Active Directory連携を活用したID管理で実務の利便性を大幅に向上
山形県村山市では、三層の対策に対するシステム管理者の負担軽減、職員の利便性向上、そして次世代を見据えた認証共通化を実現するためEVEMAを導入されました。マイナンバーカードを活用するため、マイナンバーカード認証を中心に顔認証も取り入れた、パスワード不要な認証環境を構築しました。これにより職員のマイナンバーカード取得率は99%を達成。マイナンバーカード未取得者に配慮した認証環境も準備。セキュリティを確保しつつ利便性の向上も実現されました。Active Directory(以下、AD)連携を利用したユーザー管理の工夫や今後の展開についてお話を伺いました。
複雑なユーザー管理からの解放と未来に向けた認証環境の構想
当時利用していた静脈認証システムは、ADと別々にユーザー管理が必要だったこと、Windowsの大型アップデートもPC毎に対応が必要など、とにかく運用に手間がかかることがシステム管理者として負担に感じていました。また、静脈認証自体の反応は良いのですが、デバイスが大きく運用に課題を感じていました。最終的に認証基盤はクラウドに移行して、ゼロトラストセキュリティを意識した環境にしたいという思いがありましたので、次期システムはそのための下地作りの第一歩として、マイナンバー利用事務系とLGWAN接続系でユーザー管理や認証を共通化し、とにかく職員自身によるパスワード管理を無くすことに重点を置くこととしました。
EVEMA導入の決め手は、職員の取得を推進していたマイナンバーカードを認証に利用できること、その認証には利用者証明用電子証明書を使うことでランニングコストが抑えられること、顔認証の精度が良かったこと、AD連携による管理者負担の軽減が図れることです。
マイナンバーカード認証を中心においたパスワード不要の認証環境を構築
職員には1人1台のノートPCを渡しています。三層の対策は αモデルで、マイナンバー利用事務系、LGWAN接続系で約400名がEVEMAを使用しています。ポリシーでは、ログインはマイナンバーカード認証を使用、ロック解除は顔認証を使用としており、認証方法はマイナンバー利用事務系もLGWAN接続系も同じとしました。具体的には、Windowsログオンはマイナンバーカード認証+PIN、ロック解除は顔認証を用います。当市職員(学校を除く)のマイナンバーカード取得率は99%ですが、マイナンバーカード未取得の職員のPCは、ICカード認証+顔認証を求める設定になっています。認証設定が違うため、該当職員は支給されたPC以外の他のPCにはログインできません。
業務アプリの認証は、IDマネージャーを利用し、グループウェアのログイン、セキュアブラウザに対しての認証でシングルサインオンに寄せた動きを付与しています。Microsoft Edgeで通常モードとIEモードは併用できないため、IEモードで動いている基幹システムは現在でもパスワードを使用していることが課題です。将来的に基幹システムがEdgeに対応したらシングルサインオンを実装したいと考えます。
 |
| ▲クライアントPCでマイナンバーカードを用いた認証 |
セキュリティを確保しつつ利便性も重視。実務に即した認証環境を提供
LGWAN接続系がメイン業務の職員は、マイナンバー利用事務系に入れないよう、グループポリシーで制限をかけています。ADでLGWAN接続系を利用するグループ、マイナンバー利用事務系を利用するグループを作り、さらにその中に課ごとにグループを作成し管理しています。認証方法は共通化しつつも、AD連携を利用してアクセス権の管理も実装できています。その一方で、LGWAN接続系がメイン業務の部署であっても、業務上マイナンバー利用事務系への接続が必要な部署には、EVEMAの代理認証でマイナンバー利用事務系へ接続ができるPCを課ごとに1台用意しています。マイナンバー利用事務系の管理設定に課ごとに使える共通IDとグループを用意し1対N認証で運用しています。この設定が可能であることもEVEMAの良いところだと思っています。
