自治体業務に欠かせない端末を保護 ストレスのないリスク分離
DXを支える情報セキュリティ強靭化

自治体業務に欠かせない端末を保護 ストレスのないリスク分離

保存
保存

日本HPでは自治体におけるエンドポイントセキュリティ(以下EPS)で、端末内リスク分離のソリューションを提案している。サーバ型の分離よりパフォーマンスが速く、低コストで、ファイルを無害化せずに端末の中で安全に扱える。さらにウイルスの隔離実行により、未知のウイルスも防御することができる。

日本HP サービス・ソリューション事業本部 クライアントソリューション本部 ソリューション営業部の三好健夫氏(左)、澤田亮太氏(右)

人口減少が進む中、全国の自治体では税収や職員数が減少傾向にある。また、ITの進化やデジタル化が加速する中、紙の削減や印鑑の廃止、リモートワークの増加といった流れもある。

ユーザーが意識せずに使える
EPSのツールが重要に

「世の中の動向を踏まえて住民サービスの向上や行財政・業務の効率化を行うため、自治体はIT環境の見直しに備える必要があります。IT関連の情報をキャッチアップしつつ、現在のネットワークや認証、エンドポイントを更新していくことが必要になります」。

日本HP サービス・ソリューション事業本部クライアントソリューション本部ソリューション営業部の澤田亮太氏は、こう指摘する。一方、コロナ禍でリモートワークが増える中、パソコンなどエンドポイントのセキュリティ・リスクが増大している。しかし、日本HPが実施したアンケートでは、企業の従業員はセキュリティツールに対して無関心なことが多いという結果が出ている。

「アンケートでは、セキュリティツールの使用が業務に影響してフラストレーションがたまったり、できれば、使用を回避したいと思う人が多いという結果も出ています。このような中、業務を妨げることなく、ユーザーが意識せずに使えるEPSのツールが求められています」(澤田氏)。

また、同社サービス・ソリューション事業本部クライアントソリューション本部ソリューション営業部の三好健夫氏は、「私たちはセキュリティに関する提案で多くの自治体を訪問する中で、従来の三層分離の仕組みではコスト面や利便性に関して課題があると伺っています」と言う。

仮想化技術を使った
端末内リスク分離を提案

このような中、日本HPではEPSで、最新の技術の1つである「端末内リスク分離」のアプローチを提案している。このアプローチを取り入れた「HP Sure Click Enterprise」は、パソコンの中で仮想化技術を使ってセキュリティを高める製品で、主に大企業や中央省庁、自治体、金融機関向けのソリューションとなっている。

図1 αモデルの適用イメージ

澤田氏は、「HP Sure Click Enterpriseの使用は、『マイクロ仮想マシン』と呼ばれるアプリケーションごとに立ち上がる軽量の仮想空間が、1つのパソコンの中で実行されるというイメージになります。このような仮想化技術は従来、VDI(仮想デスクトップ基盤)や仮想ブラウザなどサーバ型のソリューションが一般的でしたが、この製品は技術的に非常に軽くできており、パソコンの中でスムーズに動きます」と説明する。

パソコンの中ではアプリケーション単位でマイクロ仮想マシンを次々に立ち上げ、作業が終わったら消していくような、使い捨ての仮想環境が生まれる。それらの中にウイルスが入って動いても、本体側のウィンドウズには影響がなく、仮想環境を消せばウイルスの実行もなかったことになる。

また、端末内リスク分離ではウイルスを隔離実行することになるが、その環境はアプリケーション単位のため、最低限のプロセスしか動かない。「つまり、その中のログを集めるとノイズなしに容易に分析ができ、すぐに何があったかがわかるというメリットがあります」(澤田氏)。

通常のセキュリティツールはウイルスを実行させずに防御するが、端末内リスク分離では「ウイルスを実行させても問題ない」という従来とは逆の発想になる。ウイルスを泳がせて攻撃者の意図通りに実行させ、ログに残して挙動を分析できるため、システム管理者は簡単に何が起こったのかを把握できる。

HP Sure Click Enterpriseは既に10年以上の実績がある製品で、米国国防総省でも55万ライセンスが導入されている。国内ではこれまで企業向けが中心だったが、日本HPでは昨年、自治体向けにも本格的に提案を開始した。

利便性向上やコスト削減を
可能にする自治体での適用

「端末内リスク分離ソリューションは端末の中で環境を分離するので、自治体のネットワーク強靭化モデル、いわゆるインターネット分離を実現するソリューションとして提案しています。VDIやSBC(サーバ・ベース・コンピューティング)では、仮想環境によるインターネット分離を、サーバで実現するのに対し、その環境を端末の中で実現するというイメージです」と澤田氏は解説した。

この方法では、サーバ型で分離する場合よりもパフォーマンスが速くなるほか、ファイルを端末の中で安全に扱えるため、無害化せずに閲覧や編集が可能になり、利便性向上にもつながる。また、仮想環境用のサーバが不要となるため、コストも削減できる。さらに既存のアンチウイルスでは見つからないような未知のウイルスが来ても、隔離実行で影響なく実行して対応できる。

現在は約10の自治体で、HP Sure Click Enterpriseを使った実証実験が行われている。αモデルへの適用とβモデルへの適用の双方が可能だが、現在行われている実証実験は主にαモデルの適用だ。αモデルではインターネット接続系側にVDIサーバやSBCサーバを置くのに対し、HP Sure Click Enterpriseを導入すれば、総合行政ネットワーク(LGWAN)端末の中でネットワークを隔離できる。このため、使い勝手が良くなりコスト面のメリットもある。

一方、βモデルではインターネット接続系側に端末を持っていくため、VDIサーバの置き換えよりも、端末のセキュリティを向上させるという使い方になる。「自治体によってシステム構成が異なるため、まずは実証実験をしていただけるよう、実証実験用の無償プログラムを用意しています」(澤田氏)。

図2 β/β’ モデルの適用イメージ

β/β’ モデルでは、端末がインターネット側にあるため、αモデルに比べて追加対策が必要になる

日本HPでは、一般社団法人「公民連携活性化協会」が主催する自治体向けウェブサイト「自治体情報システム強靭性向上研究会」にも協力している。「ウェブサイトには過去の研究会の映像や講演資料、自治体コンサルタントの連載コラムなどを掲載しています。無料で会員登録できるので、関心のある方にはぜひご登録いただきたいです」と澤田氏は呼びかけた。

 

お問い合わせ先


株式会社 日本HP
https://jp.ext.hp.com/business-solution/wolf/
JPN_Public_Sales@hp.com

この記事に関するお問い合わせは以下のフォームより送信してください。

 

保存
保存