宮崎市が実践するゼロトラスト:Google Cloud 採用で災害対応を強化し、市民サービス向上へ
Google Cloudは10月8日、「自治体におけるゼロトラスト セキュリティ 実現に向けて」と題した記者説明会を開催し、自治体向けにゼロトラストセキュリティ導入を支援するプログラムを発表した。宮崎市の事例では、Google WorkspaceやChrome Enterprise Premiumなどを導入し、災害時の情報共有の効率化などに成功したようだ。
Google Cloudは10月8日、「自治体におけるゼロトラスト セキュリティ 実現に向けて」と題した記者説明会を開催し、自治体向けにゼロトラストセキュリティ導入を支援するプログラムを発表した。宮崎市の事例では、Google WorkspaceやChrome Enterprise Premiumなどを導入し、災害時の情報共有の効率化などに成功したようだ。
ゼロトラストの文脈におけるChrome Enterprise
エンタープライズセキュリティにおいて、従来の「境界防御」モデルから「ゼロトラスト」モデルへの移行は、近年急速に注目を集めている。ゼロトラストは、従来の境界型セキュリティモデルとは異なり、ネットワークの内部・外部を問わず、すべてのアクセスを潜在的に危険と見なし、アクセスごとに認証と認可を行う。
従来のセキュリティ対策は、城壁に囲まれた城のようなイメージで、外部からの攻撃を防ぐことに重点を置いていた。しかし、クラウドサービスの利用やモバイルワークの普及など、ネットワークの境界線が曖昧になる中で、この方法は効果が薄れてきている。
VPN(仮想プライベートネットワーク)は、かつては社内ネットワークへのセキュアなリモートアクセスの主要な手段だった。しかし、VPNの脆弱性が攻撃される事例が増え、運用ミスによるインシデント発生事例が報告されたことで、単独のセキュリティ対策としては不十分だと認識されるようになった。
ゼロトラストは、「Verify and Never Trust(信頼せず必ず確認せよ)」という原則に基づいている。
グーグル合同会社 企業向け Chrome ブラウザ アジア太平洋地域 本部長 毛利 健は、このようなゼロトラストの文脈の中で、Chrome Enterprise Premiumを紹介した。現代の企業において、ブラウザは単なるインターネットへの入口ではなく、重要なデータ処理やコラボレーションを担う新たなエンドポイントとして進化した、という。
「場所への依存を解消して、いつでもどこでも守られた環境を実現することができる。新しいアプリや常駐監視型のソフトを入れなくとも、もともとあるブラウザの機能でゼロトラスト・セキュリティを実現できる」
毛利によると、Chrome Enterpriseは通常のChromeブラウザの機能を拡張し、企業のIT管理者に強力なツールを提供する。セキュリティポリシーの設定・管理や、ユーザー活動の監視機能が追加されており、企業は従業員のオンライン活動の安全性を確保しつつ、業務効率を高めることが可能だという。さらに、上位版となる「Chrome Enterprise Premium」では、より高度なセキュリティ機能としてクラウドアクセスのセキュリティ強化やデータ保護による情報漏洩対策を強化できる。これにより、リモートワークとオフィスワークを組み合わせた現代のハイブリッドワーク環境における、企業の多様なニーズに対応するとしている。
宮崎市の事例
次に宮崎市 総合政策部 デジタル支援課 課長補佐 兼 デジタル第一係長 松浦 裕が、同市のゼロトラスト事例を紹介した。宮崎市のデジタル化はこの1、2年で進展したという。そのきっかけは、南海トラフ地震のような今後起こりうる大災害への対応に加えて、市長(清山知憲)とCIO補佐官が民間出身であることだという。「民間で会社を経営されていた方になりますので、今の時代インターネットやクラウドに繋がらないのはおかしい、となった」
市役所の働き方改革の側面もあるという。「とどのつまりは働き方の改革。住民の方はインターネットを使って生活している。行政の方もそうならないといけない」。また、松浦は人口減少にも言及した。「人が減っていく中で行政の質を落とさないようにするには、働き方を変えていくしかない」。
宮崎市が導入を進めているのは、Gloogle Workplace、Google Cloudの生成AI製品であるVertex AI、Google Cloudのデータソリューション、と松浦は説明した。セキュリティに関しては、以下の4点の実践があるという。
- Google Workspace:データ共有の制限
- コンテクストアウェアアクセス:接続元のコンテキスト(前後関係、事情、背景)に応じて権限を制御する技術
- Chrome Enterprise Premium:データ漏えいや挙動の制限
- Chrome Enterprise Upgrade:Chrome OS デバイスをよりセキュアに管理するためのライセンスの導入
「どうなっても耐えうるようなゼロトラストの環境をつくろうとしている。Google Workspaceの機能とChrome Enterpriseの機能をコアにして、どこからアクセスされても、セキュリティを高めるようにする」
生成AIにおいては、大規模言語モデルのLLMチャットボットのGemini、議事録自動生成、検索拡張生成(RAG)を宮崎市は採用している。松浦は、議事録では従来から6割の時間削減を達成し、RAGでも従来の方法で資料を探すのにかかっていた時間を大きく削減できたという。
データ利活用
同市はデータをデータウェアハウス(DWH)のBigQueryに収納し、Looker Studioを使用して分析をしているようだ。「サイロ化している町内のデータ、人流データ、民間のデータを安全な形でしっかりと集約して、それを基に自分たちで分析をしている」
松浦によると、8月に連続して発生した災害(地震、竜巻、台風)時には、このシステムが有効に活用され、台風や地震発生時にチャット件数が普段より増加し、ビデオ会議Google Meetを使った被害調査がなされたことが確認された。以前は電話で連絡をし、担当に引き継ぐという業務フローがあり、スポーク型に情報が伝播されていた。チャットベースになって、情報が関係者に対して可視化されるメリットがあり、ボトルネックを解消できたという。「リソースが空いている人がすぐに対応できるようになった。すごく役に立っている」
従来は円グラフで簡易的に示していた資料を、より詳細なビジュアライゼーションで表現することが可能になったり、さらに、台風の経路をGoogle Earth上にマッピングしたりと災害状況の把握に役立つ可視化にも挑戦している、と松浦は説明した。
自治体向けゼロトラストソリューション
グーグル・クラウド・ジャパン合同会社 パブリックセクター営業本部 本部長 和泉 綾志は、ハイブリッド型からクラウドネイティブ型まで様々な環境に対応したゼロトラストセキュリティ導入を支援するプログラムについて説明した。和泉によると、簡易アセスメントを基に4つのモデルに分類し、導入ロードマップと実施項目を策定し、Chrome Enterprise Premiumを含む Google の包括的なセキュリティ ソリューションの導入支援サービスを提供する、という。
「どのモデルが最も適切なモデルなのかを把握して、どのようにゼロトラストソリューション導入に向けて進んでいくのか、我々やパートナーとともに提供したい」。先行応募した20自治体に、事前アセスメントおよび移行ロードマップ策定支援を期間限定で無償で提供すると同時に、Chrome Enterprise および Google Cloud のゼロトラスト関連製品の特別なオファリングを提供するという。