高セキュリティ、低コストの自治体テレワークの実現方法
|
目次
自治体のテレワーク導入率はたったの3%
2021年度に、2016年度に導入した自治体のシステム強靭化の目的で導入された各種セキュリティ関連システムが更新を迎えます。本来であれば2020年度は次年度のセキュリティシステムの企画検討をじっくり時間をかけて行われるはずでした。それが新型コロナウィルスによって、2020年度の喫緊のIT課題として浮上したのがテレワークです。
総務省が実施したアンケート結果(図1)が示すように、都府県や政令市の多くがテレワークが導入済みであるのに対し、市区町村の導入率は3%にとどまっています。政令市と市区町村ではそこまで大きく業務内容が変わらない中で、この差は深刻です。
|
テレワークが導入できていない理由は主に3つあります(図2参照)。
|
このうち、2番目の労務管理ルールの整備は先行自治体を参考にして整備すれば済む話なので、「コスト課題」、「セキュリティ課題」に話題を絞り、どうやってこの課題を解消できるかを解説します。
※出典:図1、2ともに「地方公共団体におけるテレワーク取組状況(令和2年3月26日時点)」から作成
https://www.fdma.go.jp/laws/tutatsu/items/0420jimurennraku.pdf
テレワークの導入コストの課題の解決
テレワークの緊急性がいかに高くとも、予算がなければ導入は不可能です。幸いなことに今年度、国がテレワーク導入をコスト面で支援する、いわゆる「補助金」施策を実施しているので、これを活用すればコスト課題の半分は解決します。まず、自治体の所轄官庁である総務省の特別交付税措置、そして内閣府の地方創生臨時交付金です。
地方公務員向けテレワークの導入経費にかかる特別交付税措置(総務省)
参考URL:
https://www.fdma.go.jp/laws/tutatsu/items/0420jimurennraku.pdf
補助対象:自治体、教育委員会等のテレワークシステムの導入にかかる費用
補助上限:導入費用の半額(上限なし)
利用期限:2020年度内(2021年度以降の制度継続は未定)
新型コロナウイルス感染症対応地方創生臨時交付金(内閣府)
参考URL:http://www.kantei.go.jp/jp/singi/tiiki/rinjikoufukin/index.html
対象:自治体における「新しい生活様式」の実現を目的としたあらゆる事業に総額1兆円を交付
(自治体のテレワーク、地域の中小企業向けのテレワーク推進事業も対象)
補助上限:自治体ごとに設定
利用期限:2020年度内
この臨時交付金は2020年度内に3次に渡って期限を切って申請を受け付けており、すでに1次は申請を締め切っていますが、1次分だけでも、申請されたテレワーク関連事業数は1252、事業費総額は770億円となっており、その半額のおよそ335億円が交付金として配付される予定です。2次、3次と継続してテレワーク関連事業の申請が継続すれば、テレワーク関連事業への補助金総額は1000億円を超えるかもしれません。
このように、2020年度は2つの補助金制度を上手に利用することによってテレワーク導入のコスト課題を解決できる大きなチャンスとなっています。
テレワークのセキュリティ課題の解決
2020年夏に公開される新自治体セキュリティガイドラインにおいて、安全なテレワークシステムの導入構成が示される予定です。このガイドラインに沿って実装すれば、テレワークのセキュリティ上の懸念も解消されることになります。
では、具体的にどうすれば安全なテレワークは実現できるのでしょうか。
テレワークのセキュリティのポイント
テレワークのセキュリティのポイントは4つあります。
1. テレワーク端末のマルウェア対策、情報漏洩対策
2. インターネット上の通信路の暗号化、または閉域網の利用
3. 多要素認証
4. VPNサーバのサイバー攻撃対策
このうち2~4は対策が明確ですが、1番目は端末に対する多層的なセキュリティ対策が必要になります。例えば、アンチウィルス、EDR、VPNクライアント、外からのVPN接続強制、IT資産管理ツール(セキュリティパッチの即時適用)、端末制御(USBによるデータ持ち出し制限や操作ログ取得)、ハードディスク暗号化といったものです。これらの導入・運用・更新のコストがテレワーク端末の導入に加えてかかってきます。さらに、これだけの対策を施したとしても、接続先はインターネット接続系のネットワークにしかつなぐことができません。LGWAN系を利用できなければ、テレワークの利用も限定的にならざるを得ません。
自治体テレワークにLGWAN画面転送は欠かせない
テレワーク端末側のセキュリティ対策負担を大きく減らし、LGWANをテレワーク端末から利用可能にする技術が画面転送です。画面転送は現在の自治体ネットワークにおいても、LGWAN端末からインターネット系のシステム利用やWeb閲覧の際に、VDIや仮想ブラウザ等で用いられてきました。
|
テレワークの場合は利用したいシステムはインターネット側ではなく、LGWAN系システムです。ここでもネットワークをまたいだ通信を行う際に画面転送が活躍します。
|
