プライベートクラウドは電子証明書で守る――認証局も独自構築した足立区導入事例

人口約67万人の東京都足立区は、独自に構築したプライベートクラウド環境および行政サービスでのセキュリティ対策に電子証明書を利用する。電子証明書を発行する認証局も自前で構築するなど、その取り組みを紹介した。

» 2013年05月01日 08時00分 公開
[國谷武史,ITmedia]

 東京23区の北東部に位置し、約67万人の人口を抱える足立区は、区民サービスの向上と業務効率化を目的に、3種類のプライベートクラウドの構築を進める。そのプライベートクラウド環境と行政サービスのセキュリティ対策に公開鍵認証基盤(PKI)による電子証明書を利用するため、認証局(CA)を独自に構築。同区がその取り組みを紹介した。

 足立区は、2008年に電子自治体推進計画をスタートさせ、「内部業務系」「学校教育系」「住民情報系」の3分野の情報システム基盤となる「足立区プライベート・クラウド」の構築を2012年4月に開始した。既に内部業務系と学校教育系については構築が完了し、現在は基幹業務となる住民情報系の基盤構築を進めている。

 これらのクラウド基盤とクラウド基盤によるサービスでのセキュリティ対策として、同区はCAで発行した電子証明書を使って正規ユーザーを認証する仕組みを導入する。足立区のCIO補佐を務める浦山清治氏は、「自治体のクラウド環境は、不正アクセスやサイバーテロなどさまざまなリスクにさらされるため、電子証明書によって職員や教員の真正性を確保することが非常に重要だと考えている」と話す。

 CAの構築に際して足立区は、2012年12月に総務省から「オブジェクト識別子に係る推奨通信方式の規定に基づく、レベル4のオブジェクト識別子構成要素値(OID)」の認可と、オブジェクト識別コードを取得した。これによって、区が発行する電子証明書は国際的に通用するものとなった。現時点でオブジェクト識別コードを取得した地方自治体は、国内でも同区だけとなっている。

 同区のCAで発行する電子証明書の対象は、クラウド基盤にアクセスする区や学校の職員や教職員とその業務端末、業務用のWebサーバやVPN接続などのその他システム。発行枚数は業務端末だけでも約7800枚になる。また、電子メールではS/MIMEによる暗号化と認証、庁内や学校内の無線LAN接続にはデバイス認証とEAP-TLSによる対策も導入した。メールでは受信者がS/MINEに対応できるように有効期間が短い電子証明書を発行する。特にデバイス認証などは、通常業務だけでなく、災害時の業務継続も視野に入れたものとなる。

足立区での電子証明書の利用シーン

 これらPKIのための仕組みには、米Entrustのソリューションを採用した。浦山氏によれば、「米国政府機関などでの採用実績が多く、CAの自前での運用を含めた対応ができるため」というのが採用理由だった。なお、区のWebサイトなどの電子証明書には日本ベリサインの発行する証明書を採用している。

 足立区では今後、住民票発行といった区民への行政サービスにもこの仕組みを活用していく方針を掲げる。ただ、行政サービスへの適用に関しては2015年から導入される見込みの「共通番号制度(マイナンバー)」との兼ね合いが焦点になる。共通番号制度に関する法案は今国会で可決・成立する見込みだ。

 この点について浦山氏は、「区としてはもちろん国の方針を支持しており、国の運用基準に従う。区の認証基盤を活用して区民が利用しやすい行政サービスをどう実現していけるのかを検討していきたい」と話す。また、プライベートクラウド環境を含めた一連の取り組みに関するノウハウは、ほかの自治体にも提供したいとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