富良野市に見る、高セキュリティネットワークにおける「シェアリング」のメリット：羽ばたけ！ネットワークエンジニア（96）

アライドテレシスは2025年11月21日に、北海道富良野市のネットワーク事例をWeb上で公開した。自治体の高セキュリティネットワーク設計の考え方は一般の企業にも参考になると考え、富良野市に詳しい内容を伺った。見えてきたのは「シェアリング」というキーワードだ。

[松田次博，＠IT]

連載：羽ばたけ！ネットワークエンジニア

　富良野市は2022年9月の新庁舎オープンを期に、ネットワークを刷新した。自治体に求められる強靭（きょうじん）なセキュリティを保証しつつ、自治体DX（デジタルトランスフォーメーション）を推進するためのパブリッククラウド利用、ペーパーレス化などを推進できる効率性と拡張性を確保するのがその目的だ。

　富良野市のネットワークを見る前に、総務省が自治体に求めているネットワークの3層分離モデルの概要を知っておこう。

自治体ネットワークの3層分離モデル

　自治体のネットワークはかつて「基幹系（マイナンバー利用事務系）」と「情報系（LGWAN《Local Government Wide Area Network》接続系＋インターネット接続系）」の2層に分けて運用されていた。

　しかし2015年に日本年金機構でサイバー攻撃による大規模な個人情報流出事件が発生し、総務省は同年12月にセキュリティ対策の強化を図るため、情報系からインターネット接続系を分離して3層とするモデルを示した。

　3層とは「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」だ。マイナンバー利用事務系はマイナンバーを使う住民基本台帳や国民健康保険などの業務を行うネットワークである。高いセキュリティを保つため、他のネットワークから完全に物理的に切り離されていることが求められる。その上で厳格な認証、アクセス制御が行われている。

　LGWANは自治体同士が接続している専用ネットワークで、財務会計、人事給与などの内部事務が行われる。インターネットからは遮断されている。

　インターネット接続系はインターネットを利用した情報収集、メール、自治体のWebサイト管理などを行うネットワークだ。

　インターネットへの接続は、都道府県単位で構築されている「自治体情報セキュリティクラウド」を経由する接続に限定されている。自治体が直接インターネットに接続することは許されていない。自治体情報セキュリティクラウドは自治体個々で行うことが難しいサイバー攻撃の検知、対処など高度なセキュリティ対策を集中して行う。

　当初の3層分離モデルは、3つの系を厳格に分離する「αモデル」（図1）のみだった。系ごとに別のPCを使わねばならず、系をまたいだデータの受け渡しに制約があるなど、セキュリティを保ちやすい半面、業務効率を低下させるものだった。

図1　αモデルのイメージ（「地方公共団体における情報セキュリティポリシーに関するガイドライン《令和7年3月版》」p138、図表25）

　その後、パブリッククラウドの利用などインターネットを活用した業務改善を可能とするために策定されたのが、「βモデル」だ。βモデルでは業務用PCの多くをインターネット接続系に配置する。セキュリティを保証するため、エンドポイント対策（EDR：Endpoint Detection and Response）などが求められる。

　クラウド・バイ・デフォルト（新しい情報システムはクラウドを優先して使うという国の方針）をさらに進め、テレワークなどにも対応するために作られたのが「β´モデル」（図2）だ。β´モデルでは財務会計、文書管理などの内部事務もインターネット接続系で行われる。情報資産単位でのアクセス制御、セキュリティの継続的な検知、監視体制の構築など、βモデルより強靭なセキュリティ対策が求められる。

図2　β´モデルのイメージ（「地方公共団体における情報セキュリティポリシーに関するガイドライン《令和7年3月版》」p162、図表40）

　富良野市はαモデルのネットワークを運用していたが、新ネットワークではβ´モデルを採用した。

富良野市の高セキュリティネットワーク

　富良野市 総務部 スマートシティ戦略室 スマートシティ戦略課 課長 木村栄一氏によると、富良野市のネットワークは3層のネットワークと管理系ネットワークで構成されている（図3）。

図3　富良野市のネットワークイメージ
VAP（バーチャルアクセスポイント）：multi-SSIDやVLAN taggingなどの標準技術を使い、1台で複数のSSID利用を可能とするAP（アクセスポイント）

　富良野市のネットワークでは、3つの「シェアリング」が生かされている。

　1つ目の「自治体情報セキュリティクラウド」は、個々の自治体では費用的にも人的にも実現が困難なセキュリティ基盤を、道内の自治体がシェアして実現している。

　2つ目は、管理系ネットワークの「ネットワーク統合管理／PCセキュリティ制御」だ。富良野市本庁と20を超える出先機関でシェアされ、出先機関でも本庁と同等の効率的なネットワーク保守、運用と強固なセキュリティ対策を可能にしている。

