甲府市役所 様
-12年前に今を想像できなくても、12年後は今から創造できる-
 |
| 企画部 企画総室 情報政策化 係長 土屋 光秋氏 |
富士の国やまなしの中核都市として大きな役割を果たしている甲府市は、「笑顔あふれるまち・甲府」をスローガンに、より良い行政サービスの提供を目指しています。
この度、甲府市役所様は、市民サービスの向上や効率的な事務改善など、より良い情報システムを提供すべく「甲府DO(ダウンサイジング・アウトソーシング)計画」を企画し、庁内情報システムの全面再構築を実現しました。
WEEDS社製品のひとつ、WEEDS Windows-SecureControl は、クライアント端末のセキュリティ強化に役立ちます。クライアント端末に新システムを導入した甲府市役所様は、セキュリティ強化はもちろんのこと、「個人情報漏えい」・「IT統制」に対応するため、WEEDS Windows-SecureControlをご採用いただきました。
クライアント端末でのセキュリティ対応
・個人情報漏えいへの対応
システムのダウンサイジング化は、ホストコンピュータシステムと比較して多くのメリットをもたらします。しかし、その一方で解決しなければならない問題も発生してきます。セキュリティリスクもそのひとつです。具体的には、エンドユーザーが個人情報を含むデータに自由にアクセスできてしまう可能性です。
個人情報など重要な「情報に関しては、アクセス制御などのセキュリティ管理はもちろんの事、アクセスそのものをモニタリングすることが必要です。
そこで、WEEDS社のWEEDS Windows-SecureControlを導入する事により、「いつ」「誰が」「どのデータを」「どのように操作したのか」といった操作履歴を、簡単に監査レポートで確認することができます。ここでエンドユーザーへの牽制効果や、セキュリティ管理がより強固なものになります。
例えば、WEEDS Windows-Traceは、ユーザーが土曜日・日曜日に無断で行っていた作業を監視できます。監視された作業は、監査レポートとして出力し、この監査レポートを人目見るだけで不正作業が確認できます。WEEDS Windows-Traceにより、監査運用コストの大幅な削減が可能です。
・外部媒体でのデータ持出への対応
外部媒体(USB 端末やFD) の使用禁止していても、
業務上、外部媒体を使ってのやり取りは必須です。
その際、重要なデータを直接外部媒体へ書込みをして持出す、というリスクはどうしても避けたいと考えまし
た。そこで、一般業務で使用する端末での外部媒体
の使用を原則禁止しました。端末のこれらの機能を停
止させ、エンドユーザーより申請があった端末にのみ
外部媒体の使用を許可する、といった運用を定めまし
た。さらに、持出をするデータは必ず暗号化し、暗
号化を実行しなければ外部媒体への書込みが出来な
い、といった二重のセキュリティを施しました。これに
より、外部へデータを持ち出すというリスクに対応出来
るようになりました。 持出データの情報は、監査レポー
トにて確認する事が出来ますので、持出データの正
当性を証明する事も容易に出来るようになりました。
セキュリティ対策への課題
セキュリティ対策は、「セキュリティの配慮したシステム
構築」をしたことで、完了するものではありません。
また、本来のセキュリティ対策というのは、組織外から
の脅威のみを考えれば良いというものでありません。
内部にも目を向ける必要があります。
特に重要なのは、継続的な取組であり、かつシステ
ムを使う人間のミスや勘違いをも含む総合的な体制や
スキームの構築です。
時間と共に、システムと人間の間に慣れが生じ、緩
みがでてきます。この緩みがセキュリティの質を低下さ
せます。よって、システムと人間、両方がスパイラル
的に、その時々セキュリティのレベルを維持向上させ
ていく必要があります。
こうした取組には無理なく継続出来る工夫が重要で
す、何もないことが「最良の成果」であるセキュリティ
対策は、効果を説明することが難しい面があり、場合
によってはコスト抑制の標的にされてしまう事も少なくあ
りません。このため、システム管理とコスト効果の整合
性を保つことは説明責任を果たす意味でも重要です。
WEEDS Windows-SecureControl はセキュリティ性を監査レポー
