セキュリティレベルに応じて認証要素を設定。管理者の業務負担も減少
DDS_w秋田県由利本荘市役所 様
三層の対策すべてに多要素認証を適用。ITリテラシー教育にも力をいれる
秋田県由利本荘市では、総務省が定めるセキュリティ対策モデル「α´(アルファダッシュ)モデル」への切り替えを見据え、旧来の認証システムから脱却し、セキュリティ強化と利便性の両立を目指して2021年にThemisを導入されました。導入から4年の月日が経過し、多要素認証導入で見えてきた職員のセキュリティ意識の変化、管理者の業務負担が減少した理由など、Themisがもたらした効果と今後の展望についてお話を伺いました。
> 秋田県由利本荘市様 導入事例チラシ (PDF) はこちら
求められるセキュリティ強化と利便性。AD連携と既存資産流用も決め手に
LGWAN接続系の職員用端末で長年使用していた認証システムは、ID+パスワードの「記憶」要素のみの認証で、誰でもログインできる状態でした。有効に働く場面もあったかもしれませんが、昨今のセキュリティ事情から鑑みると、この状況は看過できず、速やかな多要素認証導入が必須だと判断しました。
また、同時期にα´モデルへの切り替えが進んでいたことも、より厳重なセキュリティが必要になった理由の一つです。認証システムを選定する上で特に重視したポイントは、本人でなければログインできないという真正性の確保と、ユーザー側の利便性が低下しないこと、システム管理面からも有用なシステムであることの3点です。その中でThemisを選んだのは、他の自治体での導入実績があり、Active Directory(以下、AD)連携ができることでした。さらに、マイナンバー利用事務系で使用していたカードリーダーや静脈認証デバイスが流用可能であり、コスト削減につながる点も選定理由のひとつでした。
三層の対策で異なる認証方式を選択。シングルサインオンで利便性を向上
マイナンバー利用事務系、LGWAN系、インターネット接続系すべてでThemisを利用しています。
マイナンバー利用事務系は、約350名の職員がICカード+手のひら静脈の二要素をWindowsログオン認証に利用しています。以前から使用していたカードリーダーや静脈認証用のデバイスを流用できたため、初期費用を抑えることができました。Windowsログオン後は各種業務アプリケーションと、LGWAN接続系との間で使用するファイル無害化ツールをThemisのIDマネージャー機能を利用し、シングルサインオン(以下、SSO)で使用しています。
LGWAN接続系は、職員用端末のWindowsログイン認証に約1200名が使用しています。認証方式はICカード+パスワードの二要素認証を使用するため、新たにカードリーダーとICカードを準備しました。Windowsログオン後は、マイナンバー利用事務系との間で使用するファイル無害化ツール、伝票起票システムなどをSSOで使用しています。
最後にインターネット接続系ですが、リモートワーク専用端末から、J-LISの自治体テレワークシステムを経由しLGWAN系の職員用端末へ接続しています。この時の職員用端末へのログインにICカード+パスワードの二要素認証を使用しています。
実運用での工夫と多要素認証導入で見えたセキュリティ意識の差
運用開始にあたっては、情報政策課内の端末で先行テストを実施し、留意点などをまとめたマニュアルを作成して、庁内掲示板で周知しました。元々認証システムを利用していたマイナンバー利用事務系は、特に問題なく運用を開始できましたが、本格的な認証システム導入が初めてだったLGWAN接続系では、職員に新しいログイン画面に慣れてもらうため、段階的に認証要素を増やす工夫をしました。運用面で工夫したのは、ICカードの利用方法です。マイナンバー利用事務系、LGWAN接続系ともに、ICカードの置き忘れによる紛失を防ぐため、ログイン時のみ必要とする設定にしています。Windowsの設定で画面ロックをかけた際などは、解除にICカード+パスワードまたは手のひら静脈による再認証が必要です。
Themis導入後、マイナンバー利用事務系とLGWAN接続系を利用する職員の間で、セキュリティ意識の違いが明らかになりました。すでに多要素認証を利用し、研修を受けていたマイナンバー利用事務系の職員からはマイナスの反応は全くありませんでした。一方これまでパスワード認証のみだったLGWAN接続系を利用する職員からは「手間が増えた」という声がありました。この反応を受け、セキュリティ強化の重要性を改めて伝え、改善へと舵を切れたのは大きな成果です。その後、毎年実施する研修により、職員意識の変化は見て取れるようになりました。eラーニングなどを活用しつつ、セキュリティ意識をいかにして職員に定着させていくかは今後の課題だと思っています。
システム管理者に大好評のAD連携。管理者負担を大幅に軽減
システム管理者にThemisは非常に好評です。ユーザー管理はオンプレミスのAD環境1つに対してマイナンバー利用事務系とLGWAN接続系をそれぞれに連携させる運用をしています。人事異動時にはAD上だけでユーザーの設定変更が完了するので、管理者の負担は大幅に軽減されました。その結果、異動時期に発生する他の業務に労力を割くことができるようになりました。新規採用者や退職者の対応も、AD連携に加えICカードやパスワード登録、無効化といったわずかな作業だけで済むため、設定作業はすぐに終わります。管理者の手作業による設定が必要なシステムは、問い合わせで設定漏れが判明することもあるため、サーバーで一元管理できるThemisはとても安心です。
認証強化とITリテラシー教育は両輪。担当者に寄り添う製品への成長に期待
ICカードは継続利用しますが、生体認証(顔や指紋など)の導入も検討していきたいと考えています。将来的に職員用端末をリモートワーク用端末として利用する構想もあり、その際に生体認証は大きな力を発揮すると期待しています。また、セキュリティ強化において最終的に鍵を握るのは、職員のセキュリティ意識ですので、職員向け研修を通じてITリテラシー教育も継続しておこなっていきます。
地方自治体では、セキュリティの専門知識を持たない職員が情報システム部門に配属されるケースも珍しくありません。このような状況では、どんなに優れたソリューションでも知識や経験の不足から運用が難しい場合がほとんどです。Themisは初見でも直感的に操作できるUIですが、ログをさらに詳細に確認できたり、連携させているアプリも含め、設定の漏れを防ぐ仕組みなどがあると、担当者はより安心して利用できます。専門知識に乏しくても安全に運用できる担当者に優しい製品づくりと、これまでと同様のサポートをぜひお願いいたします。
> 秋田県由利本荘市様 導入事例チラシ (PDF) はこちら
PROFILE
- 団体・組織名:由利本荘市役所
- 所在地:秋田県由利本荘市尾崎17番地
- 概要:秋田県の南西部に位置し、南に鳥海山、東に出羽丘陵、中央を一級河川の子吉川が横断している、市の多くを山々に囲まれたまちです。県内最大の面積を有し、沖縄本島と同程度の大きさを誇ります。随所で日本海の美しい夕日を拝むことができ、落差57mの法体の滝、「出羽の富士」の異名をもつ鳥海山など、雄大な自然をその身に感じられるスポットにあふれています。本荘ごてんまり や 本荘追分などの伝統文化が大切に受け継がれ、「雪の茅舎」や「鳥海山」といった地酒は市内だけでなく全国で愛飲されています。2025年1月、合併前の1市7町をモチーフにした「ゆりほん娘」を市公認キャラクターとして認定しました。
- ホームページ:https://www.city.yurihonjo.lg.jp/
- システムインテグレーター:株式会社フィデア情報総研
※ 記載の内容は取材時(2025年4月)のものです。内容は予告無く変更する場合があります。
※ Themisは株式会社ディー・ディー・エスの登録商標です。その他記載の社名、および製品名は、各社の商標または登録商標です
