宮城県角田市様導入事例「自治体システム」のあるべき姿

宮城県角田市について

宮城県角田市は宮城県の南端に位置する都市です。
「米」「豆」「梅」「夢」「姫」の5つの“め”を「“歴史”と“未来”を“食”で繋ぐまちづくり」のキーワードと
しています。自治体の情報セキュリティ対策である「三層分離」をいち早く導入するなど、行政のDXに積極的に取り組んでいます。

角田市人口	26,748人※令和6年3月末
角田市URL	https://www.city.kakuda.lg.jp/

お話をお伺いした人

角田市総務部
企画デジタル課
デジタル推進係主査
片柳真和様

お話をお伺いした人

リコージャパン株式会社
デジタルサービス技術本部
デジタルインフラ事業部
基盤第五ソリューション部
東北グループ
金田義徳様

今回は角田市総務部企画デジタル課デジタル推進係主査片柳真和様とリコージャパン株式会社デジタルサービス技術本部デジタルインフラ事業部基盤第五ソリューション部東北グループ金田義徳様にお話をお伺いしました。

住民サービスの向上にはDX推進が不可欠

宮城県角田市は、自治体情報システム強靭性向上モデルとなる、「三層分離」や「多要素認証」などをいち早く導入するなど、積極的に行政のDXに取り組んでいる自治体です。

自治体システムの三層分離のイメージ

職員が使用するシステムのログインに多要素認証を採用しましたが、それだけではセキュリティ対策は不十分だったと角田市の片柳様は振り返ります。

角田市片柳様

「多要素認証などでログイン時のセキュリティは確保しましたが、同時ログイン防止への対策が課題でした。多忙な業務の中、うっかりログアウトを忘れるといったヒューマンエラーから、情報漏洩などにつながるリスクがありました」

同時ログインとは、ある端末からログインしたユーザーが、ログアウトしないまま別の端末から同じアカウントでログインすることです。この同時ログイン防止ツールを利用することで、職員間でのアカウントの使い回しの防止や、もしアカウント情報が漏洩し、不正アクセスされた場合に、いち早く異変に気づくことができるようになります。
不正利用防止に関しては総務省発行の「地方公共団体における情報セキュリティポリシーに関するガイドライン」内においても準拠するべきポイントの１つとして挙げられており、同時ログイン防止も効果的な対策となります。

角田市片柳様

「同時ログインは、通常業務の中で、知らず知らずのうちに起こってしまうことがあります。職員本人が気づかないまま、セキュリティリスクが高い状態になってしまう可能性がある点が問題だと思っていました」

システムやアプリケーションは開発元が同時ログイン制御を実装している製品があればそれを利用することができますが、Windowsへのログインは角田市で対応する必要がありました。

既存の認証システムとの連携が必須

角田市では、2022年に市のシステムの大規模更新が計画されていました。UserLockの導入もそのタイミングで行われました。

角田市片柳様

「同時ログイン防止機能の搭載は、市のシステムの大規模更新のタイミングに合わせて進めるセキュリティ強化対策の一環として行おうと考えていました。これまでとは運用面で大きな変更となりますが、さまざまな問題を一気に解決できるチャンスという期待もありました」

UserLockの主な機能

片柳様は同時ログインを防止する仕組みとして、当初は、在席管理ツールなども検討したといいます。

角田市片柳様

「在席管理ツールも試してみたのですが、Webカメラを新たに購入して、PCに取り付けるためのコストが発生すること。また、どのくらいの時間で離席と判断して自動ログアウトするのか。全職員がすべて同じ設定で良いのかなど、在席管理ツールを使った同時ログイン防止対策は、さまざまな課題があることがわかりました。
そこで、在席管理ツール以外でも同時ログイン防止ができるツールを探したところ、簡単にセキュアなログイン管理ができる『UserLock』を見つけることができました」

在席管理ツール導入・運用の問題点

項目	問題点
カメラの購入費	在席確認のために必要なカメラの購入費用が発生
初期設定の手間	デバイスへのインストール、カメラ設置、ネットワーク設定が必要
自動ログアウト	適切なタイミング設定が必要で、誤った在席状況の発生を防ぐための調整が必要
ユーザー設定	生体情報（顔情報）を使用するため、ユーザーごとの調整が必要となる
プライバシー	カメラ使用に伴うプライバシーの懸念があり、ポリシーの明確化と説明が必要

