 |
広域合併を機に、セキュアで効率的な運用管理を可能にした全庁インフラを、Active Directory® と Systems Management Server 2003 を活用して構築。
|
 |
2006 年 1 月、7 町の広域合併により誕生した香川県三豊市では、セキュリティ強化のために「データをクライアントに残さず」、かつ「運用管理の一元化」を実現するシン クライアント的発想のインフラ構築を決定。Active Directory と Microsoft® Systems Management Server 2003 を連携させることで、本庁と広域な市内に分散している 83 の支所/出先機関に導入されているクライアント PC 840 台の一元管理とリモート管理を実現。さらに合併によるシステム管理対象の増加にも少人数の担当者で対応できる効率的な運用管理を実現しました。
<導入背景>
セキュリティ強化と運用負荷の削減を目指した IT インフラの構築を目指して
三豊市
政策部情報政策課
課長
小野 茂樹 氏
|
|
|
|
三豊市
政策部情報政策課
副主幹
山下 正記 氏
|
|
三豊市は、2006 年 1 月 1 日に香川県西部の 7 町が合併して誕生した新市です。新たに誕生した三豊市は、人口 7 万 1 千人、1 市としては面積が広く、香川県でも高松市に次ぐ 2 番目の市となりました。この合併により、今まで各町で運営、管理されていた IT システムも統合。管理対象が拡大する一方で、システム担当者に関しては「7 町で 7 人」という体制を新市にそのまま移行するのではなく、作業を集約し、人数をできる限り削減することが求められていました。当時の状況を、三豊市 政策部情報政策課 課長 小野茂樹氏は次のように語ります。
「7 町合併に先立つ 2005 年 2 月に三豊合併協議会が立ち上げられ、さらに新市の基盤となる IT インフラ構築の重要性から協議会の中に『電算分科会』を設け、短い時間の中でも最善策を検討してきました。そして、『システムで管理するエリアは拡大されるが、担当者の数は極力最小限にする』という判断の下、システムの運用管理をいかに効率化するかが大きな課題となっていたのです」。
合併により、三豊市では本庁の他、支所と出先機関を合わせ 83 拠点が設けられることになり、そこで利用されるクライアント PC は、合計で 840 台にもなります。これらを効率的に運用管理していくために、システム管理の一元化を図る必要があったのです。
もちろん、セキュリティの強化を図ることは絶対の条件です。三豊市 政策部情報政策課 主任主事 荒脇健司氏は次のように説明します。
「何をおいてもセキュリティの強化、徹底が重要でした。それは、大切な住民のデータを守るために、そして 2005 年 4 月から全面施行された個人情報保護法に完全に沿ったプロセスを実現するために、“当然”の話でした」。
そこで、「システムの一元管理と、セキュリティの確保」を目的に、三豊合併協議会 電算分科会においてシン クライアントの導入が検討されました。それと同時に電算分科会では、これまで使用してきた Windows® ベースの業務アプリケーションによる情報資産を活かすための可能性も論じられたのです。三豊市 政策部情報政策課 係長 宮崎洋一氏は次のように説明します。
「シン クライアント システムで利用できるアプリケーションというのは非常に限られているので、既存アプリケーションを活かすために Windows 以外の OS と Windows アプリケーションをつなぐミドルウェアの導入も検討しました。しかしミドルウェア分の余計なコストがかかり、運用管理面も複雑になるため最善策とは考えられませんでした」。
そこで三豊市が模索したのは、既存の Windows プラットフォームを活用しながらも、「重要なデータをクライアントに残さない」ことでセキュリティを強化し、かつ運用管理の一元化を実現する、シン クライアント的発想のインフラ構築でした。
<システム概要>
シン クライアント的発想の IT インフラを AD+SMS で構築
Windows プラットフォームでインフラ構築を決定した三豊市では、Active Directory と Microsoft Systems Management Server 2003 (以下、SMS) および IC カードを活用する、株式会社富士通四国インフォテック (以下、富士通四国インフォテック) の提案を採用。以下の 3 つをポイントとしたシステムを実現させています。
1. 自分の IC カードさえ持っていれば、本庁、支所、出先機関内 840 台のクライアント PC すべてを、「自分のクライアント PC」のように使える。
2. クライアント PC にはデータを残すことなく、しかし、サーバーに集約されたデータを違和感なく利用できる。
3. フロッピー ディスクなどの記憶媒体に保存された過去のデータを活用しつつも、新しく記憶媒体にデータを書き込んで持ち出せないように制限をかける。
富士通四国インフォテック サービスビジネス本部 基盤技術部 担当部長 米田豊氏は、この提案理由について次のように話します。
