三層分離で思考停止しない 新居浜市が選んだαでもβでもない「四層分離」とは

「三層分離モデルを守れば安全」という考え方が、クラウドサービスの活用を難しくし、業務の非効率を招くことがある。新居浜市が“思考停止”に陥ることなく、安全性と効率性を両立させた「四層分離モデル」とは。

[後藤大地，有限会社オングス]

　愛媛県新居浜市は、自治体情報システム強靱化（きょうじんか）の基本だった「三層の対策」（いわゆる「三層分離モデル」）をそのまま踏襲せず、独自に設計した「四層分離モデル」に基づく庁内ネットワークを構築した。総務省が示す情報セキュリティポリシーに関するガイドラインの考え方を踏まえ、クラウドサービスを業務で使い続けられることと、セキュリティ・ガバナンスを維持できることの両立を狙った。同市が採用した四層分離モデルとは何なのだろうか。

αでもβでもない、自治体ネットワークの現実解「四層分離モデル」とは？

　三層分離モデルは、自治体ネットワークを「マイナンバー利用事務系」「LGWAN（総合行政ネットワーク）接続系」「インターネット接続系」の3つのセグメント（ネットワーク領域）に分離し、情報漏えいリスクを抑えるネットワーク設計だ。四層分離モデルは、三層分離モデルにおけるLGWAN接続系とインターネット接続系の間に「内部情報系」という新たなセグメントを設ける。内部情報系は、業務システムやクラウドサービスへの通信を集約する中間的なセグメントだ。

　新居浜市は、システムや端末の役割ごとに通信を細かく分離・制御する設計手法「マイクロセグメンテーション」に基づく庁内ネットワークを構築している。同市は四層分離モデルを実現するために、マイクロセグメンテーションを生かしつつ、ポリシーベースの経路制御を可能にする技術として「SD-WAN」（ソフトウェア定義WAN）を取り入れた。

　新しい庁内ネットワークの中核として新居浜市が配置したのが、フォーティネットジャパンのネットワーク／セキュリティアプライアンス「FortiGate」だ。同市はFortiGateのファイアウォール機能でセグメント間通信を制限するとともに、SD-WAN機能で通信経路を制御できるようにした。これによりセキュリティを保ったまま、庁内からインターネットに直接接続する「ローカルブレークアウト」を実現した。「Microsoft 365」などの職員が業務で利用するクラウドサービスは、この直接接続の経路を通る。

新居浜市が構築した新しい庁内ネットワーク（出典：フォーティネットジャパンの資料）《クリックで拡大》

　新居浜市は、総務省のガイドラインが示す三層分離モデルのそれぞれに課題があると考えていた。最も厳格な構成である「αモデル」については、業務に応じたPCの使い分けやネットワーク間での無害化処理・無害化通信が必要になることから、事務効率への影響が大きいと判断した。運用の自由度を高めた「βモデル」や、それをさらに拡張した「β’モデル」についても、端末ごとの不審な挙動を網羅的に検知し、必要に応じて遮断・対処する厳密な運用が前提となることから、同市のリソースを踏まえると負担が大きいと考えた。こうした課題を踏まえ、同市は四層分離モデルを採用した。

　四層分離モデルとFortiGateのSD-WAN機能により、新居浜市の職員はセキュリティやガバナンスを保ったままクラウドサービスを利用できるようになった。FortiGateの採用理由として同市は、ルーターやファイアウォールなどの複数の機能を備えており、拠点や設置場所ごとに必要な機能を選択して利用できる点を挙げる。同市は新しい庁内ネットワークを生かし、行政手続きのオンライン化やデータ活用を継続して進める考えだ。本件は、フォーティネットジャパンが2025年12月18日に発表した。