Google Cloudでゼロトラストを実現する宮崎市、導入の決め手は？ - 生成AIも活用

グーグル・クラウド・ジャパンは10月8日、オンラインで自治体のゼロトラスト実現に向けた記者説明会を開催。説明会では宮崎市におけるChrome EnterpriseとGoogle Cloudゼロトラストの活用事例が紹介された。

自治体ネットワークの三層分離を廃止

昨今、コロナ禍を契機に働く場所は会社や庁舎内だけではなくなり、職場中心から人中心の働き方にシフトしており、ゼロトラストの考え方が普及している。

グーグル・クラウド・ジャパンパブリックセクター営業本部本部長の和泉綾志氏は「従来の境界分離をなくし、職場内外で信頼せずにアクセス元のデバイスや人の健全性にもとづいてアプリやデータへのアクセスを保護するため、いつでもどこでも安全に働ける場所・環境を実現する必然性が高まっている」と指摘。

グーグル・クラウド・ジャパンパブリックセクター営業本部本部長の和泉綾志氏

しかし、近年では企業や公的機関における業務のクラウド化が進み、ブラウザ上で重要な資産を扱う傾向が増加している。同社が示した調査資料では、2025年までに企業アプリの85%はSaaS(Software as a Service)となり、67%の組織は機密性の高いデータをクラウドに保存し、65%のSaaSアプリは検疫できる環境にないという。

また、ガートナーの調査では2030年までにエンタープライズブラウザはシームレスなハイブリッドワークを実現するプラットフォームの中心になると予測。一方、デジタル庁では2024年5月の記者会見において、自治体ネットワークの三層分離の廃止を宣言し、ゼロトラストアーキテクチャの考え方を導入し、セキュリティを確保していく方針を示した。

デジタル庁は自治体ネットワークの三層分離の廃止を宣言した

Google Cloudの自治体向けサービス

グーグル企業向け Chrome ブラウザアジア太平洋地域本部長の毛利健氏は「ブラウザの役割が従来のWebへのアクセスポイントから、生産性と安全性を確保してクラウドへのアクセスのフロントエンドとして重要なエンドポイントの役割になっている」と話す。

グーグル企業向け Chrome ブラウザアジア太平洋地域本部長の毛利健氏

同社では、エンドポイントセキュリティソリューションとして今年発表した「Chrome Enterprise Premium」に加え、従来から提供している「ChromeOS」「Google Workspace」がセキュリティ対策に有効だとしている。

Chrome Enterprise Premiumは、ブラウザが持つセキュリティシグナルでアクセス保護を行い、Web/クラウドでやり取りされるデータの保護・ガバナンス・検疫を強化できるというもの。リアルタイムなマルウェアのディープスキャン、データ損失防止、機密情報の証跡監査などっを可能としている。

ChromeOSは多層的なセキュリティがビルトインされており、500を超えるポリシーで端末管理やキッティングレスを実現し、マルウェア対策を組み込み済みであり、アタックサーフェスをブラウザのみに縮小させ、デバイスのポリシー制御などができるという。

Google Workspaceは、業務アプリケーションのセキュリティやコンプライアンス遵守などを自社で対策をとるとコストの圧迫、運用も複雑になるが、フルクラウドでセキュリティコントロールするためスパム対策やフィッシング対策、データのコンプライアンス機能を保有している。

Googleが提供するセキュリティソリューションの概要

同社では自治体におけるゼロトラストセキュリティ導入において、業務系をGoogle Cloudでローカルブレイクアウトで接続し、ブラウザでインターネット側のセキュリティを守りながらハイブリッドでLGWANの業務アプリケーションと共存する「α'(ハイブリッド型)」、徐々に庁内のアプリケーションをGoogle Cloudにリフトして、ブラウザを主体にネットワークに依存せずにいつでもどこでも安全にゼロトラストでブラウザ主体で業務を行う「β(ハイブリッド型)」、フルクラウドで庁内のアプリケーションをWeb標準化し、アタックサーフェスをブラウザに縮小することでセキュリティコストの低減を図る「β'(クラウドネイティブ型)」の3タイプを支援している。

