全職員へのノートPC配布をきっかけに静脈認証から顔認証へ
DDS_w岩手県盛岡市役所 様
職員の利便性確保と管理者負担の削減を実現したセキュリティ戦略
盛岡市では情報セキュリティ対策に早くから取り組み、外付け認証デバイスの更新や煩雑で非効率的な二重管理という課題を乗り越えるため、多要素認証基盤 EVEMAを導入されました。AD連携で管理工数は体感30%削減、SSOにより利便性向上など、セキュリティ強化と業務効率化を両立させた先進的な取り組みについてお話を伺いました。
ICカード認証から静脈認証そして顔認証を含む二要素認証へとセキュリティを強化
本市の情報セキュリティ対策への取り組みは早く、ICカード認証の利用が最初で、平成22年(2010年)度には静脈認証を導入していました。その後、平成28年(2016年)の自治体の情報セキュリティ強靭化対策「三層分離」を経て、職員の利便性とコスト面を考慮し、仮想環境を構築して「β’(ベータダッシュ)モデル」へ移行しました。この移行に際し、国の強靭化補助金を活用してセキュリティ対策をさらに強化しました。具体的には、マイナンバー利用事務系、およびインターネット接続系・LGWAN接続系のシステムにおいて、仮想デスクトップへのログイン認証として、カスタマイズした静脈認証を導入しました。
その後、利用していた静脈認証センサーがWindowsバージョンアップに非対応であったため新たに対応する必要があることがわかり、加えて、Windows 11への将来的な移行を見据え、経費の効果的な運用を図ることを目指し、静脈認証システムの入れ替えを検討することになります。そのような折、全職員にノートPCを配布することが決定しました。そこでコスト面から、ノートPCの内蔵カメラを活用できる顔認証を次の認証として検討することとなりました。
管理面では、静脈認証システムのユーザー管理にかかる工数も課題の一つでした。当時、Active Directory(以下、AD)で職員アカウントを登録した後、別途、静脈認証サーバーにも紐づけ設定をするという二重管理が発生しており、その手間を改善したいと考えました。EVEMAが顔認証を使えること、ADと簡単に連携でき管理が楽になるという点に魅力を感じました。
β’モデルにおける多要素認証とSSOの活用
マイナンバー利用事務系では約750名がEVEMAを利用しています。その中でも、重要な情報を扱う職員のPCでは、本人確認を厳密にするためWindowsログオン時に顔認証+パスワード認証を使用しています。また、窓口などで複数の職員が1台のPCを共有する環境では、ICカード認証+パスワード認証にしています。共有PCは、デスクに共通のICカードを1枚用意し、共通ユーザーでログインしています。
インターネット接続系では約2,400名の職員がEVEMAを利用しています。庁内の職員は一人一台配布されているノートPCで、Windowsログオン時に顔認証+パスワード認証を使用しています。インターネット接続系は約400名の小中学校事務職員も利用しています。こちらは人の入れ替わりが多く顔情報の登録が大変なことから、学校ごとに共通のアカウントとICカードを用意し、EVEMAの代理認証機能を使って誰がログインしたかを記録するようにしています。
また、インターネット接続系では、EVEMAのシングルサインオン(以下、SSO)でファイル送受信サービスなどを利用しています。さらに、インターネット接続系からLGWAN系の仮想環境へログインする際にも、再度EVEMAの認証をかけ、セキュリティを強化しています。今後は職員の利便性を高めるため、マイナンバー利用事務系で住民記録システムなどへのログインにも活用していきたいと考えています。
本市ではテレワーク時にPCを持ち出すのではなく、自宅のPCに専用USBを挿して庁内のPCにVPNで接続するテレワークシステムを採用しています。VPNの認証もEVEMAです。EVEMAの緊急時パスワード(テンポラリーパスワード)機能を利用し、期限付きパスワードを発行して該当の職員に渡すことで、安全な認証環境を実現できました。EVEMAの運用にも慣れてきた現在では、パスワード発行の手間を省くため、簡単なアプリを自作し、コマンドラインツールを活用してボタン一つでパスワード発行をしています。
AD連携でユーザー登録・管理工数を体感30%削減
職員数が多い本市では、年度末の人事異動にまつわる作業はとても負担が大きいものでした。EVEMA導入前は、入庁時期は静脈登録をするため、情報企画課の部屋の前には100名弱の新規採用職員の大行列ができるほどでした。現在は、新規採用職員には最初の1週間だけ使用できるEVEMAのワンタイムパスワードを発行し、各自のPCでログイン後、EVEMAのユーティリティを使って自分で顔情報を登録してもらう運用に変更しました。これにより、職員がわざわざ私たちの部署に来る必要がなくなり、職員も管理者も非常に楽になりました。
また、毎年300~400人規模になる人事異動対象者の管理にも大きな変化がありました。EVEMA導入以前のユーザー管理は、ADと認証システムサーバーの二重管理であったため双方への変更が必要で、システムのアカウント切り替え作業は深夜にまで及んでいました。EVEMAはADと完全連携しているので、AD側のユーザー設定を変更するだけで、自動的にEVEMAにも変更が反映され、作業時間の短縮に確実につながっています。システム管理面での工数は、職員が情報管理課へ訪れる時間なども含めると、体感で30%程度は削減できていると思います。
パスワード要件の厳格化で職員のセキュリティ意識向上
EVEMAの導入にあわせて、パスワードのルールを「12桁以上3種類以上の文字を使用」という厳しいものに変更しました。導入当初は「覚えられない」といった意見もありましたが、複雑なパスワードを設定する良い機会となり、結果として職員のセキュリティ意識は大きく向上しました。顔認証+パスワード認証の二要素認証は、以前のように静脈認証センサーを持ち歩く必要がなくなり、移動が楽になったと職員からも好評です。
今後はクラウド環境への移行を検討。顔認証の精度向上に期待
現在、令和9年度に仮想基盤のリニューアルを予定しています。その際に、オンプレミスだけでなくクラウド(IDaaS)環境への移行も検討しており、クラウド上での認証がどうなるかに関心があります。市の方針としてもクラウドファーストを掲げているので、DDSからもクラウドのソリューションを積極的に提案してほしいです。また、機能面では、ログの表示速度の改善や、顔認証のさらなる精度向上を期待しています。
PROFILE
- 団体・組織名:盛岡市役所
- 所在地:岩手県盛岡市内丸12-2
- 概要:ニューヨークタイムズ紙(電子版)に「2023年に行くべき52か所」の2番目に選ばれた盛岡市。盛岡市は東京から新幹線で約2時間の北東北の玄関口です。戦国時代に築城された盛岡城の城下町の雰囲気が残り、東京駅の設計でも有名な辰野金吾氏が設計した、「岩手銀行赤レンガ館」をはじめとする大正から昭和初期時代の和洋折衷の建物が中心市街地に点在する、歩いて楽しめるまちです。
- ホームページ:https://www.city.morioka.iwate.jp/
- システムインテグレーター:株式会社アイシーエス
※ 記載の内容は取材時(2025年9月)のものです。内容は予告無く変更する場合があります。
※ EVEMAは株式会社ディー・ディー・エスの登録商標です。その他記載の社名、および製品名は、各社の商標または登録商標です
