J'sSSセミナーSession2電算様【自治体情報システム強靭正性向上モデルにおけるSCVX導入事例】

(1)

自治体情報システム強靭性向上モデルにおけるSCVX導入事例

2018年11月７日株式会社電算

技術推進本部

本部長吉川満則

(2)

アジェンダ

１．会社紹介

２．自治体情報システム強靭性向上モデル３．インターネット分割方式の検討

４．SCVXの効果的利用をサポートするツール

５．SCVXへの期待

(3)

会社紹介

2

(4)

会社概要

社名 代表者 所在設立上場

資本金 売上金 社員数 主な取得資格 業務内容

株式会社電算

代表取締役社長轟一太

長野県長野市鶴賀七瀬中町276－6 昭和41年3月

平成22年6月（東証第2部）

平成25年2月20日（東証第1部指定替え）

13億9千5百万円

135億9千7百万円（2018年3月期）

740名（2018年４月現在）

ISO9001、ISO/IEC27001、ISO20000

ISO14001、プライバシーマーク付与認定、総務省電気通信事業法に基づく電気通信事業者

・情報処理サービス、情報提供サービス、情報通信サービス

・ソフトウェアの開発、販売、賃貸ならびに保守

・情報システムの企画・設計・開発ならびにコンサルティング

・コンピュータ等ハードウェア、運用ソフトウェアおよび関連商品の販売、賃貸

・情報ネットワーク技術、情報通信機器・情報処理機器とその周辺機器の企画・研究・開発

・データーセンターサービス（iDC：ハウジング・運用・監視・セキュリティーサポート等）

・インターネット事業（インターネットプロバイダ：avis）

・情報通信技術・情報処理技術の教育・研修サービス

・情報セキュリティ監査サービス等

(5)

自治体に強い会社

4 全国の自治体

150 ^団体

以上で稼働中

弊社導入

パートナー社導入

自治体向け総合行政情報システム Reams を全国に展開

(6)

自治体情報システム

強靭性向上モデル

(7)

強靭性向上モデルとは？

総務省は、日本年金機構における事案をうけ、2015年11月24 日に報告した「新たな自治体情報セキュリティ対策の抜本的強化に向けて」の中で、情報セキュリティ対策の抜本的強化を図る手段として、「三層の構え」を打ち出した。

１．住民(個人)情報の流出を徹底して防ぐ

端末からの情報持ち出し不可設定、端末への二要素認証等

２．LGWAN接続系とインターネット接続系の分割

両システム間で通信する場合には、ウイルスの感染のない無害化通信

３．自治体情報セキュリティクラウドの構築

インターネット接続口を集約した上で、高度なセキュリティ対策

6 自治体情報システム強靭性向上モデル

【出典】総務省新たな自治体情報セキュリティ対策の抜本的強化に向けて http://www.soumu.go.jp/main_content/000387560.pdf

(8)

自治体情報システム強靭性向上モデル

分割

一旦両環境間の通信を分離し、必要な通信のみ許可

無害化通信

①無害化したメール送信のみ許可

②インターネット系端末を仮想化し、

LGWAN

系端末へ画面転送のみ許可

持出不可

外部記憶媒体等による端末からの情報持ち出しを管理

(9)

インターネット分割方式の検討

8

(10)

分割時の端末要件

①物理端末

・インターネット系のLANを新設し、専用端末を追加

・インターネットは追加した専用端末を利用

②仮想デスクトップ

・インターネット系に仮想デスクトップサーバーを追加

・インターネットはLGWAN系の端末から仮想デスクトップを利用

③ローカルSandbox

・LGWAN系の端末にローカルSandboxを構築

・インターネットはLGWAN系のSandboxからVPN経由で利用

分割後に残る課題

「異なるネットワーク間のファイル交換」

(11)