ト等により「見える化」することで、整合性を保つため
の重要な支援機能として役立っています。
また、操作履歴などの監査レポートは、単に不正な
操作を監視するばかりではなく、利用者の利用実態
を把握し、分析することも可能としており、より満足度
の高いシステムを提供するための検討にあたっても有
効です。今後、様々な場面での課題解決のため有
効に活用できるツールとして、WEEDS
Windows-Trace に期待しています。合わせて、監査
レポートをベースに庁内でも定期的なコミュニケーショ
ンを図り、緩みがでないように進めていきます。
利用部門は、システムは、動いて当たり前という認識
があります。また、情報システムは、利用者から見
たときに「難しい」とか「わかりにくい」といわれるこ
とも多く、技術的に突っ込んだ議論を敬遠される傾向
があります。情報部門が苦労をして課題解決に取り組
んだり、プロジェクトを進めていても、それが見えない
ことも多く、何をやっているのかが分からない事になり
がちです。システムが動かなければ価値がない、と
いう認識が利用者にあり、その責任は一義的に情報
部門が負うものだと考えられているからです。
一方で、情報部門とユーザーの間で、システムの完
成度と使用感にギャップが生じる事もリスクとして当然
想定されます、こうした場合お互いに距離が生じてし
まいますが、ギャップを適時に解消しないと、10 年
間という長期を適切に運用することは出来なくなってし
まいます。
情報システムに関する役割分担や責任分界、それぞ
れの実施義務の内容を利用部門と情報部門のそれぞ
れにおいて意識の共有を図るべきだと思っています。
情報システムを本当に満足するものとして、継続的に
利用するためには、システム提供事業者と情報部門、
利用部門がそれぞれの立場で努力し、協力し合い、
より完成度の高いシステムへと育てていくことが重要な
のです。
こうふDO 計画では、事業者と甲府市のパートナーシッ
プ前提にスキームが構築されています。事業契約書
はもとより、SLA、BCP などあらゆる関連ドキュメントにおいて、パートナーシップを前提としたルールやフローが構成されています。
WEEDS Windows-SecureControl は、情報部門から利用部門 に適切なタイミングで監査レポートなどを提示すること を可能にします。もちろん、情報部門がそれ以外に も様々な検討材料を提供しますが、情報部門と利用 者が意識共有を図り、協力していくことで、システム サービスの提供という、事業者から情報部門、情報 部門か利用者というシステム利用の流れと逆に、利用 者からのレスポンスを的確な形で事業者へシステムの 全体を見える化し、システムの間精度を高める第一歩 になると考えています。
新システム稼動を迎えて
新システムをスタートさせるにあたり、情報担当はもと
より全部局の職員や事業者など多くの人々の協力を得
て、様々な課題を解決して参りました。関係者がそれ
ぞれの立場で役割を果たし、大変な努力をして頂くこ
とで無事に新システムの稼動を迎える事が出来ました。
一方で、稼働したからといってそれで終わりではありま
せん。システムの稼働もひとつのフェーズの終わりに
過ぎません。そのためPDCA サイクルによる、IT ガ
バナンス向上を図るため、稼働4 日後から構築導入
過程における様々な課題の棚卸しを始め、残存作業や確認プロセスの検証、今後の課題などを整理し、
アクションプランの策定を実施しました。
稼働から間を置かず、PDCA サイクルにおけるチェック工程を始めることで、より有効なアクションへと結びつけたいと考えたからです。
また、システムを利用する全職員を対象に、満足度調査を実施しました。今後は、この調査の結果とWEEDS Windows-SecureControl による監査レポートとを照合し、業務の効率的な運営のための方策を導き出したいと思います。様々な分析により、これまで見えかなった事や、気づかなかったことなど多くの改革の「種(シーズ)」が明らかになってくると思います。そうした「種」を育て、市民サービスの向上へと努めていきたいと思います。
今後も時代のニーズや法制度の改正に対応し、システムの在り方も変化していく事でしょう。こうした変化に着実に対応していくため、これからも努力していかなければならないことを肝に銘じて参ります。
.jpg)
.jpg)