4層分離完了

ども。
疲労蓄積により1日中眠気が抜けない担当ちゅんです。ようやく週末ですね!

どうなることかと心配していたネットワーク分離も、早いもので1週間が経過しようとしています。結果として、移行初日には問い合わせが殺到したものの、翌日にはほぼ平常運転に戻ることができました。この間、致命的なトラブルは発生しておらず、まずまず順調な滑り出しができたと思います。手前味噌ですが、弊社のネットワーク、すごくいい感じですよ!これでようやく「4層分離」が完了したと胸を張って言えそうです。

ここをご覧になっている同業者様からすれば「ん?4層?3層じゃなくて??」と思われるかもしれませんが、当町が総務省βモデルに移行するにあたっては、3層では足りずに4層の分離を行いました。
考え方次第では「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3層ということもできるのですが、厳密にはインターネット接続系をさらに2分割して「クラウド接続系」と「インターネット接続系」に分けることにより、よりセキュリティを高めようとする試みとなっています。
この発想は、以下のサイトを見たことで思いついたもの。考え方がすごくわかりやすく整理されていて、オススメです。この場で勝手に紹介しておきたいと思います。

Net One BLOG:自治体ネットワーク強靭化の考察「三層の対策」の次を考える(その4)
https://www.netone.co.jp/knowledge-center/netone-blog/20210423-1/

具体的に何をしているかというと、ホームページ閲覧など自由にインターネット接続できる環境は従来のαモデルの時と同様に仮想ブラウザを使ってもらう方式としつつ、クラウド上にあるシステムなど特定のサイトを利用する際には「ホワイトリスト形式」でフィルタを開けることによりPC端末のブラウザから直接アクセスを可能とする2段構えです。こうすることにより、万が一インターネット側のサーバがマルウェアに感染したとしても、クラウド利用系の領域までは入ってこられない=情報流出を防ぐという考え方です。

LGWAN環境を利用するときも仮想デスクトップ、ホームページ閲覧をするときも仮想ブラウザ。中間に位置する端末はある意味なんでもいいということになりますが、ここの真価が発揮されるのは今後クラウドサービスの利用を本格化させたときということになります。現状ではそのための下準備、環境整備といった意味合いが濃いですが、現段階でもすでに超絶便利です。
これは言うまでもないことですが、やっぱりインターネット接続って便利なものなんです。これをわざわざ不便な領域に追いやって制限付きで我慢して使うというのは、イレギュラーなこと(ただしセキュリティはものすごく高い・・・はず)なんだと今は感じています。

課題があるとすれば仮想環境をダブルで構築しているのでコストがお高めかもしれませんが、この構成しか成功の道はないと個人的に確信して進めてきました。今回の「第二期強靭化」への対応では、各自治体・各ベンダーさんが様々な考えのもとで進められていると思います。ここに関して明確な答えというものはなくて、あくまで「自分たちの職場のネットワークをどうしたいのか」を考えた結果としての構築が求められるのだろうと思います。大変ですけどね。

ネットワーク概要ここには書いてないですが無害化やらEDRやら確かに大変。でもやる価値ありのβ移行。

(投稿者:ちゅん)

カテゴリー: つぶやき | コメントする

初の大イベント

先週はさすがに釣りに行かなかったてんちょです。経験が少ないが故にネットワーク移行という重大イベントに実感が湧かず、準備が足りなかったことが一番の反省点。

βモデルへの切り替え当日は、朝から某施設に入っていました。外での大きな単独作業はこれが初めてな気がします。事前にびっく氏同行の元で現地での作業内容も確認し、ネットワークの確認、入れ替えに必要なインストーラなど必要なファイルの準備、作業手順も考えて万全の体制で臨んだつもりでした。

そうです、つもりです。現地では数台の端末のドメイン変更などを行いましたが、なんといきなり1台目の端末で躓きました。事前に準備していた某資産管理ソフト空海のアンインストーラが動作しない、ドメイン変更後にローカルアカウントでログインできない、スクリーンショット保存のアプリが動かない、などなどのトラブルが発生。

空海のアンインストーラは、現地からリモートデスクトップでアンインストーラを再作成して対応、ログインできない症状も原因不明でしたがセーフモードからローカルアカウントで入ることができたので、セーフモードから再変更してどうにか対応することができました。
しかしスクリーンショットのアプリ動作だけはどうにもならずに、後回しにしていた所…ちゅん氏からの連絡。もうタイミングが神です。

おかげさまで保存先の変更も解決して作業が完了となりました。データ移行などの細かな作業を行い役場へ戻りましたが、作業時間は6時間近くなり想定の倍かかってしまいました。前職での経験が生きた所もありましたが、まだまだ経験が足りていない反省点の多い作業となりました。移行後の対応作業で挽回できるように頑張ります!


業務を停止する時間が長くなりご迷惑をおかけしました。

(投稿者:てんちょ)

カテゴリー: つぶやき | コメントする

怒涛の1日

ども。
職員から「大丈夫かい?」と優しい声をかけられまくっている担当ちゅんです。

今のところ大丈夫です。本日からネットワークをいわゆる「βモデル」に切り替えました。正確に言えば先週土曜日から切り替わっていたのですが、今日が実質的な初日です。当然、色々なことが起きるだろうという想定のもとで、意を決して出勤しました。

予想していたとおり席につくなり電話は鳴りっぱなし。とにかく、職員から問い合わせが来たら状況だけを聞き取りして共有スプレッドシートに内容を記載すること、対応はその後で緊急度を見ながら優先順位をつけてやっていくぞ、ということで、とにかくがむしゃらに対応しました。前回、6年前に自治体情報セキュリティ強靭化事業でインターネットとLGWANを分離したその日もそうだったなと思い出しながら。後から確認してみると6年前のその日も私がブログを書いていました。

2016.12.1 分離初日(にわかSEは大忙し!)

