自治体情報システム強靭化の切替手順

H28年度事業となっている自治体情報システム強靭化について、いよいよ現行のイントラネットからインターネットを分離し、LGWAN接続系とインターネット接続系に分離する具体的な作業に入ってきました。

目次

分離の段取り

個人的にベストと考える(案)であり、自治体の特殊事情等によって方法は様々だと思いますが、アウトプットしてみます。

1.インターネット接続系の追加
LGWAN接続系と、インターネット接続系の両環境でWEBの閲覧ができる状態にします。この場合、業務影響はでませんね

構成としては、ほとんどの自治体で可能かと思われます。現行のISPをLGWAN接続系のインターネットの出口とし、インターネット接続系のインターネット出口を自治体情報セキュリティクラウドとすると考えるとイメージがつくでしょうか。

そして、このタイミングでインターネット接続系の検証を職員の方に実施してもらい、問題点を出してもらうと良いでしょう。また、慣れてもらえれば移行がスムーズになるかと思います。

2.メールの切替
分離を行うと、業者の方や住民宛てのメール、すなわちインターネットを介したメールの送受信がLGWAN接続系ではできなくなります。インターネット接続系にあるメールサーバで実施する事になります。

この作業で重要になるのが、外向けのDNS変更です。現状ではLGWAN接続系のメール公開サーバが指定されていると思いますが、これをインターネット接続系で新設したメールサーバへ書き換えます。

時間としては、夜中が妥当だと思われます。「明日からインターネット接続系でメールの送受信を行ってね」と周知しておくイメージでしょうか

3.公開サーバの切替
CMS等の公開サーバもメールと同様に現在LGWAN接続系を向くようにDNSに記載されています。これをインターネット接続系へ向ければOKです。(簡単に書いていますが、細かい設定内容が多々あると思います。)

4.LGWAN接続系からのインターネット遮断
最後にはLGWAN接続系かのインターネットを遮断します。現状のISPを解約するわけですね

これで完全に分離が成立します。

コメント

コメント一覧 (4件)

  •  そろそろネットワーク分離を開始していく時期になりました。
     作業日程の都合で、都道府県のセキュリティクラウド接続前に分離を実施する自治体もあるようですが、意外と盲点なのが、各自治体でネットワーク分離の開始日がバラバラのため、自治体間や国とのやり取りのLGWANメールが周知できない点です。
     今まで、多くの自治体が地域ドメインを利用していたためインターネットメールでやり取りをしていたんですが、ネットワーク分離をしたからといって相手は今までのメールアドレスに送ってくるので、無害化されたメールが届いてしまい、結局添付ファイルがないメールが届いてしまいます。
     また、意外とインターネットを利用したサービスを使っていることが多く、それが実際に分離してから判明するケースも多くあります。(1の状態では、今までの環境で利用できてしまうので、問題が浮上してこない。)
     可能であれば、1の直後に、今のインターネット接続を遮断した上で、実際に問題がないかテストを行い、問題点の解決を図っておくのが望ましいと思います。(実際、分離後に業務ができないとクレームが出ることが多いので)

    • 切り替え時に添付ファイルの無いメールが届いてしまう。
      そうですね、「無害化前のデータの取得方法が分からない」といった感じで混乱しそうですね。そして無害化の性能次第ではめちゃくちゃになりますね。何でもかんでも添付が取り除かれていたりして。

      インターネットを利用したサービス
      WEBサービスの利用は今回改めて調査をしましたが、なかなか多いですね。それも証明書が必要なものだったり、認証USBが必要だったりと。本当の意味での検証は本番稼働した後なのかと思っています。もう混乱は致し方ないと腹を括っていますww

  •  実際に動き出してから判断するしかないとは思いますが、多くの自治体が当たり前に使っているサイトが使えなくなったりするので、それこそ国がそのような事例を収集してくれればと思います。
     私が聞いているのでも、建設物価を確認するサイトが利用できない(USB認証がある。)、CADソフトが使えない(月1回のインターネット認証が必要)、Office365が使えない(インターネット認証ができない)、WEBサービスの管理者機能が使えなくなる(グローバルIPが変わるため不許可端末扱いになる。)などがあります。
     どうも、業者の方も自治体からの問い合わせや苦情が多く寄せられており、対応に苦慮しているようです。

    • 実際に使えなくなるWebシステムを国が収集するっていうのは良いアイディアですね。自治体情報セキュリティクラウドの仕様が県単位で若干異なるので県が実施してもいいと思います。いづれにせよ自治体単位で検証をして対策をとるのは非常に非効率ですね、利用しているWebシステムはどの自治体でもほぼ同じものを利用しているので、集約は可能なはず。

yamaP へ返信する コメントをキャンセル

目次