「『クライアントにデータを残さないシステムを構築する』ために、Active Directory のグループ ポリシーを活用できると考えたのです。SMS に関してはセキュリティ パッチの一括配布と IT 資産の管理で運用上のメリットがあると考えられました。私どもでは最新版の SMS 2003 は、より操作性が上がっていると評価していましたし、SMS 2003 なら、三豊市のシステム担当の方が効率的にサーバーの運用管理が行えると判断したのです」。
「三豊市のシステム担当者は現在 4 人です。この人数で 840 台のクライアント PC がつながるネットワークを見ていかなければならないわけですから、運用管理の効率化を図らなければならない。その点で SMS のリモート管理機能には期待していました」(宮崎氏)。
そして、三豊市の新たな IT インフラ基盤は、以下の全体像を基に構築されました。まず、データをクライアント PC に保存することなくサーバーに集約するため、Active Directory のグループ ポリシーを利用。本庁内のクライアント PC はハード ディスク ドライブをプルダウン メニューに表示させない仕様に設定します。フロッピー ディスク、USB メモリ、CD-R などの記憶媒体を「読み込み可能、書き込み不可」とする環境も、ハードウェアの設定として実現しました。また、ユーザビリティを考慮する意味で、Active Directory のアカウント管理機能と IC カードを組み合わせ、職員は各自に配布された IC カードでクライアント PC にログインするしくみを整えたのです。
そのうえで、運用管理の効率化を図るために、各クライアント PC のパッチ配布や構成情報などの資産管理を SMS で行い、さらにネットワーク環境ではインターネットと内部情報系、業務系のネットワークを完全に切り分けることでも、セキュリティ強化を図りました。
三豊市
政策部情報政策課
主任主事
荒脇 健司 氏
|
|
荒脇氏は、三豊市が富士通四国インフォテックに提示した要件の厳しさを次のように語ります。
「たとえば、フロッピー ディスクや CD-R などの記憶媒体の使用に関して、『読み込み可能、書き込み不可』という要件も出しましたが、正直、Windows プラットフォームでの実現は難しいだろうと思っていたのです。しかし、富士通四国インフォテックさんは、この要望にも的確に応えてくれました」。
富士通四国インフォテック サービスビジネス本部 基盤技術部 ネットワーク設計グループ 主任 矢野禎知氏は次のように説明します。
「この記憶媒体利用の制限は、特に工夫をしたポイントの 1 つです。ドライブに対する遠隔の制限をするため、今回は IC カードのソフト側で読み書きの制限をかけ、それと Active Directory のポリシー設定を連携させる形で実現しました」。
また、今回のシステム構築において、富士通四国インフォテックでは、主に Active Directory のポリシー設定および SMS 2003 の設計において、Microsoft Consulting Services (MCS) を活用しています。富士通四国インフォテックと MCS が連携したことで、システム構築がスムーズに行うことができました。
「たとえば、今回は本庁と支所内の PC ではドライブ表示をさせず、各出先機関ではシステム ドライブ以外のドライブを表示し、管理者が利用する場合のみシステム ドライブが表示されるといった複雑な設定を行っています。このような設定も、通常はユーザーのポリシーで設定するところを、PC に対する設定とユーザーに対するポリシーを掛け合わせる手法を MCS に提供していただき、柔軟な設定が行えました」(矢野氏)。
<導入メリット>
強固なセキュリティを築きつつ、ユーザビリティも確保
2005 年 5 月に設計を始めて、2006 年 1 月に無事にサービス インを果たした三豊市の新システムは、現在ユーザーからのクレームもほとんどなく順調に稼動していると、三豊市 政策部情報政策課 副主幹 山下正記氏は言います。
「システムの使いやすさや記憶媒体の使用制限などについて、職員にすぐに受け入れられるか、設計段階から不安もありましたが、現在のところ目立ったクレームはありません。それどころか『IC カードさえあれば出先機関に行っても自分のデスクトップ環境を呼び出せる』と、新システムの利便性を喜んでくれる声も聞かれます」。
「今回、セキュリティを強化するうえで、『データを記憶媒体で持ち出せない』、『インターネットと切り離しているため自分の PC ではホーム ページも見られない』ようにしたことで、職員側のデメリットも考えられます。ですが、業務で多用するデータは、IC カードさえあれば出先機関でも支所でもどこでも呼び出せるメリットがあるわけで、セキュリティの強化とユーザビリティのバランスをうまく実現できたのではないかと思っています」(荒脇氏)。
また、三豊市では、システム管理における時間やコスト的なメリットについても高く評価しています。
「これは導入検討時から期待したことですが、SMS の導入により、セキュリティ パッチの配布時もパッチが当たっていないクライアント PC がどのマシンか配布前にサーバーで確認できるため、迅速な対応が行えています」(宮崎氏)。