ゼロトラスト導入におけるモデル

宮崎市の導入事例

これまで、同社では宮崎市や鹿児島県肝付町、京都府舞鶴市、三重県志摩市、同紀北町などの導入支援を行っており、今回はその中で宮崎市総合政策部デジタル支援課課長補佐兼デジタル第一係長の松浦裕氏が同市における事例を解説した。

この1～2年ほどで同市ではDX(デジタルトランスフォーメーション)を推進し、その契機となったのが将来的な大規模災害への備えに加え、2022年に民間から新市長とCIO補佐官が就任したことが背景にあり、Google WorkspaceとGoogle Cloudを導入している。

松浦氏は「とどのつまりは働き方改革。住民の方はインターネットを使って生活しており、行政も合わせる必要がある。職員数の減少し、業務量は増加するため、行政サービスの質を落とさないためには働き方を変えなければならない」と述べている。

宮崎市総合政策部デジタル支援課課長補佐兼デジタル第一係長の松浦裕氏

宮崎市はGoogle Workspaceを業務の中心に据え、AIプラットフォーム「Vertex AI」で生成AIの活用、データ分析基盤にはアナリティクスプラットフォーム「BigQuery」などを利用している。

宮崎市で活用しているGoogle Cloudのソリューション

セキュリティに関しては前述した、Google WorkspaceとChrome Enterprise Plemiumに加え、条件ごとのアプリ接続制御を行う「Context Aware Access」、端末の挙動制御などを行う「Chrome Enterprise Upgrade」を導入。

宮崎市で導入しているGoogle Cloudのセキュリティサービス

松浦氏は「ネットワークは三層分離の新しい構成に関するガイドラインが出ていないため、どのような形になっても対応できるようにβ'を見据えたゼロトラストの環境を構築している。現状ではGoogle WorkspaceとChrome Enterpriseをコアにして、どこからアクセスしてもセキュリティを高めることを目指している」と説明した。

宮崎市のGoogle Workspace利用構成

現状ではVertex AIでGeminiによる文章要約やアイデア出しなどを行う基本アプリ、記事録作成アプリ、内部検索アプリを10月から正職員で本格的に生成AIを活用している。実証実験では自動文字起こしと議事録要約機能により、議事録作成の作業時間を約6割圧縮したほか、約60の省庁文書から回答をベースに規定やマニュアル1検索あたりの時間を平均20分短縮した。

生成AIも活用している

また、データ分析基盤はBigQueryを中心にAIも活用し、サイロ化している庁内データや人流、寄稿、医療など入手できるデータを取り込み、分析ダッシュボードを作成して統一したデータで住民サービスを提供しているとのことだ。

データ分析基盤の概要

災害対応にも有効なGoogle Cloud

一方、今年8月に宮崎市は日向灘の地震や竜巻の発生、台風10号の影響など自然災害に苦しんだが、Google WorkspaceとGoogle Cloudが活用された。チャットメッセージ数は地震発生日(8月8日)、台風10号(29日、29日)の日が上位を占め、職員間でスムーズな情報共有が可能とした。

また、被害調査時には従来はコアになる担当者が各担当者に指示を与えていたが、チャットベースになったため人的リソースが重複することなく、効率的に配置できたという。さらに、Google Earthによる被害状況の把握が可能となり、業務の継続性を担保したとのことだ。

松浦氏は「Google Clodを使い始めてからスピードが向上し、職員が活用のアイデアを出し合い、潜在能力の発揮につながっている。さまざまなことが実現できるため職員も業務を楽しみ、管理者視点からも管理が楽になっている。こうしたものを支えているのがシンプルで安全なインフラであり、データの安全を担保しながら使えると感じている」と述べ、プレゼンテーションを結んだ。

なお、グーグル・クラウド・ジャパンでは10月8日に自治体ネットワークのゼロトラストセキュリティのための新しいプログラムを発表。プログラムは、自治体のゼロトラストセキュリティ導入に向けたロードマップの策定支援と、Chrome Enterprise および Google Cloud のゼロトラスト対応ソリューションの導入支援となる。