地方自治体における三層分離とは、マイナンバー利用事務系やLGWAN接続系といった階層に業務環境を分離させる、ネットワーク防御の仕組みを指します。これによりマルウェア感染や不正アクセスといったセキュリティリスクを最小限に抑えられる一方で、業務効率低下やシステム移行の困難さなどが問題視されています。また、2024年には、政府が三層分離からゼロトラストへの転換を示唆するなど、新たな対応に追われている地方自治体や公共機関も多いのではないでしょうか。
このような三層分離に伴う課題の解消やゼロトラストへの対応は、Googleが提供するさまざまなクラウドソリューションを活用することで解決の糸口が見えてくる可能性があります。そこで本記事では、三層分離の課題解消やゼロトラストの実現につながるGoogleサービスを紹介します。実際にGoogleサービスを導入して課題解消につながった地方自治体の事例も紹介しているので、ぜひ参考にしてください。
地方自治体における三層分離モデルの概要
三層分離とは、地方自治体の情報セキュリティを強化するために総務省が導入を求めた、ネットワーク防御の仕組みです。地方自治体における業務環境を以下の3つの階層に分離・遮断することを表します。
- マイナンバー利用事務系:
マイナンバーや住民基本台帳など、極めて機密性の高い個人情報を扱う領域 - LGWAN(総合行政ネットワーク)接続系:
行政専用の閉域ネットワークを使用し、文書管理や人事給与などの業務を行う領域 - インターネット接続系:
Web閲覧やメール受信など、外部との通信を行う領域
各階層を物理的・論理的に切り離すことで、インターネット経由のマルウェア感染や不正アクセスが重要な個人情報や基幹システムへ波及するのを防ぎます。結果として情報漏えいリスクの最小化につながります。
三層分離モデルの現状と課題
三層分離の考え方が発表されてから約10年が経過し、時代の進展とともにさまざまなアップデートが行われてきました。ここでは、三層分離の現状と課題を複数の観点から詳しく解説します。
自治体セキュリティの変遷と三層分離の課題
三層分離モデルは、2015年の日本年金機構における情報漏えい事案を契機に総務省主導で導入が進められました。このモデルはセキュリティレベルを劇的に向上させた一方で、現場には業務効率の低下という深刻な課題をもたらしました。
三層分離モデルでは、マイナンバー利用事務系やLGWAN接続系といった形で業務環境が分離されているため、業務ごとに専用端末を使い分けなければなりません。また、ネットワーク間のデータ受け渡しにはUSBメモリが必須となり、かえってマルウェア感染リスクを高めるという矛盾も生じます。さらに、ファイル無害化処理による機能制限もスムーズな業務連携の妨げとなりかねません。
新モデルへの移行とエンドポイントセキュリティ
こうした課題を解消すべく、総務省は従来の「αモデル」を見直し、新たな接続モデルを提示しました。
特に都道府県で採用が進む「βモデル」は、主業務をインターネット接続系端末に集約し、LGWAN系システムへは画面転送技術を用いてアクセスする方式です。これにより利便性が飛躍的に向上し、クラウド活用やテレワークへの対応も容易になります。また、業務システム自体をインターネット側へ移行させる「β’モデル」も提唱されています。
しかし、インターネット接続系を主とするβモデルやβ’モデルは、従来よりもマルウェア感染リスクが高まります。そのため、EDR(Endpoint Detection and Response)をはじめとするエンドポイントセキュリティ強化が欠かせません。
一方、コストや手間の面からβモデルやβ’モデルへの移行が難しい小規模自治体では、「α’モデル」が注目されています。これは従来の構成を維持しつつ、特定のクラウド利用のみ直接接続(ローカルブレイクアウト)を許可する方式です。ただし、この場合もEDRによる監視強化は必須であり、ファイル共有などの運用面では依然としてセキュリティ上の議論が続いています。
三層分離からゼロトラストへの転換
このように進化を遂げてきた三層分離モデルですが、政府は中長期的な方針としてその廃止を決定し、ゼロトラストアーキテクチャへの全面移行を打ち出しています。2024年5月31日に行われたデジタル庁の記者会見でその方針を明らかにしました。
現在、国が進めているのは、中央省庁や自治体のシステムを共通の基盤であるガバメントクラウドへ集約するプロジェクトです。これにより、どの自治体でも低コストで高度なIT活用と強固なセキュリティを両立できる環境を目指しています。
また、これと並行して各府省を共通ネットワークで結ぶガバメントソリューションサービス(GSS)の整備も進行中です。これらの構想を実現するためには、従来の境界型ネットワークセキュリティの限界を認め、ゼロトラストへと舵を切ることが不可欠とされています。
