公的機関や民間企業を取り巻く脅威が高まり続けるなか、「情報セキュリティ」はIT施策の様々なテーマの中でも大きなウェイトを占めるようになった。
しかしながら、セキュリティ対策の理念や取り組みは、民間企業、自治体や教育機関、医療機関など、組織の形態によって共通する部分と異なる部分があるため、なかなか情報共有が進んでいないのが現実だ。
そこで本連載では、これからのセキュリティ対策を考える自治体、教育機関、医療機関、民間企業すべてに参考となる情報の提供を目指したい。
企業IT専門誌、公的機関向け専門誌双方の編集者を経験し、現在「組織と情報セキュリティ」をテーマに取材・執筆を行っている筆者が、様々な組織におけるセキュリティ対策が、どのような理念にのっとって行われてきたのか、そして実際のモデルケースを追っていく。
第二回となる今回、2015年度まで東京都豊島区のCISO(Chief Information Security Officer:最高情報セキュリティ責任者)兼政策経営部 情報管理課長を努め、現在は同区区民部税務課長を務めながら、全国の自治体セキュリティのアドバイザー的な役割を担い、文部科学省のセキュリティ対策推進チームの副主査も務める高橋邦夫氏へのインタビューを実施。新庁舎移転と同時にスタートした豊島区役所のワークスタイル変革への取り組みについて話を聞いた。
「他の自治体にないものをつくれ!」──区長の号令で動き出したワークスタイル変革
豊島区は2015年5月の新庁舎移転を絶好の機会と捉え、業務システム環境を見直すとともにテレワーク環境を導入するなど、職場とワークスタイルの変革を実施。その取り組みは2016年に日本テレワーク協会の「第16回テレワーク推進賞」を受賞するなど、全国から注目を集めた。こうした一連の取り組みの推進役を担ったのが、当時CISO兼政策経営部 情報管理課長を努めていた高橋氏だ。
同氏は、「新庁舎移転が決まり、高野之夫区長から職員のワークスタイルの変革に関する指示を受けたのがすべての始まりでした」と振り返る。
高野区長は高橋氏に次のような依頼をしたのだった──『業務が電子化されて皆がPCに向かって仕事をするようになったが、どうも無表情で笑顔がない。このまま新庁舎に移ったとしても、期待して役所を訪ねてくれた区民の方々は何も変わってないと感じ失望してしまうことだろう。そこで働き方を見直して、笑顔が溢れ気持ちよく来庁者を迎えることのできるような職場にして欲しい』──
この言葉を受けて高橋氏はまず、新庁舎内のどこでも働くことのできる環境づくりにとりかかった。オフィスへのフリーアドレス制の導入を決めるとともに、必要となる無線LANやユニファイド・コミュニケーションなどのツール等を選定。そして、このような新しい環境で新しいワークスタイルを推進する上で欠かせない各種セキュリティ対策の検討も進めていったのである。
「検討すべき項目は多岐にわたっており、私一人ではとても成し遂げることはできなかったでしょう。企画課長や庁舎を管轄する建設課長などが協力してくれたことが大きな力となりました。区長からは『どこの自治体にもないようなものをつくれと』と言われていましたので、自治体の前例にとらわれず、職員がいかに働きやすいか、区民の方々に気持ちよく感じてもらえる対応ができるか、そして情報の安全性をしっかり保てるかにこだわりました」(高橋氏)
豊島区役所のある「としまエコミューゼタウン」
豊島区税務課長 高橋邦夫氏
2要素認証にICカードを採用した理由
現在、豊島区役所の庁舎内ではフリーアドレスで働く環境が整っており、既に一部の部署では正式にフリーアドレス制を導入している。職員はPCを手に、様々な机と席はもちろんのこと、会議室をはじめ庁舎内のどこからでも通常通りの仕事ができるようになった。また、当面は管理職限定ではあるが、タブレット端末を配布して出先や自宅からでも庁内ネットワークにアクセスして業務が行える環境も整えられている。
高橋氏は言う。「タブレットに関しては、万が一情報漏えいした際に、管理職であれば処罰の対象となりますが、一般職員については管理監督責任があるので、区民等への説明責任が果たせなくなると判断しました。この点については、今後、規程類の整備などが必要となってくるでしょう」
庁舎内のどこででもPCを使えるようにするにあたり、セキュリティを担保するための認証には、「ID&パスワード」とICカードとの2要素認証を採用した。認証システムはActive Directoryに連携しており、認証後に庁内ネットワークにログインする仕組みだ。
ICカードは職員証と一体となっており、すべての端末にICカード用の読取機が設置されている。職員は端末の読取機に自分の職員証を挿し、認証システムがID&パスワードとICカード内に登録された証明書を確認できればログインが完了する。
また庁舎の外からも利用するタブレット端末については、タブレット内にある固有の番号を閉域網で認証し、この後に認証局によりパソコン認証とICカード認証を行うという三重の認証を経たうえで、庁内ネットワークに接続させている。
