「自治体情報システム強靭性向上モデル」への対応
AI アンチウイルス「プロテクトキャット」で
市民のマイナンバーを守る!

導入事例05

岐阜県 土岐市 様

岐阜県 土岐市 様

設立年
-
職員数
850名(※2018年3月末現在)
業種
公務
URL
http://www.city.toki.lg.jp/
CL数
200台
Cat機能構成
レポート機能ネットワーク検知資産管理ソフトウェア資産管理操作ログ管理
Webアクセス管理デバイス制御マルウェア対策

濃尾平野と信濃を結ぶ中間に位置し、古代から東山方面への中継地となり、近世には中山道と名古屋を結ぶ下街道や中馬街道など、交通の要所となっている岐阜県土岐市。明治維新後は日本一の陶磁器生産地として栄え、2018 年4 月にスタートした朝の連続テレビ小説「半分、青い。」の舞台になるなど、注目を集めている。

2015 年より開始された「マイナンバー制度」に伴い、総務省はそれらを管理する地方自治体に対して、個人情報保護を目的とした「自治体情報システム強靱性向上モデル」を示し、各自治体はその対応に追われる中、積極的に取り組みを進めた土岐市。人口約6 万人の情報を預かる土岐市総務部総合政策課 情報係長の加藤氏にその取り組みを伺った。

課題:インターネット非接続環境における外部脅威対策

「自治体情報システム強靱性向上モデル」で示された「三層の構え」に基づき、ネットワーク環境を「1. マイナンバー(個人番号)利用事務系」「2. LGWAN(統合行政ネットワーク)接続系」「3. インターネット接続系」の3つに分離を行なった同市。

「1. マイナンバー事務系」「2. LGWAN(統合行政ネットワーク)接続系」をインターネットから分離することで、外部からの攻撃やウイルス感染のリスクを下げることができる。しかし一方で、インターネットに繋がっていないため、パターンファイル更新が必要な従来のアンチウイルスの更新をインターネット経由で行えず、当時それらの運用が課題となっていたそうだ。

「マイナンバー事務系は市民の皆様の重要なマイナンバー情報を扱うため、セキュリティは3つの中でも最も高くする必要があります。そのため他のネットワークからは完全に切り離しています。LGWAN(統合行政ネットワーク)接続系もインターネット非接続環境ではありますが、こちらはLGWAN-ASPを利用することができるので、パターンファイルをLGWAN-ASPで更新するという運用方法が可能です。そこでマイナンバー事務系ネットワークのセキュリティ担保を目的に、前任の担当者が、パターンファイルを更新することなく新たな脅威にも対応できるプロテクトキャット導入検討を進めたと聞いています(加藤氏)」

ネットワーク構成図

選定ポイント:高い検知率とインターネット非接続環境への対応

それまで利用していた従来のアンチウイルスソフトでは、インターネット非接続環境におけるパターンファイルの更新ができないことに加え、また日々誕生する新たな未知の脅威への不安があったという。
そこで2016年に紹介を受けたことをきっかけに「AIアンチウイルス プロテクトキャット Powered by Cylance」の検討を始めた同市。

当時、13年連続トップシェアを誇る「LanScopeCat」の新製品とはいえ、まだリリースして間もない製品であり、自治体での導入事例もないため、慎重に検討を進めていた。
しかし、実際にその検知率の高さを目の当たりにし、それが導入の決め手の1つとなった。

「私が引き継いた時にはすでに導入された後でしたが、運用を担当することになってまず驚いたのは99.7%という検知率です。開発元のCylanceはファイルの構造を人工知能に学習させており、その学習過程でマルウェアの特徴点から数式を導き出し、その数式を元にスコアリングして正常なファイルかマルウェアかを判断している点に説得力があると感じます。(加藤氏)」

また、従来のパターンファイルでは防ぐことができない未知のマルウェアにも対応していたことも導入の決め手の1つだ。

「マイナンバー事務系は、社会保障や税に関する個人情報の照会を行ったり、他の自治体と情報のやりとりをしたりしています。
そこで万が一ウイルス感染が起きると、安全宣言が出せるまでそれらが一切できなくなってしまい、業務に支障が出てしまいます。何より、市民の方々に迷惑をかけることになります。

パターンファイルを更新して新しい脅威に対応していくという従来モデルは、裏を返すとパターンファイルを更新するまでは危険があるということですが、その点、プロテクトキャットは未知の脅威にも対応しているので、とても安心できます。」

加藤氏

総務部総合政策課情報係長 兼 新庁舎建設対策室
加藤 智英 氏

「引き継いた当初はパターンファイルを更新しなくて大丈夫なのかと不安になりましたが、今は管理の観点でとても助かっています。土岐市は情報システム事務を職員2人という少ない人数で実施しており、負担が少ないのはとても助かります。 導入してからエージェントのアップデートは行っていませんが、問題は何も起こっていません。(加藤氏)」

最初はマルウェア対策機能(プロテクトキャット)だけを検討していたが、LanScope Catの従来の機能(IT資産管理機能、操作ログ管理機能、デバイス制御、Webアクセス監視)と連携することができると知り、合わせてそれらの機能の導入も決めた同市。
現在マイナンバー事務系以外では、IT資産管理ツールは別の製品を導入しているが、マルウェア対策とIT資産管理が連携できることが導入の決め手の3つ目の要素となった。

導入後、LanScope Catのデバイス制御を活用し、USBメモリなどの記憶媒体の利用を制限することで、外部脅威だけでなく内部不正対策も実施できているという。

導入効果:専任者がいなくても運用できるLanScope Cat

プロテクトキャット導入後1年経ちますが、マルウェア感染などのインシデントは無く、問題なく運用出来ているという。

「パターン更新の手間もないですし、Disconnected(※)モードに切り替えた為、管理者としては手放しで何もしてないのが実情です。また、PCへの負荷も無く、職員からの問合せやトラブル対応もありません。プロテクトキャットがPC に入っていればマルウェア対策は手放しで安心といったところでしょうか。やはり、マルウェア対策は高い検知率で、運用は手放しで出来るくらいのものが一番と感じています。また、自治体は民間企業に比べ情報システムの担当者が代わることも多く、引き継ぐ時間もあまりありません。そのため、引き継ぎを何もしなくてもマルウェア対策が継続して出来ることが理想だと思います。職員もマルウェアの脅威など気にせず仕事に専念できる環境が理想です。(加藤氏)」

最後に、「岐阜県土岐市のマイナンバー事務系のネットワークは、プロテクトキャットでそんな理想的な環境を実現しています。」と、加藤氏は笑顔をのぞかせた。

※Disconnectedモード:インターネット非接続環境下でも、検知・自動隔離が行える設定です。