「また、SMS のリモート管理機能によって、運用管理の効率化も実現しました。従来は、トラブルのあった現場に出かけて作業する必要がありましたが、今は、サーバーからリモートで操作できます。先日も、複数の支所にまたがってコンピュータ名の重複を書き換える作業を行いましたが、車で片道 1 時間もかかる支所間を移動することなく、たったの 15 分ほどで作業が終わりました」(荒脇氏)。
さらに、資産管理についても SMS は利便性があると荒脇氏は続けます。
「SMS を利用してインベントリ管理を行っているのですが、C ドライブの空き容量や、クライアント PC の利用状況、アプリケーションの利用状況をサーバーで確認できるため、適切な資産管理に役立っています。利用頻度が少ないクライアント PC やアプリケーション ライセンスを、不足している部署に再分配することで、三豊市が所有する情報資産を最適化することが可能になりました」(荒脇氏)。
「資産管理、そしてセキュリティにも関連する話として、一般の職員によるソフトウェアのインストールを禁止しています。どうしてもインストールが必要な場合でも、SMS を利用して三豊市が所有するライセンスを確認したうえでサーバーからソフトウェアを配布する方法を選択しています。これによって、コンプライアンスを十分に意識したシステム構築が実現しました」(山下氏)。
<今後の展望>
効率化により削減された時間や既存資産を有効活用
|
株式会社富士通四国インフォテック
サービスビジネス本部
基盤技術部
担当部長 米田 豊 氏
|
|
|
|
株式会社富士通四国インフォテック
サービスビジネス本部
基盤技術部
ネットワーク設計グループ
主任 矢野 禎知 氏
|
今回のインフラ構築で、システムとして「セキュアな環境」と「効率的な運用体制」が整ったとする三豊市では、今後の展開として職員の教育に力を入れていくとしています。
「セキュリティを強化するうえで、『エンド ユーザーの意識改革』は絶対に必要ですが、意識改革の徹底を待つよりも先に『エンド ユーザーが意識しなくても安全が保たれている環境』を整えてしまうことが、より重要であると考えています。今回、新システムを構築したことにより、私たちは必要以上にセキュリティに気を遣う必要がなくなりましたし、運用管理の効率化も図れています。情報政策課としては、余裕のできた時間を職員のセキュリティ教育に振り分け、さらにはシステム管理者の人材育成に充てていける理想的なフローが構築できたと思います」(荒脇氏)。
このセキュリティ強化の一環として、認証に必要なセキュリティ ID、パスワードを「1 人に 1 つ」とするシングル サインオン環境へと移行させることも検討されているといいます。複数の認証 ID を利用していた環境から移行することで、ID、パスワードの管理にかかる個人の負担を軽減し、より効率的でセキュアな状態を保とうとしているのです。
さらに、三豊市では今回のインフラ構築で、インターネット系ネットワークを業務サーバーや国や県とのネットワーク網である LGWAN (Local Government Wide Area Network) と分断する特徴的なネットワークの切り分けを行ったことで、今後、情報のコラボレーションを図ることも考えています。
「今回インターネットを分断するという変わったネットワークの切り分けを行っていますが、これには内部情報系・業務系ネットワークで情報を共有し、有効的な情報活用をしていきたいという考えがあったからです」(宮崎氏)。
「たとえば、医療費に関するデータを取り扱う『国民健康保険システム』と、保健指導や検診などの保健活動に関するデータを取り扱う『健康管理システム』はそれぞれ単独で動いています。しかし、それぞれのデータが同一のネットワーク上に存在し、上手に組み合わせることができれば、『どのような保健活動をすれば、医療費は減るのか』といった政策判断に役立つ指標が機械的に生成されると考えています。このシステムが恒常的に稼動すれば、タイムリに適切な政策判断が下せる自治体が誕生するのではないでしょうか。
セキュアな環境が整った現在は第 1 フェーズだと考えています。今後は InfoPath® や Access などのツールを活用して情報のコラボレーションを進めていきたいと考えています。また、個人情報や機密情報の漏えいにより社会的信用を失墜するニュースが後を絶ちません。今回整備したセキュアなインフラを維持しながら、Windows Rights Management Services などのツールを利用した、より踏み込んだ内部情報統制を進めることも検討していきたいと思っています」(荒脇氏)。
|
| |
本ケーススタディに記載された情報は初掲載時のものであり、閲覧される時点では変更されている可能性があることをご了承ください。
本ケーススタディは情報提供のみを目的としています。Microsoftは、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。
|
|
 |
|
|
|
からできます。
