなるといった苛立ちを抱くことなく、安心して利用できる環境が整った。

ソリューション

藤沢市ではNSX Data Centerとセットの形で、VMware vSphere上でDeep Securityを運用している。「セキュリティ製品はOSの深い部分に触れるものであり、課題が出てこないということはありません。今回の導入時もそうで、トラブルは決してゼロではありませんでしたが、VMwareとトレンドマイクロで互いの情報を持ち寄り、密に連絡をとって対処していただきました。こうした連携体制が整っていることが重要ですし、安心できる部分だと考えています」(青谷氏)

藤沢市 内部事務システムインフラ基盤のセキュリティ対策イメージ

導入効果

藤沢市ではセキュリティポリシーの中で緊急時対応計画を定め、不審な兆候があった場合の報告・連絡体制や職員が取るべき行動、ワークフローを用意してきた。数年前までは毎月のようにアラートが上がり、その手順に沿って解析やクリーニング、プロファイルの初期化といった作業を行っていた。

しかし新インフラに移行してからは、インターネット分離の効果もあってか、NSX Data CenterとDeep Securityが連携してホストを遮断するほどの障害は起きていない。職員側からも何ら問い合わせはなく、「移行したこと自体気付かれていないのではないかというほど自然に利用できています」(大高氏)という。

今後の展望

藤沢市は、新庁舎に合わせてSoftware Defined Network(SDN)を採用した。今後は、他の支所も結ぶネットワーク再構築を1~2年かけて進めていく予定だ。これをDeep Securityと連携させ、ネットワーク単位で制御することも検討していく。「VMwareの仮想環境やNSX Data Centerをフルに活用していくならば、Deep Securityのようにコントロールできる製品との組み合わせは必要ですし、それによって活用の幅はさらに広がっていくと思います」(大高氏)

また同市は、標的型攻撃メールへの対処や緊急時対応の訓練を実施し、手順を確認するだけでなく、「他にもできることはないか」「この結果から次の対策に生かせることはないか」を考え、前向きに使ってきた。トレンドマイクロの「インシデント対応ボードゲーム」も活用し、常に次の一手を考えながらレベルアップに努めていく。

  • 記載内容は2018年6月現在のものです。内容は予告なく変更される場合があります。