　ネットワーク統合管理にはアライドテレシス製品を用い、ネットワーク構成管理の自動化／見える化を実現している。ネットワークの運用負荷が軽減されただけでなく、障害検知から復旧までの時間も大幅に短縮されている。PCセキュリティ制御は次のPCシェアリングと同じツールを使っている。

　3つ目は「PCシェアリング」だ。富良野市ではマイナンバー利用事務系を物理的に分離しているため専用のPCを使っているが、LGWAN系とインターネット接続系は1台のPC（タブレット型）で両系を切り替えて利用できる。

　PCシェアリングは、ハミングヘッズ（本社：東京）の「FAT PC」を基盤とした統合セキュリティソフトウェアで実現している。このツールはファイルの自動暗号化や操作ログ管理、多要素認証といったセキュリティ対策が可能なだけでなく、1台のPCをモードで論理分割して複数のPCであるかのように利用できる。モードごとに使用するネットワーク（SSID）、ファイル保存場所、使用アプリ、クリップボードなどを分離してセキュリティを保つ。

　約500台のPCのうち、約7割がLGWA系／インターネット系を兼用できるタブレットPCだ。1台のPCで両系の業務が行えるため、職員の業務効率が上がるだけでなく、系ごとにPCを購入する必要がないため、台数を削減できる。

　木村課長によると、高速化／安定化されたネットワークは自治体DXの基盤として効果を発揮している。図3にあるように新ネットワークと同時に「Microsoft 365」が導入され、「Microsoft Teams」の利用も始まった。現在は生成AI（人工知能）も活用している。

　ペーパーレス化が推進され、2021年度と比較して2024年度は紙を36％削減、文書保管庫のスペースは半減した。LGWAN-ASPのAI議事録を活用し、議事録作成に要する時間は従来の3分の1から2分の1に削減された。

一般の企業でも有用な「シェアリング」

　自治体の3層分離モデルは、セキュリティを優先しネットワークを分離するため、効率を阻害する面もある。しかし富良野市の事例から、ネットワークを分離してもユーザーの操作性を維持する「PCシェアリング」のような手法があることを知った。金融機関や医療機関のようにネットワークを分けて多層防御を行っている企業で応用できそうだ。

　親会社と多数の子会社からなる企業グループにとって、「自治体情報セキュリティクラウド」のように「セキュリティ基盤」をグループ全体でシェアリングすることは極めて有効だ。親会社も子会社も同等の高いレベルのセキュリティ対策ができ、シェアリングによるコストの抑制も可能だ。

　最近の大規模なランサムウェアの被害では、グループ会社のネットワーク機器から侵入されたケースもある。グループ会社を弱点にしない対策としてセキュリティ基盤のシェアリングは有用だ。

　その事例の一つが本連載で2025年3月に取り上げた静岡銀行の新OA基盤だ。以前はグループ各社で個別にOA基盤を構築し、セキュリティ対策も個々に行っていた。

　新OA基盤では、OA基盤の統合だけでなく、SASE（セキュアアクセスサービスエッジ）でグループ全社のネットワーク／セキュリティを共通化し、ゼロトラストセキュリティを実現した。これにより、グループ全体のセキュリティ対策の均質化と向上を図ったのだ。

　これからのセキュリティ対策を考える上で、「シェアリング」はキーワードになりそうだ。

筆者紹介

松田次博（まつだ つぐひろ）

情報化研究会（http://www2j.biglobe.ne.jp/~ClearTK/）主宰。情報化研究会は情報通信に携わる人の勉強と交流を目的に1984年4月に発足。

IP電話ブームのきっかけとなった「東京ガス・IP電話」、企業と公衆無線LAN事業者がネットワークをシェアする「ツルハ・モデル」など、最新の技術やアイデアを生かした企業ネットワークの構築に豊富な実績がある。本コラムを加筆再構成した『新視点で設計する　企業ネットワーク高度化教本』（2020年7月、技術評論社刊）、『自分主義　営業とプロマネを楽しむ30のヒント』（2015年、日経BP社刊）はじめ多数の著書がある。

東京大学経済学部卒。NTTデータ（法人システム事業本部ネットワーク企画ビジネスユニット長など歴任、2007年NTTデータ プリンシパルITスペシャリスト認定）、NEC（デジタルネットワーク事業部エグゼクティブエキスパートなど）を経て、2021年4月に独立し、大手企業のネットワーク関連プロジェクトの支援、コンサルに従事。新しい企業ネットワークのモデル（事例）作りに貢献することを目標としている。連絡先メールアドレスはtuguhiro@mti.biglobe.ne.jp。