2要素認証の追加要素にICカードを選択した理由について高橋氏はこう説明する。「当区では庁舎移転よりもはるか以前の2008年に認証局を立ち上げて、ICカードを用いた2要素認証を行っていました。当時、生体認証などは一般的でなく、手っ取り早く2要素認証を行うにはICカードがほぼ唯一の選択肢でしたから。今回の新庁舎移転に当たっても、職員が慣れ親しんだICカードを使った認証が良いのではないかと考えたのです。特に、端末で印刷を実行しても、複合機側でICカードをかざさないと出力できない仕組みを旧庁舎時代から導入していたので、席を離れる際にはPCからICカードを外す習慣が職員の間で根付いていました。そのため他の自治体でよく聞かれるICカードを挿したままで離席するリスクも低いのではと期待しました」
ペーパーレス化!区民サービス向上!……働き方はこう変わった
庁舎移転後の働き方で特に目立った変化が、会議でのペーパーレス化の推進だ。
「最初に管理職の会議を対象に、今後事務局からは紙の資料は配らないと宣言したのです。それでも最初のうちは紙に出力して会議に持参する管理職もいましたが、PDFの資料をサクサクと開けるようにしたところ、そんな姿もめっきり目にすることはなくなりました」(高橋氏)
会議中に管理職がデジタルな資料を用いれば、やがて係長や一般職員などの間でも紙の資料は払拭されていった。こうして庁舎移転から一年間の紙への出力数は以前の3分の2にまで削減し、複合機自体の数も2分の1に減らすことができたのである。
「紙の経費削減分だけで、ペーパーレス化にかかったコストを補えるほどです」と、高橋氏は笑顔を見せる。
また、若い職員を中心に、オフィスの空きスペースを積極的に使って働くようなスタイルが浸透しているという。例えば“今日はあの辺りが気持ちよく働けそう”であるとか、“午後は打ち合わせスペースが空いているからそこで集中しよう”といった具合だ。
さらに、住民等との電話対応の質も大きく改善された。ユニファイド・コミュニケーションの導入により固定電話がなくなり、PCから電話対応が可能となったからだ。
「PCと電話がセットになっているので、誰かに電話がかかってきても話中だったり席を外していたりして出られないということがなくなりました。つまり、PCのある場所がその職員の執務環境となったのです」(高橋氏)
豊島区はどのように「三層の構え」に対応したのか
前回取り上げた「三層の構え」への対応も、豊島区では完了している。総務省の指示に従い、「LGWAN環境」のネットワークをベースにしつつ、「マイナンバー利用事務系システム」を論理的に分割。これらへの接続にはデスクトップ仮想化(VDI)の仕組みを用いるようにした。また、「インターネット接続系」へのアクセスにはSBC方式の仮想デスクトップを使うことで、LGWAN環境との分離を図っている。
マイナンバー利用事務系システムでの接続には、VDIを採用することで端末側に情報が残らないようにした。このVDIは、窓口業務用のシンクライアントと、通常の業務に使うリッチクライアントの双方から利用される。
「すべての業務をVDI上で行えるのが理想的でしたが、役所で使う各種製品やツールには、まだまだ仮想環境上で動くものが少ないため、リッチクライアントを採用し、業務によっては端末上で行う方法が現実的でした」と高橋氏は言う。
さらに、内部の脅威への対策も徹底すべく、従来は共用カードを用いていた外部委託先のスタッフにも、一人ずつ専用のカードを配布した。こうして使い回しを防ぐとともに、誰がどの端末を使っているのか確実に把握できるようにしたのである。
「豊島区モデル」を採用する自治体が続く
今回紹介したような一連の豊島区の取り組みは、「豊島区モデル」とも呼ばれ今や全国の自治体のお手本ともなっている。視察も非常に多く、実に年間200件にも及ぶという。同じ23区の渋谷区でも、来年予定している新庁舎オープンに伴い豊島区モデルを取り入れる模様だ。
今回は、高橋氏へのインタビューから、同氏が手掛けた豊島区におけるワークスタイル変革の取り組みについて紹介した。
次回も引き続き同氏へのインタビュー内容を取り上げるが、テーマを変えて、文部科学省のセキュリティ対策推進チームの副主査としての立場から、教育情報セキュリティに関する同氏の見解を中心にお届けすることにしたい。
【著者プロフィール】
企業IT・地方自治体系ライター 小池晃臣(株式会社タマク代表)
元地方自治をテーマとした月刊誌の編集者&エンタープライズIT雑誌の副編集長。現在はフリーとなり、主に企業や公共機関のIT活用事例の取材、経営者や首長へのインタビューを中心に活動。唯一の自慢は、日本の全都道府県庁所在地制覇。
現在、月刊「自治体ソリューション」(ぎょうせい)にて、自治体によるAIやIoT活用の取り組み事例を追う「イノベーションでソリューション」を連載中。
>「セキュリティ対策ヒストリー&モデル」記事一覧
>セキュリティ対策の基本は総務省資料の「三層の構え」にあり!【セキュリティ対策ヒストリー&モデル:第1回】