また、EVEMAの顔認証はPC内蔵カメラで利用できるのも良いところです。職員は、朝PCを立ち上げる時にICカードリーダーを接続しますが、PCを持ち歩かない職員は接続したままで、持ち歩く時はリーダーを抜いていきます。そのため、ロック解除は利便性を重視し顔認証にしています。利用場面で認証を使い分けできるのもEVEMAの良いところです。
職員がマイナンバーカードを忘れた場合は、リモート接続して管理者が代わりにテンポラリーパスワードを用いてログインをしています。その後は通常通り顔認証でロック解除です。セキュリティ面から考えると例え管理者であっても利用者のIDを使用するのはよくないと考えているのでこの運用としました。
マイナンバーカード更新対応が今後の課題
EVEMAの運用開始と同時期にPCも入れ替えました。職員はPCが変わったため認証方法も変更したという認識だと思います。認証に必要なマイナンバーカードの登録と顔認証の登録は、管理者3名で全部署(施設を含む)を訪問し1ヶ月で実施しました。登録作業は1人2分程度ですが、職員にマイナンバーカードを持ち歩く習慣がなかったりPINを忘れていたりなどで、登録作業が滞ることはありました。学校も事務職と教務主任、教頭、校長の登録を実施しました。
PCが変わり、パスワードを入力することがなくなったため狙った効果はある程度出たと思います。一方マイナンバーカードの利用者証明用電子証明書が5年に1回更新となることは懸念事項です。5年以内に全職員の更新時期が必ずやってくるため、 その対策も考えないといけませんが、 マイナンバーカードのPPID( Pairwise Pseudonymous Identifier )が活かせるようになるのが理想です。仮にマイナンバーカードが利用者証明用電子証明書をPINなしで利用できるようになったとしても、マイナンバーカード認証+顔認証の二要素認証にするなど、EVEMAなら認証要素を簡単に変更できるのも良いところだと思います。
自治体が理想とするセキュリティ像に応えるソリューション提案に期待
当市ではテレワークの仕組みはあるのですが思ったほど利用されていません。今後の普及を考えると仮想業務サーバーを立てるなど、テレワーク環境の構築も必要でその時はセキュリティ対策も考えないといけません。また、管理者業務の引き継ぎの観点ではドメイン全体の設定を一覧でレポートできる機能があると助かります。
現在はオンプレで運用していますが、将来的にはクラウドベースでEntra IDを使用し、Microsoft 365を使うことは避けられないと考えます。そのような場合でもEntra IDの仕組みにある二要素認証を使用するのか、それともクラウド認証を使用するのか、他社にはできないDDSならではの提案を期待しています。また、実際に現場か抱えているリスクや課題を認識した上で、自治体が考える理想のセキュリティ像の実現に応えられるようなソリューションも期待しています。
PROFILE
- 企業名:村山市役所
- 所在地:山形県村山市中央一丁目3番6号
- 概要:村山市は山形県のほぼ中心に位置し、東を奥羽山脈、西を出羽丘陵に囲まれ、中央を最上川が蛇行しながら北流し、流域には肥沃な土地が開けているまちです。冬は雪が積もりますが、台風や地震などの自然災害は非常に少なく安心して暮らせます。稲作、すいか、そしてサクランボ、りんごなどの果樹栽培も盛んで、郊外には一面、田園風景が広がっています。特産品である「そば」、東日本最大級の「東沢バラ公園」、そしてお囃子にあわせて鳴子を手にした踊り手が演舞する「徳内ばやし」のまちとして市内外にPRしています。
- ホームページ:https://www.city.murayama.lg.jp/
- システムインテグレーター:株式会社ハイテックシステム
※ 記載の内容は取材時(2024年2月)のものです。内容は予告無く変更する場合があります。
※ EVEMAは株式会社ディー・ディー・エスの登録商標です。その他記載の社名、および製品名は、各社の商標または登録商標です
