クラウド型セキュリティ製品の導入事例

「Managed Total Protection」は「SaaS Endpoint Protection」の旧製品名称です。
掲載内容、企業およびご担当者のプロフィールは取材当時のものです。
現在は変更されている可能性もございますのでご了承下さい。

北海道 函館市

■業種:自治体 ■導入製品:Managed Total Protection ■導入台数:1000台
今回は、北海道 函館市の先進事例をご紹介します。お話は、情報システム課の有澤様(写真左)、斉藤様(写真右)に伺いました。

この事例のポイント、あらすじ
  • 函館市では一般情報系の予算が逼迫していたため、庁内LANなども「自主調達(手づくり)」で組み上げた
  • 『自主調達』は成功したが、副作用としてセキュリティ面での統一管理が不十分になった。
  • 平成13年にニムダが庁内で繁殖。これを契機に、ウイルス対策の統合一括導入が決定された。
  • 『安くて良いものを』という判断基準の中で、Managed Total Protectionが選ばれた。
  • 選択のポイントは次のようなものであった。1): 更新が自動的(半強制的) 2): インストール時に、他社製品をアンインストールすることができる 3): 各マシンの更新状況、感染状況が、Web管理レポートで分かる 4): ルーモア技術があるので512Kのネットワークでも負荷がかからない 5): 動作が軽い 6): サーバが入らない(コスト低減) 7): 値段が安かった(他社で650台分しか買えない所を、Managed Total Protectionなら1000台分買えた)


  • 函館市がManaged Total Protectionを選択した背景には、函館市役所の特殊な情報政策事情が絡んでくるので、まずそこからお話したいと思います。

    -- よろしくお願いします。

    函館市の情報政策においては、『基幹系』と『一般情報系』が長らく別の部署、別の予算体系で処理されていました。現在は、一本化されましたが。

    -- 『基幹系』と『一般情報系』とではどう違うのですか?

    簡単に言いますと、基幹系は、大きな汎用コンピュータを使って住民基本台帳を基礎とした基幹システムを構築、管理しています。こちらは総務部情報システム課が管理しています。住民情報のコアに関わる重要なシステムなので、予算も大きく割り当てられていました。一方、『一般情報系』と言うのは、簡単に言うと、庁内職員用のパソコンLANや地域情報化などのことです。こちらは企画部政策課(当時)が担当していました。後発の事業だったこともあり、予算もあまりつきませんでした。

    -- 年間どのぐらいの予算だったのでしょうか。

    数百万円といった所です。

    -- 年間数百万円ですか。その予算で、庁内LANの整備やアプリケーション整備やらを行うのは、相当にキビシイですね。数百万円でしたら、パソコンを数十台も買えばふっ飛んでしまいます。ましてやウイルス対策ソフトの導入など到底無理ですね。

    そういうことです。またインターネット環境の方も、平成8年に、「ホームページを作るため」という名目で、やっとダイヤルアップ接続を獲得したという状況でした。当時はWindowsパソコンは市に数台しかありませんでした。


    そのような厳しい予算状況だったのですが、ボヤいてばかりいても始まらないので、「自助努力」を始めました。

    -- と言いますと?

    平成9年から庁内LAN構築プロジェクトを始めました。

    -- 「プロジェクト」というと、市役所全体で決議して始めたということですか?

    いや、そういうわけでもなくて。。。。

    (斉藤様)これは本人の口からは言いにくいと思うので私が代わりに言います。部全体の組織的行動ではなく、「有澤さんが個人的に燃えた」というのが実際の所です。

    (有澤様) もちろん、当時の企画部の上司や財政課の担当者の後押しがあったからこそ実現したのだと思いますが

    -- そういう話、けっこう多いですね。情報先進市で有名な大和市も、事の始まりはある職員の個人的な熱意だったそうです。さて、その「ひとり庁内LANプロジェクト」ですが、どのように進めたのですか?

    少ない予算を有効活用する方策として、「LANの幹線のみを整える。後は各部でやってもらう」という方式にしました。

    -- と言いますと?