三層分離の課題解消とゼロトラストの実現を同時に叶えるGoogleソリューション
デジタル庁が2024年5月の会見で「三層分離からゼロトラストへの転換」を打ち出したことを受け、Googleでは、「公的機関においてもゼロトラストセキュリティへの需要が急増し、場所やネットワークの境界に縛られない柔軟な業務アクセス環境が必須になる」との見解を示しています。
GoogleがWebブラウザ主体のゼロトラストセキュリティを推進する原点は、2009年に受けたサイバー攻撃にあります。この経験にもとづき、同社はクラウドファーストで管理が容易な「ChromeOS」や、業務データをフルクラウドで保護する「Google Workspace」、そしてブラウザベースのゼロトラストソリューションである「Chrome Enterprise Premium」などを展開しています。
そしてGoogleでは、これらの製品を組み合わせ、自治体がゼロトラストセキュリティへ移行するためのモデルとして以下の3つのパターンを提唱しています。
出典:宮崎市、「Google Cloud」でゼロトラスト環境を構築--災害に耐えるITインフラへ|ZDNET Japan
- Type B ハイブリッド型(三層分離のα’モデルに該当):
Google Workspaceといった業務アプリにローカルブレイクアウトで接続する方式。Webブラウザによってインターネット側のセキュリティを確保しつつ、LGWAN上の業務アプリとも共存させるハイブリッド環境を実現。 - Type C ハイブリッド型(三層分離のβモデルに該当):
庁内の業務システムをGoogle Cloud上へ移行する方式。Webブラウザを主体とすることで、場所を選ばずに安全な業務遂行が可能なゼロトラスト環境を構築。 - Type D クラウドネイティブ型(三層分離のβ’モデルに該当):
庁内システムをフルクラウド化し、Web標準技術に統一する方式。攻撃対象領域(アタックサーフェス)をWebブラウザのみに最小化できるため、セキュリティコストの最適化が見込める。
このような製品を活用することで、三層分離の課題解消とゼロトラストの実現につながります。
三層分離・ゼロトラストに関連するGoogleの代表的なサービス7選
三層分離やゼロトラストに関連するGoogle製のサービスには、次のような種類があります。
- Google Workspace
- Google Workspace with Gemini
- Google Cloud
- Chrome Enterprise Premium
- Chromebook
- ChromeOS
- ChromeOS Flex
電算システムでも、地方自治体のDX推進サポートとして、これらのサービスの導入・活用支援を行っています。それぞれの特徴や仕組みを理解し、自社の課題に即した最適なサービスを導入しましょう。
Google Workspace
Google Workspaceは、Googleが提供するクラウドベースのグループウェアです。GmailやGoogleドライブ、Googleカレンダー、Google Meetなどのアプリが統合されており、組織内のスムーズなコミュニケーションとコラボレーションを実現できます。
最大の特徴は、Webブラウザ一つで完結する利便性と、複数人によるリアルタイム共同編集機能です。資料作成におけるバージョンの先祖返りやメールでのファイル送受信の手間を解消し、業務効率を劇的に向上させます。また、企業向けの高度なセキュリティ機能や管理コンソールを備えており、デバイスや場所を問わず安全に業務データへアクセスできる点も強みです。
Google Workspace with Gemini
Google Workspace with Geminiは、Google Workspaceに、Google の生成AIである「Gemini」を組み込んだアドオン機能です。GmailやGoogleドキュメント、Googleスライドといった日々の業務ツール上で、AIがユーザーの作業を直接支援します。具体的には、メールの下書き作成や要約、ドキュメントの文章推敲、スライドの画像生成、スプレッドシートでのデータ分類・分析、オンライン会議の自動議事録作成などが可能です。
単なるチャットボットではなく、アプリケーションのワークフローにAIが統合されているため、複数のツールを行き来することなくシームレスにAIを活用できます。創造的な作業の補助や単純作業の自動化により、従業員の生産性を飛躍的に高め、より付加価値の高い業務に集中できるようになります。