分割方式の比較（当初 ^2015/12 ）

10

物理端末 仮想デスクトップ

（VDI/RDS） ローカルSandbox

使い勝手 ◎ 使い慣れたWindows

アプリも普通に動作 ○ 使い慣れたWidows

一部アプリに制限 ○ 使い慣れたWindows 一部アプリに制限あり

応答速度

安定性 ◎ 快適 ◎ 快適 ○ ドライバが介在するので若干重い

資産管理

ウイルス対策 × 管理対象が増え面倒 ○ サーバー上で一括管

理するので容易 ◎ 従来の管理を継続可能

（Sandboxアプリが追加されるだけ）

データ持出 × 資産管理ソフト等が

必要 ◎ 仮想デスクトップの

標準機能で制限可能 ◎ Sandboxアプリの標準機能で制限可能

価格 ○ 台数が少なければOK

（端末、OS、資産管理等の購入が必要）

× 高価

（サーバ、VDIライセンス等の購入が必要）

◎ 比較的安価

（必要ならメモリ増設、

Sandboxアプリの購入）

(12)

SCVXの提案

Internet SCVX client

SCVX server

コンテナ

(+ブラウザ)

コンテナ

(+ブラウザ)



ローカル端末はインターネットからは隔離



転送されてくるのはブラウザの描画情報のみ

Ⅰ. ネットワーク分離



ブラウザを閉じると 仮想端末(コンテナ)を まるごと削除



常にクリーンな状態を キープ

Ⅲ

. 揮発性



仮想端末(コンテナ)は１ブラウザ毎に作成



それぞれ独立した環境を持ち、お互いの通信も不可

Ⅱ

. 環境分離

加えて

OS や Office の

ライセンス不要

(13)

分割方式の比較（決定 ^2016/9 ）

12

物理端末 仮想デスクトップ

（VDI/RDS）

仮想ブラウザ (SCVX)

使い勝手 ◎ 使い慣れたWindows

アプリも普通に動作 ○ 使い慣れたWidows

一部アプリに制限

？

Windowsと全く違う けど大丈夫？

応答速度

安定性 ◎ 快適 ◎ 快適 ？端末が増えたら 遅くならない？

資産管理

ウイルス対策 × 管理対象が増え面倒 ○ サーバー上で一括管

理するので容易

？

適正管理できる?

データ持出 × 資産管理ソフト等が

必要 ◎ 仮想デスクトップの

標準機能で制限可能 ◎ SCVXの標準機能で制限可能

価格 ○ 台数が少なければOK

（端末、OS、資産管理等の購入が必要）

× 高価

（サーバ、VDIライセンス等の購入が必要）

◎ 比較的安価

（サーバー、SCVXの購入のみ）

(14)

意外に問題なかった

• Windows と全く違うけど大丈夫？

• ビューワーとして割り切り

• タブレットよりパソコン

• 運用を支援する Web アプリ

• 端末が増えたら遅くならない？

• STANDARD を 80 台で構成

• パフォーマンスは落ちにくい

• 適正管理できる？

• 18 ヶ月の運用でウイルス感染なし

• ActiveDirectory と連携

(15)

SCVXの効果的利用をサポートするツール

14

(16)

Webメール

Internet

セキュリティクラウドメールリレー

サーバ送信

受信

エンドユーザー

受信

Webブラウザ 送信

のみでOK！

機能概要

・送信誤り防止

・送信元アドレス(lg.jp or 地域ドメイン)の選択

・メールの検索

・メールのエクスポート

・アドレス帳一括取込

・メールフィルタリング

・メールアカウント一括取込

・メールボックス容量制限

・添付ファイル容量制限

・メールの自動削除など

Webメール サービス

受信送信

・メールもブラウザだけで完結

・Outlookなど、慣れたメーラーと同等の使い勝手

(17)

ファイル交換（ESS FileGate ^※ ）

16 ・徹底した無害化、ワークフローによる受け渡し管理

・使い慣れたプリンタインタフェースを利用

機能概要

・画像 PDF 変換による完全無害化

・トレンドマイクロ社 Deep Securityによるウィルス検索

・上長承認

・受渡し履歴の管理

－他製品との違い－

他の無害化製品

・

MS-Office

文書など種類に制限

・マクロ除去による脅威低減（データ抽出可能な

PDF

変換）

ESS FileGate

・印刷できる全ての文書が対象

・データ抽出できない画像

PDF

変換

①ファイルの取得

②受渡し申請

③画像変換ウィルス検索

④受渡し許可

⑤受渡し完了

メール

FileGate

＋

DeepSecurity

LGWAN系

Internet インターネット系

※ESS FileGateは当社とエンカレッジ・テクノロジ社の協業において、エンカレッジ・テクノロジ社が開発した製品 https://www.et-x.jp/product/efg/

