速やかなパッチ適用で、サイバー攻撃から大切な情報を守る

導入経緯

限られた人員での“セキュリティ強化”と
“管理業務の効率化”

当市が「SKYSEA Client View」を導入したのは私が配属される以前のことですが、セキュリティを強化するための操作ログの取得やヘルプデスク業務の効率化にリモート操作が必要だったことが導入の理由だと思います。特に1～2名の職員で小学校、公民館、給食センターなど、約40の庁外施設を含めて効率的に管理するためには、リモート操作による遠隔サポートが欠かせません。

現在、自治体では情報システムの強靱化に向け、ネットワークを3層に分離しています。当市ではさらに情報漏洩リスクを低減させるため、端末側にデータを残さないことを目的に、Microsoftの「Hyper-V」で仮想環境を構築しました。サーバーVDI方式を採用したLGWAN接続系に対し、多くの職員が使用するインターネット接続系ではSBC方式を採用。さらにＳｋｙ社のシンクライアントシステム「SKYDIV Desktop Client」を導入して運用の効率化を図りました。

「SKYSEA Client View」では、これら仮想端末の操作ログ収集、セキュリティポリシーの設定など幅広く活用し、主に私を含めた2名で管理しています。

導入効果

“勤務時間内のサイレントインストール”で
職員の業務を邪魔せず、パッチを適用

アプリケーションの更新プログラムがリリースされた際は、できるだけ速やかに対応するようにしています。更新による業務システムへの影響はできるだけ避けたい思いはありますが、脆弱性を放置したことが原因で、万が一にも市民の皆さんの大切な個人情報を漏洩させるようなことがあってはならないからです。

Windowsの更新プログラムは、長野県自治体情報セキュリティクラウドから配信されたデータをWSUSで適用していますが、業務システムなどのアプリケーションの更新には「ソフトウェア配布」機能を使用しています。サイレントインストールで配布すれば画面上は何も変化がないので、職員がPCを使用している日中でも業務に支障を与えません。

以前は夜間や休日に対応していましたが、時間外勤務となってしまうことや、一斉配信によるサーバーへの負荷も懸念されていました。サイレントインストールで勤務時間内に更新プログラムを配信すれば、万が一トラブルが発生した場合にも、保守ベンダーに連絡を取ることができ、すぐに対応できるため安心です。現在は適用期間を長めに設定し、勤務時間の中で部署ごとに分散配布しています。

“USBメモリの使用を制御”し、
情報漏洩のリスクを軽減

当市では原則として、USBメモリの使用は禁止です。どうしても必要な場合は、申請制を取っています。理由や使用期間を確認し、許可された期間に限定して使用できるよう「デバイス管理」機能を活用。「読み取り専用」「使用可能」など、申請理由によって許可する範囲は異なりますが、当市の運用に合わせて柔軟な設定が可能です。また、事前にウイルスチェックを実施したUSBメモリしか使用できません。

USBメモリは、持ち出しによる紛失がたびたび報道されますが、庁舎の外へ持ち出すことは許可せず、外部とのデータの受け渡しにはオンラインストレージの使用を呼び掛けています。

トラブルを未然に回避するため
ドライブの空き容量の管理に“アラート通知を活用”

仮想端末も物理端末同様に、ドライブの空き容量を確保しなければパフォーマンスが下がります。しかし、職員に空き容量を意識してもらうことは現実的ではありません。そこで、私どもDX推進係が資産情報管理の「ハードウェア一覧」で定期的に空き容量を確認しています。さらに、ドライブの空き容量が3GBを切るとメールで通知が来るよう「アラート通知」を設定。通知が上がってきた端末は、私どもで不要なファイルを削除したり、ディスククリーンアップを実施します。アラートの通知は、トラブルを未然に防ぐことにつながり、限られた人員で行うシステム管理には欠かせません。

また、仮想端末のMACアドレスが振り直されることがあり、原因を究明するため「SKYSEA Client View」で端末情報を確認すると、再起動時に自動で振り直されていることがわかりました。端末の気になる挙動をログや資産情報から確認できることは、セキュリティの観点からも大事なことで、安心感につながっています。