ども。
疲労蓄積により1日中眠気が抜けない担当ちゅんです。ようやく週末ですね!
どうなることかと心配していたネットワーク分離も、早いもので1週間が経過しようとしています。結果として、移行初日には問い合わせが殺到したものの、翌日にはほぼ平常運転に戻ることができました。この間、致命的なトラブルは発生しておらず、まずまず順調な滑り出しができたと思います。手前味噌ですが、弊社のネットワーク、すごくいい感じですよ!これでようやく「4層分離」が完了したと胸を張って言えそうです。
ここをご覧になっている同業者様からすれば「ん?4層?3層じゃなくて??」と思われるかもしれませんが、当町が総務省βモデルに移行するにあたっては、3層では足りずに4層の分離を行いました。
考え方次第では「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3層ということもできるのですが、厳密にはインターネット接続系をさらに2分割して「クラウド接続系」と「インターネット接続系」に分けることにより、よりセキュリティを高めようとする試みとなっています。
この発想は、以下のサイトを見たことで思いついたもの。考え方がすごくわかりやすく整理されていて、オススメです。この場で勝手に紹介しておきたいと思います。
Net One BLOG:自治体ネットワーク強靭化の考察「三層の対策」の次を考える(その4)
https://www.netone.co.jp/knowledge-center/netone-blog/20210423-1/
具体的に何をしているかというと、ホームページ閲覧など自由にインターネット接続できる環境は従来のαモデルの時と同様に仮想ブラウザを使ってもらう方式としつつ、クラウド上にあるシステムなど特定のサイトを利用する際には「ホワイトリスト形式」でフィルタを開けることによりPC端末のブラウザから直接アクセスを可能とする2段構えです。こうすることにより、万が一インターネット側のサーバがマルウェアに感染したとしても、クラウド利用系の領域までは入ってこられない=情報流出を防ぐという考え方です。
LGWAN環境を利用するときも仮想デスクトップ、ホームページ閲覧をするときも仮想ブラウザ。中間に位置する端末はある意味なんでもいいということになりますが、ここの真価が発揮されるのは今後クラウドサービスの利用を本格化させたときということになります。現状ではそのための下準備、環境整備といった意味合いが濃いですが、現段階でもすでに超絶便利です。
これは言うまでもないことですが、やっぱりインターネット接続って便利なものなんです。これをわざわざ不便な領域に追いやって制限付きで我慢して使うというのは、イレギュラーなこと(ただしセキュリティはものすごく高い・・・はず)なんだと今は感じています。
課題があるとすれば仮想環境をダブルで構築しているのでコストがお高めかもしれませんが、この構成しか成功の道はないと個人的に確信して進めてきました。今回の「第二期強靭化」への対応では、各自治体・各ベンダーさんが様々な考えのもとで進められていると思います。ここに関して明確な答えというものはなくて、あくまで「自分たちの職場のネットワークをどうしたいのか」を考えた結果としての構築が求められるのだろうと思います。大変ですけどね。
ここには書いてないですが無害化やらEDRやら確かに大変。でもやる価値ありのβ移行。
(投稿者:ちゅん)