Google Cloud
Google Cloudは、Googleが社内インフラとして使用しているものと同じテクノロジーやインフラストラクチャを、企業や開発者が自由に利用できるクラウドコンピューティングサービスです。仮想マシンやストレージといった基本的なIaaSから、コンテナ管理(Kubernetes)、サーバーレスコンピューティング、データベース、そして世界最高水準のデータ分析基盤やAI・機械学習プラットフォームまで、多岐にわたるサービスを提供しています。特にデータ分析とAIの分野で高い評価を得ており、高速かつスケーラブルな処理能力が強みです。
また、グローバルに張り巡らされた自社ネットワークによる低遅延な通信や、デフォルトで暗号化される強固なセキュリティにも特徴があります。企業のDXを支える基盤として、多くの先進企業で採用されています。
Chrome Enterprise Premium
Chrome Enterprise Premiumは、従来の境界型防御に代わるゼロトラストセキュリティを、Webブラウザベースで実現するためのソリューションです。Google ChromeのWebブラウザ自体を強力なセキュリティエンドポイントとして機能させます。
管理下のWebブラウザにおいて、高度な脅威防御(マルウェアのディープスキャンなど)やデータ損失防止(DLP)機能を提供します。具体的には、機密情報のコピー&ペースト・印刷・スクリーンショットの禁止や、不審なファイルのダウンロードブロックなどを、VPNなしでインターネット経由のアクセスに対しても適用可能です。また、コンテキストアウェアアクセスにより、デバイスの状態やユーザーの属性にもとづいて詳細なアクセス制御を行えます。
既存のGoogle Chromeにライセンスを追加するだけで導入できるため、専用のエージェントソフトやプロキシサーバーを設置する手間なく、高度なセキュリティ環境を構築できます。
Chromebook
Chromebookは、GoogleのChromeOSを搭載した独自設計のノートパソコンです。「速さ・簡単さ・安全性」を核に開発されており、電源投入から数秒で起動するスピーディーな立ち上がりが最大の特徴です。
従来のパソコンと異なり、データは基本的にクラウド上(Googleドライブなど)に保存されます。そのため、端末の紛失や故障時でもデータ消失のリスクが極めて低く、別の端末でログインするだけで即座に作業環境を復元できます。
セキュリティ面では、ウイルス対策が標準装備されており、OSの自動更新によって常に最新の防御壁が維持されるため、ユーザーによるメンテナンスの手間がかかりません。IT管理者による遠隔での一括設定・管理が容易であることから、ハイブリッドワーク時代の企業用端末としても急速に支持を広げています。
ChromeOS
ChromeOSは、Googleが設計した、クラウド利用を前提とした高速・シンプル・セキュアなオペレーティングシステムです。主にChromebookなどの専用デバイスに搭載されています。
WindowsやmacOSと異なり、Webブラウザ(Google Chrome)とWebアプリケーションの利用に特化しているため、動作が非常に軽量で数秒で起動します。ウイルス対策機能がOSに組み込まれており、バックグラウンドで自動更新されるため、ユーザー自身でのセキュリティソフト管理やOSアップデート作業が不要です。IT管理者にとっては、クラウド上の管理コンソールから数百・数千台の端末設定を一括で適用・変更できるため、キッティングや日々の運用管理工数を大幅に削減できます。
ChromeOS Flex
ChromeOS Flexは、古くなったWindows PCやMacにインストールすることで、それらを ChromeOS搭載機として蘇らせることができるクラウドファーストのOSです。基本的な機能やインターフェース、管理機能は通常のChromeOSとほぼ同じです。
サポート切れで眠っている、あるいは動作が重くなったパソコンを、高速で安全なクラウド端末として再利用できるため、ハードウェアの廃棄を減らしつつ環境負荷の低減に貢献します。また、新規端末の購入コストを抑えつつ、最新のセキュリティ環境と管理機能を導入できるため、コストパフォーマンスに優れたシンクライアントソリューションとしても注目されています。
Googleサービスを使った地方自治体の三層分離・ゼロトラストの推進事例6選
ここまでに紹介したGoogleサービスを使って、どのように地方自治体の三層分離やゼロトラストを推進できるのか、具体的な事例を紹介します。各自治体が抱えていた課題や導入・運用方法などを知ることで、明確な活用方法をイメージしやすくなります。
京都府舞鶴市