    庁内の大部屋20数室に、LANの幹線を引く、そこまでは企画部(当時)でやる。そこから先は各部に任せる。パソコンが必要だというのなら、自分の課の予算で買ってくれ。LAN接続に関しては、できる範囲では手伝うけれど、基本的には自助努力。自己予算で外注を頼むなり、自分で敷設するなりして、とにかく各自でやってほしい、ということにしました。

    -- なるほど、つまり各大部屋までアクセスポイントを引くが、そこから先のラストワンマイルというかラストワンメーターに関しては、自己処理してくれということですね。

    そういうことです。

    -- 結果はどうでした?

    各部署でパソコンがどんどん増えていきました。各部の予算でまかなったのか、それとも自宅のパソコンを持ち込んでいるのか、詳しいことは詮索しませんでしたが、とにかく庁内全体でどんどんパソコンが増えていきました。LANも各部で自力でつないでおりました。


    -- 「ひとり庁内LANプロジェクト」、成功ですね。

    まずは喜ばしい結果だったのですが、問題も生じました。まず、各課の自主判断で、パソコンが増設されたため、OSやマシンスペック、使用アプリケーションに関しては、完全にバラバラになりました。またウイルス対策などセキュリティについても、統一的な施行はなされませんでした。

    -- それは危ないですけれど、でも状況を考えれば仕方の無いことですね。

    確かに仕方がなかったことではあるのですが、とはいえ、ここは市役所。どこかで歯止めをかける必要があります。実は、こうしたセキュリティ危険に対応するため、あらかじめ二つのルールを設けていました。その規定とは、「各課のLAN接続、パソコン増設は自由である。ただし、1):ウイルス対策ソフトは必ずインストールすること。2): 個人情報などが入っているパソコンはLAN接続禁止」というものです。

    -- ルールは機能しましたか?

    当初はさしたるウイルス事故もなく、ルールが機能しているかに思えました。しかしながら、平成13年9月のニムダ繁殖で、その考えは甘かったことを思い知らされました。


    -- 大和市や岡山県庁などニムダ感染がウイルス対策の契機になったという例は本当に多いです。ニムダ感染、どのような被害状況だったのですか?

    パソコン全600台のうち、約一割、60台ぐらいが感染しました。まずハブからケーブルをブチブチ引き抜くなどして、問答無用でネットワークを止めました。次に、全パソコンに無料駆除ツールを適用し、すべてのマシンがクリーンになったのを確認してから、LANを再開しました。この作業で結局、二日ぐらいがつぶれました。

    -- どういう経路で感染したのでしょうか?

    共有フォルダを通じての感染が多かったです。庁内のパソコン体制は、先に述べたとおり、「必要最低限のインフラ & 各課の自主配備」で構成されています。この場合、ファイルサーバのような『高級な設備』は発生しえません。では、互いのファイル共有はどうやるかというと、これはWindowsの「共有フォルダ機能」を使うわけです。これがニムダの『通り道』になってしまいました。

    -- 駆除終了後、どのような対策を取りましたか?

    とりあえず各課に、「ウイルス対策ソフトをきちんと導入してくれ」と呼びかけました。予算がないので、まずは呼びかけるより他ありません。

    -- 反応はいかがでしたか?

    「そういうセキュリティ対策ソフトは市役所全体で一括購入した方がコスト安なのではないだろうか」という反応がありました。確かに正論であるわけです。ウイルス対策というのは各部でバラバラにまだらに行ってもあまり意味がありません。統一的に行ったほうが良い。お金のかかる話ではありましたが、正論は正論であったわけです。

    -- この感染経験を通じて分かった事はありましたか。

    「セキュリティというものに全く意識が向かない人。これは現実にどうしようもなく存在する」ということを再認識しました。我々ですと、インターネットに接続したりする時に多少は不安になったり、ビクビクしたりします。しかし、そういう感覚を全く持たずに、平気でネット接続して、平気で添付ファイルをクリックしたりする人がどうしても存在します。もちろん本人には全く悪気はないのですが、何分にも、こういう『無意識の人』が存在する事を考えると、各部任せのウイルス対策というのはやはり限界があると感じざるをえませんでした。


    いろいろ考えた末、「やはりウイルス対策は、各部に整備してもらうのではなく、情報システム課が統一購入しなければダメだ」という結論に達しました。余り予算などありませんでしたが、ダメモトで財務部に予算要求しました。

    -- 結果はいかがでしたか?

    案外にすんなりと通りました。やはりニムダ感染事故でネットワークが二日停止した経験が大きかったようです。ウイルスごときで業務が止まるようでは勿体無い、宜しくない、という判断になったようです。さて、予算が通ったので、続いて製品選択に移りました。


    -- 選択基準はどのようなものだったのでしょうか?