本日起きたトラブルで一番痺れたのは「仮想デスクトップに想定以上のユーザーがログインしていることで新規ユーザーがログインできなくなった」というトラブル。仮想デスクトップのサーバは当初2台設置していたのですが、朝の時点でそれぞれのサーバに65人ものユーザーがログインしていて、満員となってしまいました。急ぎ対策を施し、昼休みの時間帯にネットワークを全停止し、その間に仮想サーバを2台追加、計4台で稼働させるようにして午後からは正常に業務が可能となりました。リソースの見込みを誤ったといえばそうなるのですが、こればかりはやってみないと分からない。ぶっつけ本番の勝負だと思っていましたので致し方がないところなんです。

こうした臨機応変な対応が可能だったのは、社員を職場に待機させる等万全の対応を取っていただいた構築事業者さんのおかげです。正直、これ以上ないスピードでサーバの増強が完了し、職員に対しては申し訳ないという思いがある反面、技術的な視点では震えるほど感動していました。
で「こういうことって過去に経験あるなあ」と思ったのですが、人気のあるオンラインゲームがリリース日にアクセス集中によりサーバダウンしてメンテナンスしている様子にそっくり。対応までもが一緒という点で、今度から同じような場面に遭遇したら、その裏側で動いていらっしゃる技術者の方を想像して、陰ながら応援しないといけないなと思いました。

目の焦点が合わない油断すると目の焦点が合わなくなります(これはイメージです)

(投稿者:ちゅん)

カテゴリー: つぶやき | 2件のコメント

ネットワーク移行直前のトラブル

ども。
膝の具合が良くなったので夜のランニングを再開した担当ちゅんです。

総務省ガイドラインβモデルへの移行までついにあと2日となりました。職員からの問い合わせも急増していて「いよいよなんだな」と感じています。
そんな中で、ついに大きなミスをやらかしてしまいました。

移行までに必要な事項を振り返りながら一つ一つチェックしていたのですが、ふと「北海道セキュリティクラウドへの設定変更依頼ってどうなってたっけ?」と。自治体のネットワークは各都道府県に設置されているセキュリティクラウドというゲートウェイを通す決まりになっていて、当町のネットワークも北海道のそれを通しています。
今回のネットワーク変更では、これまで部分的にしか使っていなかったインターネット接続をメインに押し上げる内容なので、当然このセキュリティクラウド側での設定も必要となります。

ここの部分が我々も、委託先の業者さんも、すっぽりと抜け落ちていました。通常は1週間、いや、話の内容的には2週間くらい前には連絡のうえで日程調整が必要となるレベルの案件。それが今回はすでに残り3日・・・。大至急セキュリティクラウドのヘルプデスクに電話。要件を伝えてみるも「テクニカルチームに引き継ぎます」という、なんとも不安な回答。急ぎ人脈という人脈をフル活用して「頼みます、何とか助けてください」と、もうなりふり構わず表も裏も関係なく全力で連絡。その脇では「最悪は切替日をリスケするから準備を」と臨席びっく氏に伝えながら、一縷の望みにかけました。

結果として、相手側からは「関係者との協議が整いました。安心してください、ちゃんとやりますよ!」という、もう本当に目から涙がこぼれ落ちるほどの神対応をしていただけることになり、どのような言葉でお礼をしたらいいか分からないくらいの感謝。それだけではなく「日頃から八雲町さんにはお世話になっているのでこの程度は気にしないでください」と。これにはびっく氏も「本当にすごいですね」と驚いていました。
私は本当に人に恵まれているのだなと実感します。おかげさまで、何とかスケジュール通り移行できそうです。多くの人にご迷惑をかけてしまいましたが、大きなトラブルはこれが最後だったと後から振り返ることができるよう、引き続き集中してやっていきます。

作業中職場もなんとなくピリピリしてきました

(投稿者:ちゅん)

カテゴリー: つぶやき | 1件のコメント

3500人に到達

長い冬が始まると思うとチョット寂しいびっくが投稿致します。

八雲町のLINE公式アカウントの友だちが「3500人」に到達しました。
3000人を突破してから約2ヵ月での到達となりました。

登録して頂いている皆様、誠にありがとうございます。

新型コロナウイルス感染症に関わる好評の見直しに伴い、LINEでの感染状況の配信をストップしましたが、ほかの情報発信(セグメント配信)を職員一同で頑張っておりますので、今後ともよろしくお願い致します。

また先月からは土砂災害情報、気象特別警報、津波情報など自然災害の情報を自動でLINEに配信する
機能を実装しました。
今までは手動で配信していたため、情報発信までのタイムラグが気になっておりましたが、
これからは休日、夜間も即座にLINEで情報発信が可能となりました。
2ヵ月にわたり自動配信方法を試行錯誤してやっと機能実装まで漕ぎつくことができて
一安心しております。

今後も皆様が「周りに紹介したい」と思えるような情報発信を目指して頑張ります!

20221108

運用を始めて早1年経ちました。

(投稿者:びっく)

カテゴリー: 未分類 | コメントする