次期セキュリティクラウド構築の裏話聞かせてください!【広島県 総務局 情報戦略担当部長 桑原氏インタビュー Vol.1/3】
2023年5月開催のG7サミットで話題の広島県。その広島県CIOの役割を担う、総務局 情報戦略担当部長 桑原様にセキュリティのこと、G7サミットのこと、などなどインタビューしました。
広島県は早くから働き方改革やDXを推進しており、テレワーク率はなんと8割だそうです。今回は2023年4月から運用を開始する、次期情報セキュリティクラウドについてお話を伺いました。
プロフィール
広島県 総務局 情報戦略担当部長 桑原 義幸氏
<経歴>
大阪電気通信大学工学部、ブリティッシュ・コロンビア大学(カナダ)留学を経て40年に渡って、DEC, KPMG, アーサー・アンダーセンなどの米系企業にて情報技術の研究・開発に従事。2003年金融庁入庁を皮切りに行政機関における情報戦略や政策立案に手腕を発揮。その後、2007年に(株)インターフュージョン・コンサルティングを設立、代表取締役社長に就任。2011年4月広島県CIO、2016年6月総括官(情報戦略)に就任、現在に至る。
また2019年7月、デジタルトランスフォーメーション(DX)推進本部の設置とともに副本部長に任命、未来の広島県の実現に向けた政策の立案に着手。
大切なのは、組織にとって“何を守るか”を明確にすること
次期自治体情報セキュリティクラウド(以下、次期セキュリティクラウド)構築のため、情報収集に約1年かけたと伺いました。
自治体情報セキュリティクラウドとは
都道府県と市区町村がWebサーバー等を集約し、監視及びログ分析・解析をはじめ高度なセキュリティ対策を実施するものです。
行政機関でのシステム導入は、5年使い続けることを想定します。今回のシステム切替では今できることを全部やりたい、タイミングを逃したくないという強い思いがありました。そのため、最新動向の情報収集に時間をかけ、次期セキュリティクラウドがどうあるべきか検討しました。
ポイントは、ゼロトラストを導入しようと思って動いたわけではない点です。大切なのは、組織にとって“何を守るか”を明確にすることです。守るものを洗い出したうえで、現行のセキュリティクラウド、世の中の動向、攻撃のパターンなどを加味して、次期セキュリティクラウドを検討しました。
現行のセキュリティクラウドは、何が課題だったのでしょうか。
県内にある23の基礎自治体ごとに、エンドポイントレベルのセキュリティレベルがばらばらであるという点です。
外部から基礎自治体への通信は、セキュリティクラウドを経由する仕組みです。セキュリティクラウドを通過してしまった攻撃に対しては、各基礎自治体でセキュリティチェックをする必要があります。
広島市といった大きな自治体であれば、自前のセキュリティで対策ができます。ですが、一人情シス状態の自治体もあり、エンドポイントレベルで見るとセキュリティレベルはバラバラでした。
セキュリティクラウドという上部のみの対策をするのではなく、エンドポイントレベルでの平準化と底上げを、次期セキュリティクラウドの課題として掲げました。
情報量の差はあれど、守るべき対象は同じなのにセキュリティレベルが基礎自治体ごとに異なる、ということですね。
そうです。自治体規模の大小にかかわらず、守るべき情報資産の種類(住民情報など)は同じです。異なるのはその数だけです。
このような基礎自治体ごとにエンドポイントのセキュリティレベルが異なる状況は、他の都道府県でも同様に課題として上がっていると思います。
初めからゼロトラストを導入しよう!としたわけではないんですね。
はい。次期セキュリティクラウドでは結果的に、ゼロトラストとEDRをコンセプトとして掲げることになりました。初めからゼロトラストありきで考えてしまうと、そのことに束縛されてしまい、発想が狭まってしまいます。なので、セキュリティの大原則であるCIA(Confidentiality:機密性、Integrity:完全性、Availability:可用性)を守るためにどうするべきか、順序立てて突き詰めていき、結果としてゼロトラストにたどり着きました。もしかしたらゼロトラストが必要ない組織もあるかもしれないですね。
トラスト・ミー!
次期セキュリティクラウド構築で苦労したポイントはありますか?
次期セキュリティクラウドでは、三層分離のモデルに関係なくEDRの導入を必須としました。しかし、政府のガイドラインでは、αモデルにおけるEDRの導入は必須ではありません。EDR導入のためには市町に金銭的負担をお願いする必要があり、αモデルの自治体からは「必須ではないのに、なぜお金を払ってまで導入しなくてはいけないのか」との声が上がりました。
どのように説得したのでしょうか。
αモデルにおけるEDRの必要性を何度も丁寧に説明して回り、納得していただきました。まさに「トラスト・ミー(私を信じて)」ですね。「どうしても嫌だ!」と反対する市町があったら、β'の形にはできなかったと思います。
信用してもらうためにも、日頃から市町とコミュニケーションを取っておくことが大切です。最後は「人」です!
次期セキュリティクラウド導入でコストは増加しましたか?
セキュリティクラウドの運用・管理費に掛かる予算は、令和4年度と令和5年度でほぼ同等です。増えたというよりも、予算に収まるように工夫しました。ゼロトラスト導入で極端にコストが増えるわけではいと思います。
予算に収めるためにどのような工夫をされたのでしょうか?
新しいものを入れる反面、古いもの、不要なものを捨てるという工夫をしました。今の環境を整理し、余計なものを取り払い、新しいものを導入するということです。
特に行政は税収がメインで、予算が決まっています。人口減少による税収の減少に加え、特にここ3年はコロナ禍により経済にも打撃を受けました。広島県を支えていた観光収入も大きく減っています。そのような決められた予算の中、見直しを行いながら次期セキュリティクラウドの構築を行いました。
広島県は自治体のベストプラクティスを目標に掲げられています。他の自治体が広島県同様にセキュリティ対策を行うためには、まず何から始めればよいのでしょうか?
広島県のやっていることすべてが正しいとは限らないですし、もっといろいろなことを実施している自治体もあると思います。しかし、他自治体の取り組みを知る機会が少ないのが現状です。これからは、自治体同士の情報交換や連携を行うことで横連携を高めていく必要があると考えています。各自治体の取り組みをざっくばらんに会話する場、例えばサイバー空間上で情報交換を行う場があれば、活発に情報交換が行われるのではないかと思います。
「メタバース空間にCIOを呼んでみた」なんて企画があったら面白そうですね。
まさにそうです!仲の良い知り合いがいれば、どのような取り組みをやっているか情報は入ってきますが、それ以外は全くなので、もっとそういう場があればよいなと思っています。
桑原様ありがとうございました!次回はテレワークやDX推進、三層分離についてお届けします!お楽しみに!
YouTube動画にもご登場いただいています!
#1 広島県CIO桑原氏に質問!
ゼロトラスト導入の裏話、教えてください!
#2 広島県CIO桑原氏に質問!
ゼロトラスト導入コストってぶっちゃけ高い?
※文中やYouTube動画ではCIOと表現しておりますが、正式な職名は「総務局 情報戦略担当部長」(2023年4月時点)です。
ライター:高野