京都府舞鶴市は、「日本一働きやすい市役所」の実現と市民サービスの向上を目指し、電算システムのサポートを受けながら全庁的にChromebookとChrome Enterprise Premiumを約1,000台導入しました。
従来は、重く持ち運びに不便な端末や、自治体特有のネットワーク分離による動作の遅延が職員の機動力を削いでおり、災害時の業務継続(BCP)やセキュリティ対策への懸念も課題となっていました。今回の導入により、数秒での高速起動や場所を選ばない柔軟な働き方が実現し、現場での即時報告やペーパーレス会議が定着するなど、職員のワークスタイルが劇的に変化しています。特に、介護認定業務などでは庁舎に戻る必要がなくなり、市民との対話時間が増加しました。
導入の決め手は、強固なセキュリティと管理の容易さ、そして5年間の総費用を従来比で約半分に圧縮できるコストメリットでした。端末設定(キッティング)も数分で完了するため、管理者の負担も大幅に軽減されています。同市は今後、生成AI「Gemini」の活用も視野に入れ、職員が自律的に業務改善を行う組織文化の醸成と、さらなるDX推進を目指しています。
参考:舞鶴市「日本一働きやすい市役所」の実現へ向け、時間と場所から解放される Chromebookを全庁導入|Google Cloud
北海道網走市
北海道網走市は、2024年の新庁舎移転を契機に、場所や時間にとらわれない柔軟な働き方と業務効率化を実現するため、電算システムのサポートのもと、ChromeOSとGoogle Workspaceを活用した実証実験を開始しました。
同市では従来、庁内ネットワークの三層分離環境により、メール添付ファイルの無害化処理に多大な時間を要していました。また、シンクライアント端末の動作遅延や、テレワーク用端末の不足も深刻な課題となっていました。これらの解決策として、高速起動や強固なセキュリティ、そして低コストでの運用が可能な ChromeOSの導入を決定します。
導入効果として、Web会議や資料の共同編集によるペーパーレス化が定着し、スケジュール調整や無害化処理にかかる工数も大幅に削減されました。管理面でも、クラウド上の管理コンソールから一括設定が可能となり、IT担当者の負担が軽減されています。網走市は今後、この成果をもとに全庁的な導入拡大を目指し、職員の意識改革と市民サービスのさらなる向上に取り組んでいく方針です。
参考:これまでの慣習を捨て、新しい働き方を追求。地域の課題解決に向けた発想を生み出す環境づくりのために、網走市がChromeOSを導入|Google Cloud宮崎県宮崎市(働き方改革とDX推進)
宮崎県宮崎市は、南海トラフ地震などの大規模災害時にも行政サービスを継続できる強靭なインフラ構築と、人口減少社会における生産性向上を目指し、ここ1~2年でDXを急速に加速させています。民間出身の市長とCIO補佐官のリーダーシップのもと、Googleのクラウドソリューションを活用した働き方改革を推進しています。
同市は2023年にGoogle Workspaceを導入して協働型業務環境を構築し、2024年には「Vertex AI」を活用した独自の生成AIアプリ(文章作成や議事録作成、内部検索など)や、「BigQuery」によるデータ分析基盤を整備しました。これらはChrome Enterprise Premiumやコンテキストアウェアアクセスなどによる強固なゼロトラストセキュリティで守られています。
成果として、議事録作成時間が約6割短縮されたほか、内部検索アプリにより規定確認が平均20分短縮されました。さらに、2024年8月の日向灘地震や台風災害では、Google Workspace(主にGoogleチャットやGoogle Meet)によるリアルタイムな情報共有が機能し、従来のアナログな連絡手段よりも迅速かつ的確な災害対応と職員配置を実現しました。
参考:宮崎市、「Google Cloud」でゼロトラスト環境を構築--災害に耐えるITインフラへ|ZDNET Japan
宮崎県宮崎市(庁内ネットワーク刷新)
宮崎県宮崎市は、働き方改革とDX推進以外にも、三層分離への対応に向けた庁内ネットワーク刷新の取り組みも並行して進めています。南海トラフ地震や台風の大型化といった災害リスクの高まりを受け、どのような状況下でも行政サービスを継続できるインフラ構築を目指し、2027年3月までに庁内システムをGoogle Cloudへ完全移行するプロジェクトを進行中です。
同市は従来のαモデルから、業務システムも含めてインターネット接続系に配置するβ’モデルへの移行を推進しています。LGWANに閉じていた業務環境をインターネットベースのクラウド環境へシフトし、端末にはChromeOS搭載のChromebookを採用する予定です。移行は3段階のステップで慎重に進められています。