    選択基準は、「安くて良いもの」。これに尽きました。まず「安い」という点ですが、これまでお話したとおり、情報系システムの予算は非常に乏しく、各課にパソコン購入をお願いしていたぐらいですから、ウイルス対策にお金をかける余裕などありませんでした。

    次に「良い物」という点ですが、単純な話、せっかく予算要求を通してウイルス対策を行うからには、なるべく良い物を導入したいわけです。同じお金を使うなら、なるべく良い物を導入しないと、税金の無駄遣いになってしまう。市民の皆様に申し訳が立たなくなってしまうわけです。

    しかしながら「安くて、しかも高品質」といった虫のいい製品はまずないだろうと踏んでいました。だが、そう軽々にあきらめていいものでもあるまいと考え、出入りのSI企業に「何か、安くて良い製品はありませんか?」と聞いてみました。そして紹介されてきたのがManaged Total Protectionだったわけです。

    -- Managed Total Protectionは、どのような印象でしたか?

    函館市のネットワークに内在する問題に、ことごとく対応しており、素晴らしいと思いました。良いと思った点は、ざっと挙げて、以下7つです。
  • 更新が自動的(半強制的)
  • インストール時に、他社製品をアンインストールすることができる
  • 各マシンの更新状況、感染状況が、Web管理レポートで分かる
  • ルーモア技術があるので512Kのネットワークでも負荷がかからない
  • 動作が軽い
  • サーバが入らない(コスト低減)
  • 値段が安かった(他社で650台分しか買えない所を、Managed Total Protectionなら1000台分買えた)


  • -- まず「更新が自動的」という点への評価についてお伺いしたいのですが。。

    我々が被害を食らったニムダですが、いろいろ情報を調べてみると、ウイルス対策を一括導入している企業や自治体でも、ニムダ被害に遭った例があり、その原因は、定義ファイルの更新モレだとのことでした。また先に述べたとおり「(たとえ悪気はないにせよ)セキュリティにまったく無意識な人」というのが、否応無しに存在するという現実問題があります。こうしたことを考えれば、ウイルス定義ファイルの更新を、各人の自主性、自己責任に委ねるのはどうにも心もとないことです。だがそこへ来て、Managed Total Protectionというのは、ウイルス定義ファイルやエンジンの更新が全自動であり、各職員は何もする必要がないといことで、これは素晴らしいと思いました。


    これは絶賛したいですね。1000台へのインストール展開は各職員に行ってもらいましたが、この自動アンインストール機能がもしなかったら、相当な混乱がおきていたと思います。

    -- と言いますと?

    まず、函館市の場合、パソコンが各課自主調達、ワクチンも自主調達だったことを思い起こしてください。ということは、OSもバラバラ、ワクチンもバラバラな状態なので、統一的なアンインストール手順を示すことは不可能です。あとは、「セキュリティやパソコンに無意識な人」というのは、そもそも「古いワクチンをアンインストールしないといけない」ということを理解してくれません。平気で、ダブルインストールしてしまいます。つまり1台のパソコンに二つのワクチンが常駐することになります。

    -- ダブルワクチンは、トラブルの元ですね。。。。

    しかし、そういう事は、無関心な人にとっては、もう「意識の範囲外」です。なので、そうした事態を防いでくれる「他社製品の自動アンインストール機能」は非常に助かりました。


    -- 「Web管理レポート」についてはいかがでしたか?

    ニムダの時には、誰かの不注意で、ニムダが呼び込まれてしまったわけです。また再三述べております「セキュリティが意識の範囲外になっている人」となりますと、「市で対策ソフト買いましたから、インストールしてくださいね」と通知しても、インストールしてくれなかったりするわけです。そして、そういう人に限って、怪しげな添付ファイルを手癖でクリックしたりします。

    -- あの、言葉は悪いですが、そうした方は「人間セキュリティホール」と言っても過言ではないような気も。。。。

    その言い方はアリかもしれません。さて、そうであるならば、そのセキュリティホールの「場所」を認識しておく必要がありますよね。そのために有用なのが管理レポートです。これを使えば、「Managed Total Protectionをインストールしてくださいと言ったのに、まだしていない人」、「なぜかウイルスがしょっちゅうやってくる人」などなどが把握できます。特に後者の「ウイルスがしょっちゅう検出される人」というのは、メール添付ファイルを無意識にクリックしていることが予測されるので注意しなければなりません。


