CyberCrypt導入事例
仙台市様
簡単な操作で機密性の高い行政情報を自動的に暗号化し、
市民の信頼に応えるセキュリティ環境を構築
市の中心部を広瀬川が流れ、自然環境と都市機能が美しく調和した「杜の都・仙台」。2019年には市制施行130周年を迎え、東北地方を代表する都市として発展を続ける仙台市では、市役所の業務で扱う行政情報のセキュリティ強化に向けて、ファイル暗号化ソフト「CyberCrypt」を導入。2015年の導入以降、自動暗号化フォルダの優れた機能性と容易な操作性が評価され、庁内の各部署に利用が拡大するなど、情報セキュリティのレベルアップに大きな貢献を果たしている。
左から、まちづくり政策局 情報政策部 ICT推進課 課長 佐藤光廣氏、まちづくり政策局 情報政策部 ICT推進課 セキュリティ対策係 主任 米澤猛氏、まちづくり政策局 情報政策部 部長 利大作氏
- お客様の課題
-
- 個人情報を取り扱う行政機関としての責任
- 現場に依存したセキュリティ管理からの脱却
- 個人情報を含むすべての情報のセキュリティ対策の強化
- 導入後の効果
-
- 高まる情報セキュリティの要請に応える環境整備
- 職員が少ない負担で運用できる自動暗号化機能の活用
- 個人情報を含まない機密データにも暗号化の動きが拡大
導入の背景
個人情報を取り扱う行政機関としての責任に応えるセキュアな管理
100万人以上の人々が暮らす大都市の行政を一手に担う仙台市では、膨大な行政情報が日常的に取り扱われている。そのため、早くからこれらの情報に関するセキュリティポリシーを策定し、なかでも市民の個人情報をもっとも機密性の高い情報として対策を進めてきた。
こうした取り組みを大きく前進させる契機となったのが、2015年に発生した日本年金機構における個人情報流出事案と、同年6月に総務省から出された「社会保障・税番号制度の準備に伴う既存住基システム及び団体内統合宛名システムにおける個人情報の標的型攻撃対策の徹底について」の通知だった。まちづくり政策局 情報政策部 ICT推進課 セキュリティ対策係 主任の米澤猛氏は、次のように語る。
「本市では、各部署の管理職が情報管理者となり、情報セキュリティの適正な運用及び管理を行っていますが、総務省の通知を契機に、仙台市全体としての個人情報を含む電子データの取り扱いについて、より厳格な方針が掲げられました」
そこでは基幹系システムから入手した個人情報及びマイナンバーを含む個人情報のインターネット環境での利用禁止と、それ以外の個人情報をやむを得ない事情でインターネット環境で利用する場合には、必ずデータを暗号化するという規定が明記された。これにより多くの部署でデータの暗号化が必要となるため、当時の情報政策課(現在のICT推進課)が主体となって、暗号化ツールの選定を開始した。
5つの要件を満たしたCyberCryptの採用を決定
暗号化ツールの具体的な検討に入った仙台市では、2015年7月以降、候補となった複数の製品について、関連情報や他の自治体での導入実績などをもとに検討を進めていった。そして、同市が求める仕様を満たすと評価(納入品の参考機種として選定)されたのが、オーク情報システムが提供するファイル暗号化ソフト「CyberCrypt」だった。
評価においては、次の5つの要素が決め手となった。①フォルダにファイルを格納するだけで自動的に暗号化される、②共通パスワードを使って複数の人が共有できる、③ファイルの編集中に他のユーザーから盗み見されたり、同時に編集されないように制御できる、④すべてのファイルを復号できるマスターキーがある、⑤新たに管理サーバーを構築する必要がない。
「これらは購入仕様書に示した必須要件ですが、候補となった製品の中でこの5つをすべて満たしていたのはCyberCryptだけでした。10月に実施した試用版による動作検証でも、機能性や操作性に問題ないことが確認され、12月の調達へと至りました」(米澤氏)
- ■フォルダの自動暗号化設定
任意のフォルダを「自動暗号化フォルダ」として設定しておけば、このフォルダに格納されたファイルはすべて自動的に暗号化される。
- ■ファイルの編集時も安心!
暗号化されたファイルを編集した後も、上書き保存するだけで常に自動的に暗号化される。これにより、編集するたびに暗号化する手間は不要。
導入の効果
少ない利用者負担で、高いレベルの情報セキュリティを維持
CyberCryptの利用開始から約4年が経過した現在、仙台市が定める「個人情報を含む電子データの取扱方針」に沿ったデータの暗号化を、各部署で簡単かつ確実に行える環境が整ったと米澤氏は語る。
「CyberCryptは導入時に一度設定してしまえば、あとは通常のWindows PCの操作とまったく同様に、ファイルをフォルダに入れるだけで自動的に暗号化が完了します。これにより利用者は少ない負担で高いレベルの情報セキュリティを維持することができています」
当初は1500ライセンスから運用をスタートしたが、2019年11月現在、ライセンス数は約2200にまで拡大している。個人情報を含む電子データを取り扱う部署が利用しており、希望に応じてICT推進課が適宜ライセンスを配布するが、希望する部署は増え続けている。
「部署によっては現在も個別のソフトウェアが有する暗号化機能を使っているところもありますが、それではファイルごとにパスワード設定するなど作業が煩雑です。CyberCryptを使った経験のある職員は、やはりCyberCryptの方が負担が少ないということで、異動先の部署でも導入を提案しているようです」(米澤氏)
時代の要請に応じた情報セキュリティ強化の取り組み
2019年8月には庁内PCのWindows 10への移行に合わせて、CyberCryptの全ライセンスのバージョンアップを実施した。バージョンアップ自体は順調に進んだが、ここで重要な役割を果たしたのがCyberCryptの特長の1つであるマスターキーだった。
「端末の更新に伴い、暗号化したファイルの移行が発生します。ファイルの移行やCyberCryptのバージョンアップにより、ファイルを復号できなくなる事態は回避しなければいけません。事前の検証は十分に行ったつもりでも不安が残ります。そのような中、全ファイルを復号できるマスターキーがあることはとても心強かったです」
仙台市では今後も個人情報にとどまらず、幅広い行政情報のセキュリティ強化に引き続き取り組んでいく考えだ。
「いかなるセキュリティ事故であっても、起こってしまえばそのまま自治体の信頼に直結します。市民の皆様に安心して生活していただくためにも、ファイル暗号化の取り組みはもはや不可欠です」と、今後も時代の要請に応じたセキュリティ強化の取り組みを、全庁規模で継続的に推進していくと展望を語る米澤氏。
昨今の事案でもあったように、行政データが保存されたハードディスクの流出事故があっても、ファイルが暗号化されていれば、第三者による機密データの悪用を防ぐ効果がある。こうした意味でもオーク情報システムのCyberCryptは、多くの現場におけるセキュリティ確保にさらなる貢献を果たしていくことは間違いない。