インターネット側からLGWAN系に対して画面転送を経由して接続することで無害化通信となり、LGWAN系を保護すると同時に、テレワーク端末が紛失した際の情報漏洩からも守ります。
以下に、テレワークを行う際の3つのLGWAN系への接続方法を解説します。
テレワーク端末からLGWAN系への3つの接続方法
1.モバイル閉域網(閉域SIM)
|
特徴:高い通信費、高セキュリティ
この構成であれば、庁外にテレワーク端末を持ち出してもインターネットにはつながらず、LGWAN内に繋がれたままの状態になります。ただし、OSの設定を変えてインターネットに直接接続されることの無いように、庁外からは必ず閉域SIMのネットワークにしか参加できないように端末を制御しておく必要があります。また、論理的には端末もLGWAN内にあるため、画面転送は必須ではありませんが、物理的に庁外に持ち出せる端末なので、紛失時の情報漏洩に備えて画面転送を併用することで情報セキュリティを高められます。
2.VPN接続
|
特徴:中程度の維持コスト、民間でポピュラーなテレワーク方法
テレワーク端末からVPNを利用して、インターネット接続系のネットワークに参加します。インターネット接続系に業務端末を設置する「βモデル」に取り組む場合、庁内からはインターネット系システムやクラウドを直接利用でき、LGWAN系を利用する場合は、画面転送経由でLGWANシステムを利用します。庁外に端末を持ち出す場合、VPN接続して端末をインターネット接続系に参加させてからLGWANシステムを画面転送で利用するという一般企業のテレワークと同様な利用方法となります。
3.SSL接続
|
特徴:低い導入コスト、端末を持ち帰っていないときの予定外のテレワークが可能
職員個人の端末(BYOD端末)とインターネット回線をテレワークに活用することによって、端末と回線の調達と維持コストが不要になります。しかし、個人の端末に自治体の資産であるソフトウェアをインストールするのはライセンス、就業規則、セキュリティの観点から、好ましくありません。そこでブラウザが共通的に備えているHTML5の仕様を活用して、ブラウザを画面転送のクライアントとして利用すれば、端末側のソフトウェアインストールや設定が一切不要で、データも残らず、BYOD端末を表示専用端末として活用できます。民間企業がBYODを導入する場合も画面転送を用いるのが一般的です。
まずブラウザからSSLサーバに対して、SSLでセッションを貼り、画面転送ホストである庁内のネット端末にリバースプロキシ接続します。このネット端末を踏み台にして、さらにLGWAN内の画面転送ホストに接続し、LGWANシステムを画面転送で利用します。ネット端末を踏み台として使うのは、インターネット側から直接LGWANの画面転送ホストを触ることはできないからです。
テレワーク端末を調達するまで一時的にこの方法を用いることもできますし、災害発生時や予定外のテレワークの受け皿にするために、この接続経路を残しておくと業務継続が可能になります。
自治体テレワークに最適なEricom Connect
アシストでは上記の自治体テレワークの実現方式に対応したEricom Connectという製品を取り扱っています。Ericom Connectは60自治体に導入されているダブルブラウザ(仮想ブラウザ)の中核を担うソフトウェア製品でもあります。
Ericom Connectを自治体テレワークにおすすめする7つの理由
- 自治体向けの安価なライセンス価格設定がある。
- ソフトウェアライセンスは永久使用権なので、総務省のテレワーク導入費用半額補助を最大限利用できる。
- テレワーク向けに購入したEricom Connectのライセンスを仮想ブラウザにも流用できる。
- 高価なVDIは不要。LGWAN端末を画面転送で遠隔操作して、LGWANシステムを利用できる。
- テレワーク端末がなくてもHTML5クライアントでBYOD端末を利用できる。
- テレワークシステムとしての利用にとどまらず、2021年度に予定されているシステム強靭化のリプレースにもなる。具体的には、インターネット接続系端末にLGWANシステムの画面転送ができる。
- ネットワーク構成としてαモデル、βモデルのどちらを選択してもテレワークを継続できる。
Ericom Connectのテレワークシステム構成概要
|
端末にソフトウェアをインストールするタイプのネイティブクライアントか、端末のブラウザのHTML5仕様をそのまま利用するHTML5クライアントの両方を状況に応じて使い分けられます。 | インターネットに公開し、テレワーク端末から画面転送ホストに対してリバースプロキシ接続を提供します。VPNサーバや閉域SIMを利用する場合には不要です。 | 端末にインストールするネイティブクライアントや、HTML5クライアントからのユーザー認証をWeb画面で受け付け、許可されたアクセス先を提示します。多要素認証製品との組み合わせも可能です。 | VDI、RDS、物理PCのいずれかで、実際にアプリケーションを実行し、画面をクライアント端末に転送します。 |
お問い合わせ
ソリューションの詳細説明やデモンストレーションのご要望、導入相談、見積依頼などお気軽にご相談ください。
お客様のご要望に応じて専任のスタッフが対応いたします。