端末 6,000 台の「二要素認証システム」を刷新
マイナンバー制度のシステム強靱性向上にも対応

世田谷区
  • VDIに対応した二要認証システムの導入で、マイナンバーのシステム強靭性向上の要件を満たす
  • ICカードを認証のキーとしてのみ利用し、リスク低減と管理者負担軽減を両立
  • 自動配布システムを活用して、各職員自身による安全でスムーズな移行に成功

目次

  1. 1.既存のICカード運用には限界 VDI対応の最新システムに移行
  2. 2.職員自身でシステム移行を実施 管理者に負担なく無事導入完了
  3. 3.ICカードに機密情報は含まず紛失・盗難時もリスクは低減

世田谷区 様 イメージ図

端末利用時にICカード(職員証)を使い二要素認証を実施。確実な本人認証で不正利用を防止している。

FAT端末からVDIを利用する際は、シングルサインオン機能で利用者の利便性を確保、シンクライアント端末では、VDI側にSmartOn IDを導入し、VDI接続後のWindowsログオン時に二要素認証を実施している。

既存認証基盤(Active Directory)とSmartOn IDの認証サーバー(ACL サーバー)は、ID管理オプション(ID Manager)で連携し、アカウントの追加/変更/削除を自動化し運用管理を効率化している。

既存のICカード運用には限界
VDI対応の最新システムに移行

世田谷区は東京23区域の西南端に位置し、総面積58.05km²、人口約88万人、世帯数約46万世帯を擁する、23区中最大級の特別区だ。下町の面影を残す商業地や583箇所にも及ぶ公園・広場・緑地などの街並みが世代を越えて好まれる文化都市として発展している。

区政とまちづくりを支える世田谷区役所では、2003年度からICカード(職員証)とパスワードを併用した二要素認証を導入してエンドポイントセキュリティを早期に実現したほか、セキュリティ会議の定期的な開催や、職員全員を対象とした自己セキュリティチェックの実施、大手ITベンダーによるセキュリティ健全性・脆弱性アセスメントなど、普段から自治体情報システムの強靭性向上とセキュリティ強化に取り組んでいる。

そうした中で近年課題となっていたのが、ICカード認証システムの旧態化だ。世田谷区では、2014年度からVDIを導入し、以後5年で6,000 台の端末をシンクライアント/ゼロクライアント化する取り組みをスタートしたが、既存の認証システムはVDIに十分対応できないことが判明した。

また、従来はICカード内に認証情報を取り込んで運用する方式だったため、アカウントの登録や変更、抹消の際に管理者側の運用負荷が大きい上に、破損や紛失などで再発行する場合には新しいカードに全ての情報を書き込んで再発行しなければならず、交付まで時間がかかるという業務継続上の問題もあった。

世田谷区 地域行政部情報政策課 情報政策担当係長の木村 裕志氏は、「現状課題の解決やVDI対応だけでなく、スマートデバイスや生体認証対応等、将来の利用を見込んだ拡張性のある認証システムに移行することが必要だと考えました」と語る。

「数社から提案を受け、性能、機能、運用の容易性等の要件を比較検討した結果、ソリトンシステムズ社の『SmartOn ID』なら全ての要件を満たす上に機能的優位性が高く、将来的な拡張運用にも耐えられる柔軟性があると判断しました」と木村氏は振り返る。

特にICカードは認証のキーとしてのみ利用し、認証情報を別のサーバーに格納して運用管理を効率化できることが決め手となった。また、世田谷区では、人事システムとActive Directory(AD)間でユーザー情報を連携する職員情報連携システムの更新も迫っていたため、その機能も要求仕様に含めていた。SmartOn IDには人事システムからデータを受け取り、既存のADとSmartOn ID用ADを連携するID管理オプションがあり、その点でも最適と判断された。

マイナンバー制度の運用開始が2016年1月に迫り、そのための国・自治体間の情報連携が総務省指導の「自治体情報システム強靭性向上モデル」に基づく形で2017年7月までに対応を求められる中で、二要素認証によるアクセス制御は必須の要件となっている。SmartOn IDはこの要件を満たしているので、マイナンバー制度の運用開始後も安心して利用することができる。

職員自身でシステム移行を実施
管理者に負担なく無事導入完了

SmartOn IDの導入にあたり、大きなチャレンジとなっていたのが、既存のICカード認証システムをSmartOn IDに入れ替えるタイミングだった。それについて、世田谷区 地域行政部情報政策課 情報政策担当主査の齊藤 真徳氏は、「旧認証システムからの切り替えの際に空白期間を生じさせないようにすることが課題でした」と説明する。

世田谷区の職員は約250施設に分散配置されているため、現地に作業員を派遣して切り替えることは困難なことから、ソフトウェア自動配布システムを活用して、職員自身で既存の認証システムからSmartOn IDに切り替える作業を行ったという。

「必ずどちらかの認証機能を有効にしたまま移行するよう指導するとともに、端末を100~200台単位に分け、段階的に実施した結果、SmartOn IDへの移行はスムーズに進み、管理者側の負担もなく目立った混乱も起こりませんでした。2015年12月中には導入から約2ヵ月で無事完了しました」と齊藤氏は満足げに振り返る。

IC カードに機密情報は含まず
紛失・盗難時もリスクは低減

SmartOn IDの導入により、万が一の紛失や盗難によるICカードの偽造リスクが大幅に低減できたと木村氏は評価する。「カードを紛失した場合、再登録に時間もかかるうえ、紛失したカードを無効化できなかったので、運用が大変でした。SmartOn IDでは、カードを固有で識別でき、一時的に代替のカードを割り当てることも可能になったので、管理側の負担や紛失した職員の不便さも大幅に解消できると考えています」

世田谷区は、VDI導入目的のひとつにセキュリティ強度の異なるシステムをVDIにより論理的に分離することで同一端末上から操作可能にすることをあげており、結果的に総務省が提言しているマイナンバー対応に向けた自治体情報システム強靭性向上モデルの要件も満たすことになった。今後は、職員情報連携システムをID自動管理システム「Soliton ID Manager」に完全移行することで、今まで以上にシステム間のユーザー連携がスムーズになる予定だ。齊藤氏は、「当初懸念していた、複数種類の膨大なアカウントを統合してSmartOn IDサーバーにデータを移し替える作業も、ソリトンシステムズのサポートのおかげで問題なくクリアできたことにとても感謝しています」と語ってくれた。

その高評価に応えるべく、ソリトンシステムズは今後も人気の街・世田谷区の発展に寄与するソリューションを提案し続けていくつもりだ。

 お忙しい中、有り難うございました。

 2016 年 1 月 取材

製品・サービス

SmartOnシリーズ

SmartOnシリーズ

二要素認証でPCセキュリティを強化、ログオン認証からUSBメモリの利用制限まで

お問い合わせ

フォームからのお問い合わせ

お問い合わせ