「自治体情報システム強靭性向上モデル」に対応するためXenDesktop Enterpriseを導入しインターネット分離を実現 1万4000人の職員が利用する端末のセキュリティを大幅強化

日本最北の政令指定都市であり、全国第5位の人口(約196万人)を擁する札幌市。同市は北海道の政治、経済、産業等の中心であると同時に、時計台をはじめ、大通公園、藻岩山、円山動物園など観光スポットも多く、国内外から年間約1,400万人が訪れる観光都市でもあります。かねてよりIT環境の整備に注力してきた同市ですが、総務省の推進する「自治体情報システム強靭性向上モデル」に対応するため、Citrix XenDesktop Enterpriseを導入。インターネット分離を実現することで、約1万4,000人の職員が使う端末の安全性を飛躍的に高めることに成功しました。

札幌市 PDF

課題: 「自治体情報システム強靭性向上モデル」に対応するため インターネット分離を実現するソリューションを検討

2015年、総務省は近年増え続ける情報漏えい事件・事故やサイバー攻撃への対策として、「新たな自治体情報セキュリティ対策の抜本的強化に向けて」を発表しました。この報告の中で自治体が取り組むべき要件のひとつとして、「自治体情報システム強靭性向上モデル」 に対応するためインターネット分離を実現するソリューションを検討することになりました。
インターネット分離とは、インターネット接続系とLGWAN(総合行政ネットワーク)接続系など他のネットワークを分離し、インターネット経由で情報が外部に漏れることを防ぐしくみです。札幌市総務局 情報システム部 システム調整課 内部システム担当係長の塚本龍介氏は「近年は標的型攻撃が猛威を振るっており、従来型のウイルス対策や職員への教育だけでは対応しきれないことがわかっていました。そこで、この話が上がる前からインターネット分離について調査は進めており、おかげで早い対処が可能になりました」と当時を振り返ります。

低帯域なネットワーク環境への対応とPVSによるイメージ管理の容易さなどを評価

インターネット分離を実現する手段としては、物理的にネットワークを分ける方法がありますが、新たにネットワークや機器を用意する必要があり、巨大なコストと工数が発生します。さらには管理の負荷も増大するため、約300カ所の拠点を持つ札幌市にとって現実的とはいえません。そこで同市では、仮想ブラウザを使ってインターネットにアクセスすることで、表示された画面のみを端末へ転送する方法をとることにしました。 ブラウザの仮想化にあたり、札幌市では複数の製品を調査した上で入札を実施。最終的にアプリケーション仮想化機能(XenApp)を備えたCitrix XenDesktop Enterprise(以下、XenDesktop)が選定されました。札幌市総務局 情報システム部 システム調整課 内部システム担当係の茂呂卓也氏はこの結果について「帯域制御のICAプロトコルにより、当市の一部拠点のように低帯域のネットワーク環境においても快適な速さを維持できることや、Provisioning Services(PVS)を利用することでデスクトップに配信するイメージが管理しやすいこと、セッションを事前起動できる機能が備わっていることなどが評価のポイントでした。加えていえば、別の部署でXenAppを先行して導入しており、実績があったことも安心感がありました」と述べています。

導入のスケジュールですが、2016年1月からプロジェクトがスタート。設計、構築を経て、2017年3月から既存環境との並行運用を開始し、7月に全面的に切り替えました。なおこの際、設計の段階からシトリックスのコンサルティングサービスを利用し、サーバーのサイジングや構成などを相談しながら作業を進めていったといいます。茂呂氏は「細かいバランスから成り立っているシステムなので、パラメーターの設定などで豊富な知識とノウハウを持ち合わせているコンサルタントの存在はありがたかったですね」と当時を振り返っています。

そして今回の導入でポイントとなったのが「ブラウザの起動時間」です。同市はテスト環境で仮想ブラウザの起動時間をチェックし、サーバーをサイジングすることで20秒以内の起動時間を実現しています。札幌市総務局 情報システム部 システム調整課 内部システム担当係の磯部悟氏は「起動時間については利便性に関わる部分ですし、遅ければそれだけユーザーのストレスになってしまいますので、特に気を使いました。テストの結果、当初のスピードでは若干遅く感じるところもありましたので、ノードを追加しパフォーマンスを確保しています。将来的にはXenDesktopの高速化機能を活用して数秒まで縮める予定です」と話しています。

導入効果: インターネットの完全分離を実現 端末の管理にかかる労力も大幅に削減

XenDesktopの導入により、インターネットへアクセスするための仮想ブラウザ(Internet Explorer)と、写真や書類をアップロードする業務用のデスクトップ環境の2種類のアプリケーションが仮想環境で稼動するようになりました。これにより、インターネットは完全に分離され、セキュリティは格段に強化されています。さらに、仮想ブラウザを実行するXenAppサーバーは毎朝リフレッシュされ、PVSから配信されるため、職員はウイルスやマルウェアに汚染された端末を使うおそれもなくなりました。
端末の管理面も、インターネット経由でサイバー攻撃を受けるリスクがなくなったことで、大幅な労力の削減が実現しています。磯部氏は「今後、端末の集中管理が実現し、障害時の原因調査などを当部署で一括してできるようになれば、現場の職員がトラブルに対応する時間も減り、本来の業務に注力できるようになると考えています」と述べています。
ユーザーの反応については、札幌市総務局 情報システム部 システム調整課 内部システム担当係の山下祐佳氏は以下のように話しています。 「当初はインターネットが遅くなるかもという不安の声もありましたが、セキュリティの重要性に理解を示してくれる人が徐々に増え、多少の変更にも納得いただけるようになりました」

今後のプラン: VDI化による端末の一元管理を目指す TRMの活用によるシステムの継続的な改善・強化も期待

今後について札幌市では、安全性・コスト・利便性の3つを意識しながら、各種IT施策を進めていく方針です。塚本氏は「端末のVDI化を進めることで、最終的に約1万4,000人の職員が使う全端末の一元管理を目指したいと思います」と将来の展望を語っています。 シトリックスに対しては、同市の課題をくみ取って迅速に最適な手段を進言できる提案力、大規模な仮想基盤を短期間で構築する技術力、設計のコンサルティングから稼働後のサポートまで一気通貫でやりきる対応力を評価しています。この点について茂呂氏は「サポートプログラムのテクニカルリレーションシップマネージャー(TRM)のサービスを契約し、定例会で担当TRMとディスカッションをしながら、技術的なアドバイスを受けています。今後も密にコミュニケーションをとりつつ、システムの継続的な改善・強化を期待しています」と述べています。

端末のVDI化により一元管理を実現し、 安全性・コスト・利便性を追求したい
- 塚本 龍介 氏

総務局 情報システム部 システム調整課 内部システム担当係長

札幌市

導入前の課題

  • 情報漏えい事件・事故、サイバー攻撃への対処
  • 「自治体情報システム強靭性向上モデル」への対応
  • インターネット分離を実現するための手段

導入後の効果

  • インターネット分離によるセキュリティの強化
  • 端末の管理にかかる労力を大幅に削減
  • 現場の職員が本来の業務へ注力できるように

導入製品

  • Citrix XenDesktop Enterprise
  • Citrix Provisioning Services
  • Citrix コンサルティングサービス
  • Citrix テクニカルリレーションシップマネージャー(TRM)