(18)

SCVX × Webメール × FileGate

LGWAN系インターネット系

メール添付 インターネット端末

LGWAN端末 ファイル交換

DMZ

【管理者】

画像変換 ウィルス検索

USBメモリ等媒体

Webアクセス印刷

Webメール

印刷するだけで転送申請＆

ファイル転送を開始！

FileGate

受け渡し承認・記録

・三層の構えに対応

・ヒューマンエラーを防止

・電算がワンストップでサポート

(19)

SCVXへの期待

18

(20)

J'sSSセミナーSession2電算様【自治体情報システム強靭正性向上モデルにおけるSCVX導入事例】

自治体情報システム強靭性向上モデル におけるSCVX導入事例

2018年11月７日 株 式 会 社 電 算

技術推進本部

本部長 吉川 満則

アジェンダ

１．会社紹介

２．自治体情報システム強靭性向上モデル ３．インターネット分割方式の検討

４．SCVXの効果的利用をサポートするツール

５．SCVXへの期待

会社紹介

2

会社概要

自治体に強い会社

4

全国 の自治体

150 団体

以上で 稼働中

自治体向け総合行政情報システム Reams を全国に展開

自治体情報システム

強靭性向上モデル

強靭性向上モデルとは？

１．住民(個人)情報の流出を徹底して防ぐ

端末からの情報持ち出し不可設定、端末への二要素認証等

２．LGWAN接続系とインターネット接続系の分割

両システム間で通信する場合には、ウイルスの感染のない無害化通信

３．自治体情報セキュリティクラウドの構築

インターネット接続口を集約した上で、高度なセキュリティ対策

6

自治体情報システム 強靭性向上モデル

自治体情報システム強靭性向上モデル

分割

無害化通信

LGWAN

持出不可

インターネット分割方式の検討

8

分割時の端末要件

①物理端末

・インターネット系のLANを新設し、専用端末を追加

・インターネットは追加した専用端末を利用

②仮想デスクトップ

・インターネット系に仮想デスクトップサーバーを追加

・インターネットはLGWAN系の端末から仮想デスクトップを利用

③ローカルSandbox

・LGWAN系の端末にローカルSandboxを構築

・インターネットはLGWAN系のSandboxからVPN経由で利用

分割後に残る課題

「異なるネットワーク間のファイル交換」

分割方式の比較（当初 2015/12 ）

10

SCVXの提案

Internet SCVX client

SCVX server









Ⅲ





Ⅱ

加えて

OS や Office の

ライセンス不要

分割方式の比較（決定 2016/9 ）

12

？

？

意外に問題なかった

• Windows と全く違うけど大丈夫？

• ビューワーとして割り切り

• タブレットよりパソコン

• 運用を支援する Web アプリ

• 端末が増えたら遅くならない？

• STANDARD を 80 台で構成

• パフォーマンスは落ちにくい

• 適正管理できる？

• 18 ヶ月の運用でウイルス感染なし

• ActiveDirectory と連携

自治体情報システム強靭性向上モデルにおけるSCVX導入事例

2018年11月７日株式会社電算

本部長吉川満則

２．自治体情報システム強靭性向上モデル３．インターネット分割方式の検討

全国の自治体

150 ^団体

以上で稼働中

自治体情報システム強靭性向上モデル

分割方式の比較（当初 ^2015/12 ）

分割方式の比較（決定 ^2016/9 ）

SCVXの効果的利用をサポートするツール

・メールの自動削除など

ファイル交換（ESS FileGate ^※ ）

・画像 PDF 変換による完全無害化

当社の研究・開発拠点の一つとして

・新しい技術の習得、開発等を模索する場

業務ネットワークインターネット

デスクトップの分離

流入・流出を防止データ授受を管理

誰でも、簡単かつ安全に利用できる