SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

自治体におけるMicrosoft 365の利用時の検討事項

Microsoft 365
    2023.09.15

    みなさんこんにちは。SB C&Sで技術支援を担当している萩原です。
    最近お問い合わせの多い自治体でのMicrosoft 365の活用方法や、利用方法及び導入時に検討するべき事項(利用機能やセキュリティ対策)について、2回にわたってご紹介いたします。

    今回は、自治体におけるMicrosoft 365の導入時に検討する事項について、以下の内容を中心にご紹介いたします。

    • Microsoft 365の接続経路
    • 検討するべきセキュリティ
    • アップグレードの検討方法

    Microsoft365の接続経路

    自治体の場合、三層分離といわれるマイナンバー利用事務系(いわゆる基幹系)とLG-WAN系、インターネット系の3つのネットワークに分かれている形が一般的と思います。
    3つの層それぞれでMicrosoft 365を利用する場合、インターネットに接続されていない、マイナンバー利用事務系とLG-WAN系において、最低限Microsoft 365のアクティベーション通信を通す必要があります。
    アクティベーション通信を行う方法としては、現行2つの方法があると考えられます。

    自治体セキュリティ向上プラットフォームを利用したアクティベーション

    J-LISが提供する自治体セキュリティ向上プラットフォームを利用してアクティベーションを行う事が可能です。こちらは、セキュリティソフトウェア等のアップデートバイナリを配信するサービスであり、Microsoft 365のアクティベーション通信もあわせて中継が可能なサービスとなります。
    このサービスの詳細は、運営団体である「地方公共団体情報システム機構」にお尋ねください。

    ガバメントクラウドもしくは、同等のクラウドサービスの利用

    2025年3月28日に更新された「地方公共団体における 情報セキュリティポリシーに関するガイドライン(令和 5 年 3 月版)」の中には、

    ガバメントクラウド以外のクラウドサービスについては、ISMAP 認証やクラウド サービスにおける第三者認証を取得したサービスにおいて、標準準拠システム等の利用・ 運用が想定される。この場合、修正プログラムの更新や管理コンソールのアクセス等の運用 保守を行うにあたり、デジタル庁より示されたリスクアセスメントの結果等を参考とし、ガ バメントクラウドと同等の情報セキュリティ対策が実施されていることを評価(内部監査・ 外部監査等)することを条件に、例外的にインターネット接続を可能とする。

    (出典)地方公共団体における 情報セキュリティポリシーに関するガイドライン(令和 5 年 3 月版) iv- 7ページより

    という記載と共に、ネットワーク構成図が記載されています。

    bunri.png

    詳細は、「地方公共団体における 情報セキュリティポリシーに関する ガイドライン(令和 5 年 3 月版)」を御確認ください。

    「自治体セキュリティ向上プラットフォーム」を利用する場合、Active Directoryのアカウント連係通信経路や三層分離された各ネットワークからの通信経路確保の検討、Proxyサーバの設置検討など既存ネットワーク環境に対しての調査や変更が必要になることがあります。また、「ガバメントクラウドもしくは、同等のクラウドサービス」構成であっても、セキュリティ担保するためのネットワーク装置等が必要になることがあります。ネットワーク設計面などご不明なことがあれば、SB C&Sにご相談下さい


    検討するべきセキュリティ

    Microsoft 365は、クラウドサービスであるためインターネットが接続できる環境であればどこでも利用可能です。そのため、セキュリティにおいても併せて検討を行う必要があります。

    ログインできるアカウントの制限

    例えば自治体の職員が個人で契約したMicrosoft 365のアカウントで、業務端末からログインができてしまうのはセキュリティ的に良くありません。
    ログイン制限を行うためには、自治体の内部ネットワークにて、ログインできるテナントの制限を行う必要があります。

    m365othertenant.png

    自宅や第三者の場所からのログイン

    先ほどのパターンの逆となります。対策を施していない場合、自宅や第三者で自治体の許可していない端末からのMicrosoft 365にログインができてしまいます。Microsoft 365でログインできる端末や環境を制限するためには、Entra IDの条件付きアクセスの機能などを適宜利用する必要があります。

    m365home.png

    通信の制限やネットワーク回線の検討

    Office Appsだけの利用であれば、通信経路をあまり気にしなくても良いかもしれません。しかし、Microsoft Teamsの利用やその他モダンワークの機能を利用するとMicrosoft 365のクラウドサービスとの接続量(セッション数)が多くなることが考えられます。また、Microsoft 365のアクティベーション通信のみに制限する場合も、IPアドレスだけの制限では、限界があります。適宜アプリケーションレベルで設定が可能なファイアーウォール(UTM)やL7レベルのプロキシサーバーの利用検討が必要です。
    また、Entra IDとオンプレミスのActive Directoryのアカウントと連携する場合、Azure AD Connectを必要とする場合があります。Azure AD Connectを利用する場合の通信経路の確保も必要となります。

    共有端末への対応

    自治体の場合、窓口端末やインターネット端末など複数人が共有して利用するパソコンが存在する環境があると思います。この場合、複数台ある共有端末に自分のアカウントでログイン・ログアウトを繰り返すと、それぞれ共有端末毎にMicrosoft 365のライセンスが消費していくため、Microsoft 365のライセンス条件である1ユーザーPC5台までという制限を超えてしまうことがあります。それを防ぐためには、「共有コンピューターのライセンス認証」を有効化する必要があります。共有コンピューターのライセンス認証機能は、Microsoft 365 Apps for BusinessやMicrosoft 365 Business Standardでは、利用することができません。また、共有端末の場合も、Microsoft 365のライセンスは、その共有端末を利用するユーザー数で手配が必要となります。端末数でのライセンス手配ではないことに注意してください。

    m365.png

    アップグレード方法の検討

    Microsoft 365は、ソフトウェアのバージョンとして、月次アップデートと半期アップデートの2つが提供されています。いずれのバイナリも定期的なバージョンアップが必要となります。Microsoft 365のバイナリは、WSUSを使った更新バイナリの配信ができません。そのため、クライアントから直接アップグレード通信を行うか、ODT(Office 展開ツール)を利用したアップグレードバイナリの配信を検討する必要があります。
    (参考)Microsoft 365 Apps 用更新プログラム チャネルの概要

    まとめ

    自治体でMicrosoft 365を利用する場合、通信経路の確保やセキュリティの確保が必要になります。環境によっては、Microsoft Officeのアプリケーションが中心となる「Microsoft Office Apps for EnterpriseやMicrosoft Office Apps for Business」のエディション機能だけでは、セキュリティ面での制御ができないケースがあります。また、利用したい機能やアップデート方法によっては、J-LIS自治体セキュリティ向上プラットフォームサービスの利用だけでは、カバーできないケースも想定しておく必要があります。環境によって、Microsoft 365のクラウドサービスと疎通できる環境をやネットワークを見なおす必要が出てくる場合があります。Mircrosoft 365でやりたいことを実現するためには、ただのソフトウェアという枠を超えて検討する事項が様々あります。自治体でのMicrosoft 365ご提案およびご導入の検討は、是非SB C&Sにお問い合わせください。
    お問い合わせは、こちらからどうぞ。

    自治体にMicrosoft 365を導入検討する際は、以下の記事も参考ください。

    著者紹介

    SB C&S株式会社
    ICT事業本部 技術本部 第3技術部 2課
    萩原 隆博 - Takahiro Hagiwara - (Nutanix NTC)

    HCIを中心とした仮想化とMicrosoft 365のプリセールスエンジニアを担当しています。
    Nutanix Technology Champion 2018-2024