    -- ネットワーク負荷を軽減させるルーモア技術も好印象をお持ちいただけたようですが。。。

    何度も述べますとおり、函館市の庁内LANは、低予算手作りで作ってあるので、回線も当然細いです。当時は512Kぐらいでした。この状態で、600台のマシンすべてが一斉に定義ファイルを取りに行きでもしたら、ネットワークがパンクするのは目に見えています。しかしManaged Total Protectionの場合、ルーモア機能のはたらきで、そのような一斉トラフィックは起きないようになっているとの事で、安心しました。


    -- 動作の軽さについてはいかがでしたか?

    ダウンロードファイルの要領が小さかったので、きっと軽いだろうなとは予想していました。そして実際に使ってみて、やはり軽さを実感しています。庁内の『自主調達マシン』の中には、低スペックの物もけっこう混じっていますが、そうしたマシンのユーザーからも苦情は発生しておりません。みな無意識で使えているようです。


    -- 続いてコスト面についてお伺いしてみたいと思います。Managed Total Protection、価格的にはいかがでしたか?

    まず事実ベースの話をいたします。最初、予算申請する段階では、庁内で割合にメジャーだったワクチンを使って庁内マシン650台分を積算したわけです。予算はその価格で通しました。その後、Managed Total Protectionの存在を知ったので、こちらで積算してみると、なんとManaged Total Protectionなら、他社650台分の値段で、1000台分が購入可能でした。どちらが得かは明白です。その年にマシン数が増えることは分かっていたので、このコスト差は大きな魅力でした。

    その他のコスト削減効果として、「Managed Total Protectionならば専用サーバがいらない」ということがありました。ウイルス対策の自動化というだけなら、各社から製品が出ておりますが、そうした物の場合、専用サーバを設置しなければならなかったりするでしょう。そうなると、まずサーバ代が余計にかかりますし、設置後は、バージョンアップやらセキュリティパッチやらで、何かと手間がかかります。そういうコストは避けたかったわけです。


    今まで述べたとおり、Managed Total Protectionについては、機能面で突出しており、函館市のネットワーク状況に最適であることが明らかだったので、入札段階でアプリケーション指定をいたしました。以来、使い始めて、約2年が経過いたしました。期待通りのはたらきです。

    -- ところで函館市では、周辺町村との合併を控えているとの事ですが。

    はい、戸井町、恵山町、椴法華村、南茅部町と合併する予定です。

    -- 『任意』合併協議会ではなく、『法定』合併協議会が発足しているということは、合併はほぼ本決まりということでしょうか?

    まだ確定ではありませんが、2004年12月1日の合併を目標として、協議を行っております。

    -- 一般情報系のネットワークの統合はどのように進める予定でしょうか?

    SI企業に委託するほどの予算もないので、自力でやる事になると思います。合併後のウイルス対策をどうするかということについては未定ですが、『予定』という枠組みでお話しするならば、おそらく現状のManaged Total Protectionを各市町村に拡張することになると思います。合併は、2004年12月を目標にしており、それに向けて、情報システム課も猛烈に多忙になっていくでしょう。そうした中で、かつてのニムダの時のように、ウイルス感染でネットワークが止まるようなことがあっては大変です。

    -- 確かに、合併日の前日になってウイルス事故でネットワークが止まるようなことがあったら、ちょっとキツイですね。

    合併日は、平日なんですね。ということは前日も、情報システムを使った日常業務があるわけです。そして一晩経ったら、合併後の新システムに切り替わっていなければならないわけです。そうした切り替えの時期に、ウイルス事故が発生するようなことがあったら、それは『ちょっとキツイ』どころではなく、『悲惨』ですね。そういうことにならないよう、マカフィーさんのようなセキュリティ企業のバックアップには大いに期待しております。今後も優れた技術とサポートを継続提供してください。

    -- 今日は貴重なお話を有難うございました。





    取材日:2004年1月

    ※上記の使用感がすべてのお客様で実感できることを保証するものではありません。詳しくは弊社パートナー、弊社営業、またはこちらまでお問い合わせください。

    トップへ戻る