自治体セキュリティは三層分離から「ゼロトラスト」へ──大阪大学CISO×日本HPエバンジェリスト対談

ユーザーに“意識させずに”セキュリティを担保するには？

　自治体がゼロトラストを効果的に導入・運用していく上で、日本HPはエンドポイントセキュリティの重要性を強調する。澤田氏は、「HPでは、端末への脅威の侵入は完全に防ぐことはできない、という前提でソリューションを開発している」という。そのため、侵入されたとしても、被害を最小限に食い止めるソリューションを提供している。

　「一人一台のPC端末」を後押しするものとして、自治体での導入が増えているのが、インターネット利用時に脅威から守るセキュアブラウザ「HP Sure Click Enterprise」だ。これは、マイクロVM（端末内仮想マシン）技術でブラウザやファイルを隔離環境で実行し、マルウェア感染からPC本体を守るものである。たとえウイルスが活動してもPC本体には影響しない。そのため、特別なトレーニングを必要とせずとも、PCを安全に保護できる。ユーザーを教育し99％は安全な操作ができるようにしても、万が一の1％で誤操作があるかもしれない。その場合でも常に仮想空間内でアプリケーションが操作、実行されるため、勝手に脅威を封じ込め、安全が担保されるのだ。

　澤田氏はHP Sure Click Enterpriseの特長として、従来のWebブラウザと変わらない操作感とスピードを提供することで、職員のストレスや不満を軽減する「職員に意識させない操作性」を挙げる。認証がないため使い始めの遅延がなく、円滑な業務遂行を支援できる。もう一つの特徴が従来の三層分離対策のシステム構築、運用コストと比較して、コストを大幅に抑えられることだ。物価高やライセンス料の高騰が続く中でも、自治体の限られた予算内で導入・運用が実現できる。

　端末のセキュリティを一括管理できるため、IT担当者の負担を軽減するのもメリットだ。仮に仮想空間でウイルスが活動しても、仮想空間を閉じてしまえばウイルスは消滅し「なかったこと」にできる。サーバー側の即時分析でインシデント対応も迅速化でき、管理者の運用負荷を大幅に軽減する。端末内で仮想化が完結しネットワーク負荷も軽いため、運用側・ユーザー側双方にメリットが大きい。

　猪俣教授は、このHP Sure Click Enterpriseを有効な選択肢の一つとして評価する。一方で、ベンダーが提供するソリューション導入の際には、一般に「ベンダーロックイン」のリスクがあることを指摘する。特定のベンダーに依存するシステムは、将来的に新たな優れたソリューションが登場した際に、乗り換えが困難になることがある。そのため、長期的な視点を持ってシステム導入を進める重要性を訴えた。

　PCデバイスに強みをもつ日本HPでは、エンドポイントセキュリティの他にも様々なソリューションを展開している。場所を問わず常時安全なモバイルデータ通信を利用できる「HP eSIM Connect」では、公衆Wi-Fiのリスク回避に役立つ。さらに、万が一PCを紛失しても「HP Protect and Trace with Wolf Connect」があれば、電源がオフの状態のPCでさえ遠隔から位置を特定し、データを完全に消去できるため、情報漏洩を究極的に防げる。

　猪俣教授はセキュリティのソリューションを導入する際は「使いやすさが一番大きなポイントだ」と述べ、特にセキュリティを担保する際に「監視」という言葉の印象を変えることの重要性を指摘する。「監視ではなく、『見守ってもらっている』という意識に変えるべきだ。そうすれば、ユーザーは安心感を持ってシステムを利用できる」と語り、心理的な側面からのアプローチが導入成功の鍵となるとの見解を示した。