- 第1ステップ(2024年4月~):
一部職員へのChromebook配布を開始し、従来のWindows端末と併用。 - 第2ステップ(現在):
財務会計などの「庁内Webシステム」を独立環境に構築。Chromebookからはファイアウォール越しに、Windows端末からは仮想ブラウザ経由でアクセスする共存環境を実現。 - 第3ステップ(最終):
文書管理機能などもGoogle Cloud上に構築し、ほぼすべての職員が場所を選ばずブラウザベースで業務完結できる環境を実現。
このような取り組みにより、三層分離に伴う端末を使い分ける不便さを解消し、災害に強く柔軟な業務体制の確立を図ろうとしています。
参考:Google Cloud採用し3段階で移行 狙いは「災害時に業務を止めない」こと|日経XTECH
栃木県足利市
栃木県足利市は、オンプレミスシステムの老朽化や災害時の業務継続リスク、維持管理コストの増大といった課題を解消すべく、情報系システムを刷新しました。従来の三層分離モデル(αモデル)では、LGWAN系端末からクラウドサービスへの直接アクセスが困難で、テレワークやWeb会議の導入障壁となっていました。
そこで同市は、自治体として初めて、LGWAN端末からローカルブレイクアウト方式を用いてGoogle Workspaceへ接続する構成を採用しています。これにより、既存のセキュリティ強度を維持しつつ、LGWAN環境から直接クラウドツールを利用可能にしました。
導入の結果、メールでのファイル送受信や集計作業の手間が解消され、リアルタイムな共同編集による業務効率化が実現しました。また、直感的な操作性により職員への浸透もスムーズに進み、BYOD(私物端末の業務利用)の基盤も整いつつあります。今後は、生成AI「Gemini」の活用やChromebookの導入検討など、さらなる働き方改革を推進する方針を定めています。
参考:足利市 自治体で初めてLGWAN端末からローカルブレイクアウトによるGoogle Workspaceへの接続を実現|Google Cloud
鹿児島県肝付町
鹿児島県肝付町は、今後20年で人口が半減すると予測されるなか、「待つ行政」から職員が地域へ飛び出す「出向く行政」への転換を目指し、ChromeOS搭載端末(ChromebookおよびChromeOS Flex)約300台を導入しました。
従来環境では、テレワーク実施に専用端末の確保や複雑な設定が必要で、コストと手間の両面で課題がありました。そこで同町は、クラウド活用を前提としたβ'モデルへ移行し、ゼロトラストセキュリティと高い管理性を両立するChromeOSの採用を決定しています。
導入の結果、職員は庁舎内外を問わず安全かつ同一の環境で業務が可能になり、テレワークやペーパーレス会議が自然と定着しました。また、端末設定(キッティング)を職員自身で完結できるようになったことで、外部委託費用や管理工数が大幅に削減されています。
参考:人口減少に伴い、「待つ行政から、出向く行政へ」。職員の「相棒」としてChromeOSを採用した鹿児島県・肝付町の取り組み|Google Cloud
Googleサービスを最大限に活用し三層分離の課題解消やゼロトラストの実現につなげよう
三層分離の考え方が登場してから約10年が経過し、数多くの地方自治体にそのモデルが浸透しつつあるなか、現在では「業務効率の低下という深刻な課題をどのように解消すべきか」「将来的な三層分離からゼロトラストへの転換にどう対応すべきか」といった論点が浮き彫りとなっています。このような際に効果を発揮するのがGoogle製のクラウドソリューションで、Google WorkspaceやChrome Enterprise Premium、Chromebookなどを活用することで、三層分離の課題解消やゼロトラストの実現につなげられます。
電算システムでは、このようなGoogleサービスの導入・運用にかかわる地方自治体・公共機関向けの支援サービスを提供しています。電算システムはGoogleの認定パートナーとして3,000社以上の支援実績があり、SIerとしての高度な技術力を活かした行政DXの伴走支援が可能です。
Googleサービスの導入時には、運用に乗るまでの設定を弊社のシステムエンジニアが徹底サポートします。そのほか、既存環境からの移行支援や管理者・ユーザー様向けのトレーニング、勉強会の開催、アップデート・障害情報の配信といった運用サポートも充実しています。三層分離の課題に悩まされている職員の方はもちろん、庁内のDX化や住民サービスのデジタル化などを検討している場合でも、気軽にご相談ください。
