岐阜県瑞浪市

セキュリティ強靭化に加え
SDNとの連携でアラート対応を自動化
人手頼りの運用から脱却

概要

お客さまの課題

総務省が進める自治体情報システムの強靱化対応が求められていた。加えて、24時間体制でウイルス検知のアラートに対応する職員の負荷が大きかった

解決策と効果

SDNを活用して論理的にネットワークを分離。セキュリティ製品と連携し、検知した脅威に応じて、システム側が自動的に対応できる仕組みを整えた

"今や情報は水と同じように不可欠なもの。その中でセキュリティは非常に重要であり、IT専門家の助言をいただきながら、市民の個人情報や市の情報をしっかり管理し、守っていきたい"

瑞浪市長
水野 光二 氏

"24時間アラートに対応するのは、人手では限界があります。ネットワーク側で不審な通信やウイルスなどを監視し、自動で感染端末を切断する仕組みは、我々の課題を解決するソリューションでした"

瑞浪市
総務部 企画政策課課長補佐 兼 情報ネットワーク係長
加藤 博史 氏

"セキュリティを巡る状況がどんどん複雑化している今、誤検知の確認や対処について、われわれ職員だけで判断を下すのは限界があると感じていました"

瑞浪市
総務部 企画政策課 情報ネットワーク係
各務 智哉 氏

導入の背景

岐阜県南東部に位置し豊富な自然に恵まれた瑞浪市は、古くから美濃焼を代表とする陶磁器産業が盛んで、中山道の宿場や化石など歴史と文化のまちとしても知られている。

瑞浪市長の水野 光二氏は「今や、情報は水と同じように不可欠なもの」ととらえ、市内のどこからでもインターネットにアクセスできる環境作りを目指し、環境整備を進めてきた。その取り組みを加速するためにも「セキュリティは非常に重要であり、ITの専門家からの助言をいただきながら、市民の個人情報や市の情報をしっかり管理し、守っていきたい」と水野市長は言う。

瑞浪市は2015年度に「地域公共ネットワーク」の更改を予定していたが、その頃、標的型攻撃による被害を背景に総務省が推進していたのが、重要なシステムのネットワーク分離などを求める自治体情報システムの強靱性向上計画であり、同市にも対応が求められた。

お客さまの課題

セキュリティ運用の負荷も課題だった。瑞浪市役所では、約400名の職員が利用するPC全てに、トレンドマイクロの「ウイルスバスター™ コーポレートエディション(以下、ウイルスバスター)」を導入しているが、「消防署など24時間動いている組織もあり、アラート通知が届くのが夜中でも、内容を確認し、対応しなければなりませんでした。しかもマルウェアのスピードは速く、人間では勝てません」と、瑞浪市の情報システムを担当する加藤 博史氏は語る。

同じく情報システム担当の各務 智哉氏は、「状況がどんどん複雑化している今、誤検知の確認や対処について、われわれ職員だけで判断を下すのは限界があると感じていました」と振り返る。

選定理由

人手頼りには限界があり、何らかの形でシステムが自動的にウイルスを止める仕組みが必要だーそう考えていたところに日本電気(NEC)から提案されたのが、SDNスイッチ「UNIVERGE PFシリーズ」を活用したSDNと、トレンドマイクロのネットワーク監視製品「Deep Discovery™ Inspector(以下、DDI)」、ネットワーク連携セキュリティ対策製品「Trend Micro Policy Manager™(以下、TMPM)」の組み合わせだ。

「柔軟性や可用性、災害時のネットワーク活用の面などからSDNを評価しました。また、セキュリティ製品を組み合わせて、不審な通信やウイルスを監視し、検知時にはネットワーク側で論理的に感染端末を切断する、という考え方とその仕組みは、今までのセキュリティ運用に課題を感じていた我々に適したソリューションだと考えました」(加藤氏)

ウイルスバスターを長年安定して利用できていたことも、採用を後押しした。「使い勝手や継続性を重視しました。いきなり新しいインターフェイスに変えると無用のエラーなどが生じるのではないかという懸念もありました」(各務氏)

ソリューション

瑞浪市役所では二重投資を避けるため、当初の予定を1年ずらしてネットワークを更改した。マイナンバーを扱う住民情報系ネットワークとLGWAN、インターネット系、教育委員会ネットワークをSDN化。これにより、ネットワークを物理的には1つに統合しつつ、VTN(Virtual Tenant Network)で論理的に分割している。DDIは、庁内LGWANネットワークとサーバファーム、住民情報系セグメントへのトラフィックを監視し、不審な通信を検知するとTMPMに通知。TMPMであらかじめ設定されているポリシーに基づき対処が判断され、SDN側で自動的に感染端末を切り離すことで、人による作業や判断を介さず、スピーディに対応できる体制を整えた。

「教育委員会をはじめ、さまざまなネットワークが全て安全に守られる必要があるというご要望を踏まえ、新しい価値を提供できるSDN、さらにDDIとTMPMによる連携をご提案しました」と、NECの大嶋 久司氏は経緯を振り返る。

瑞浪市役所のネットワーク構成イメージ

導入効果

DDIをはじめとする機器は、耐震構造で建設した新たな庁舎内のサーバルームに設置され、構築作業は2017年4月に完了した。現在は、対処の判断をTMPMの管理画面で確認してから手動で実行するフローで運用しており、2018年4月から人手を介さない自動対処に運用を切り替える計画だ。「まずは現状のネットワーク環境や検知される情報を収集して分析し、段階的にポリシーを最適化した上で自動対処に切り替えることで、安定した運用を実現できると考えました」と、運用を支援するNECフィールディングの新井 幹央氏は言う。

現在まで新ネットワークは安定して稼働している。特にクリティカルなウイルスの検知はまだないが、「クローズドな環境のLG-WANでも、何か起きないとは限りません。しっかりと対応しておくことが必要です。本来の目的であるセキュリティ運用の負荷が軽減できたことも含め、費用対効果は十分すぎるほどです」と加藤氏は導入の成果を強調する。

瑞浪市役所では、DDI、TMPM含めシステム全体のサポートをNECに委託している。「何でも尋ねられる安心感がありますし、障害原因の切り分けなどに頭を悩ませなくて済むのは大きなメリットです。有事の際のサポートにも期待しています」(加藤氏)。NECおよびNECフィールディングとは月に1回のペースで定例会を行い、継続的な改善にもつなげているという。

今後の展望

「インフラとハードウェア・ソフトウェア、それを運用する体制の3つがそろってはじめてセキュリティを確保できると考えています」と加藤氏は述べる。拡張可能なSDNと、DDIとTMPMの連携によって、その取り組みが大きく前進した。加藤氏はさらに「われわれ市職員だけでは、安定したシステム運用は難しいのが実情です。長年にわたって実績のあるトレンドマイクロの製品と、NECの協力を得ながら、システムの安定運用に努めていきます」と述べ、両社の力に今後も期待しているとした。

※ 記載内容は2018年1月現在のものです。内容は予告なく変更される場合があります。