ツールの選定には、AD（Active Directory）への対応も重要なポイントになったといいます。ADとは、Windowsサーバーに搭載されている、アカウントやアクセス権限を管理する機能です。ADと同時ログイン防止ツールが連携することで、運用の手間を大きく低減することが可能になります。

角田市片柳様

「『UserLock』導入の決め手の一つはADへの対応でした。ADで管理しているOU（Organizational Unit）やアカウント情報をそのまま利用できるため、ユーザーを二重管理しなくて良いのは嬉しい点です」

UserLockの導入は、角田市のネットワーク更新プロジェクトを担当しているリコージャパンと、オーシャンブリッジが協力して進めました。

Active DirectoryとUserLockの連携イメージ

リコージャパン金田様

「システム構築において、角田市様の特長は、どのようにしたいのか、どのような姿にしたいのかというビジョンが非常に明確である点だと感じています。さらに、通常は我々SIerが行うようなPoC（Proof of Concept：概念実証）の領域においても担当部署が実施される行動力をお持ちです。
クライアントである角田市様のゴールが明確であったため、リコージャパンは、その実現に向けて、より良いシステムを提案することに専念できました」

何も起こらないことが最大の「効果」

システム構築・運用において、ますます費用対効果が重視される風潮の中、セキュリティ対策は目に見える効果が少ないのが導入効果を評価するうえで難しい点です。

角田市片柳様

「『UserLock』導入後、同時ログインがゼロになったことが直接的な効果ですが、職員が意識的にログイン状態を気にするようになったことは情報リテラシーの向上にも一役買っているかもしれません」

UserLock 同時ログイン制御のイメージ

角田市では、職員が複数の端末を利用することは少なくありません。仮にうっかりログアウトすることを忘れても、別の端末にログインしようとするとエラーメッセージが表示されます。
自分が使ったどの端末でログアウトし忘れているのかを表示する設定も可能なため、職員自身で対応することが可能となり、システム管理者の負担は最小限に抑えられます。

同時ログインのエラーメッセージのイメージ

「UserLock」は同時ログインを検出した際に表示するメッセージをカスタマイズすることが可能です。

セキュリティと使いやすさを両立させるソリューション

オンライン化による住民サービスの向上を実現するには、情報漏洩などの心配がないセキュアなシステムを構築・提供する必要があります。しかし、セキュリティを重視しすぎると、実際の運用面で大きな手間がかかり、使い勝手の悪いシステムになってしまいます。

角田市片柳様

「『UserLock』の導入で、職員とシステム管理者の負担を増やすことなく、ログインのセキュリティ強化を実現できました。市民の皆さんにも安心してサービスを利用していただけると思います」

リコージャパン金田様

「『UserLock』の導入はオーシャンブリッジ様と協力して行いましたが、角田市様側の利用者／管理者視点での課題を共有しながら進めました。その結果、本システムにおいて、利用者の利便性と管理者の運用性を兼ね備えた最適な実装を実現できたと感じています。」

角田市では今回、「UserLock」の同時ログイン防止機能のみを使用しましたが、「UserLock」には多要素認証をはじめとした、さまざまなログイン管理機能が搭載されています。

三層分離システムに後付けで導入可能なUserLock

角田市片柳様

「角田市では多要素認証については、すでに別のツールを導入済みだったので、現状は『UserLock』の同時ログイン防止機能のみを使用していますが、これから多要素認証や同時ログイン防止を導入したい自治体や企業にとっては必要な機能を一度に導入できて便利だと思います。セキュリティに関しては、自治体自らが積極的に対応していかなければならない課題だと思っています」

また最近、被害が拡大している「ランサムウェア」対策は自治体も対応する必要があります。「なりすまし」を防ぐ同時ログイン防止や多要素認証はランサムウェア対策としても効果的です。さらに、インターネット接続不要で完全オンプレミス環境での多要素認証・ログイン管理に対応しており、自治体の「三層分離」のいずれの環境においても適用することが可能です。
オーシャンブリッジは、今後も「UserLock」を通じて、角田市のセキュリティ対策をサポートしていきます。

※取材日時：2024年6月（文中の組織・数値に関する表記は全て取材日時時点のものです）

角田市のWebサイト

体験版ダウンロードはこちら