職員の認証は電子証明書で、足立区がプライベートクラウドでPKIを全面採用：10年を経てとうとう「PKI元年」なるか？

　東京都足立区は、従来個別に構築、運用してきたシステムを統合し、新たなプライベート・クラウド型情報システム基盤「足立区プライベート・クラウド」を構築した。このシステムのセキュリティ確保には、エントラストジャパンの製品を用いた公開鍵認証基盤（PKI）を活用している。自治体が職員、教職員向けの認証や暗号化に全面的にPKIを採用した例は、これが初だという。

足立区CIO補佐 浦山清治氏

　2013年4月26日に行われた説明会では、足立区CIO補佐の浦山清治氏がPKI採用の経緯について説明。「電子証明書を用いて全ての職員や教職員、全ての端末、サーバ、無線LANアクセスポイントをつなぎ、同時に電子証明書を用いた認証でバリアを張る形でシステムを保護していく」と述べた。

　足立区プライベート・クラウドは、3つのシステムから構成されている。財務会計や人事給与、文書管理などの業務システムを提供する「内部業務基盤」、区内108校の小中学校向けに仮想デスクトップ（VDI）を提供し、校務支援システムを担う「学校ICT基盤」、住民情報や戸籍、税金関連といった重要な情報を担う「基幹業務基盤」だ。いずれも庁舎内サーバルームに、ブレードサーバを用いてインフラを構築しており、2012年9月から学校ICT基盤と内部業務系で順次サービスを開始した。

　いずれの基盤においても、サービスを利用する際には電子証明書を用いた認証を義務化し、第三者による不正アクセスを防ぐ。同時にデータの暗号化によって、情報漏洩や改ざんも防止するという。

　例えばログイン時には、IDとパスワードだけでなく電子証明書によって利用する職員／教職員本人を認証するとともに、デバイス認証も行う。タブレットやスマートフォンも含め、デバイス認証を経ないとVPN接続できない仕組みとしたほか、学校の教職員用に提供している無線LAN接続にも802.1x EAP-TLSを採用した。「電子証明書による認証を経ないと、足立区の内部ネットワークには入れない」（浦山氏）。

　さらに、やりとりする電子メールにはS/MIMEによる暗号化と電子署名を付与し、盗聴やなりすましから守る。受信者が検証を行えるよう、外部関係者向けにS/MIME証明書を発行する仕組みも整えた。また業務用Webアプリケーションへのアクセス時には、公開Webサーバで広く利用されている片方向の認証ではなく、双方向認証を行い、Webサーバ側からもアクセスしてきたユーザーの正当性を確認できるようにした。

　一連の電子証明書の発行、運用や廃棄を担う認証局（CA）には、エントラストジャパンの「Entrust Authority」を採用した。また発行業務開始に当たっては、総務省からオブジェクト識別コード（OID）の発行を受けている。紛失や異動などが生じた場合には、あらかじめ定めた手順に従って、対面での再発行やCRLによる証明書無効化などを行うプロセスを整えている。

　足立区ではサービス開始から現在までの間に、教職員と彼らが利用するデバイス向けに、それぞれ3800枚の電子証明書を発行した。区役所向けの内部業務基盤システムでは試験的な運用ということもあって、職員向けにはまだ150〜160枚程度の発行にとどまるが、将来的には5500人の職員、3500台のデバイス全てを対象としていく方針だ。さらに、マイナンバー制度との接続も視野に入れているというが、詳細は仕様やサービス内容が具体化してからになるという。