ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. 導入事例
  3. 文京区様
ここから本文です。

文京区様

文京区様

VMware NSXとVMware Horizon を採用し
利便性と安全性を両立したデスクトップ仮想化を実現

業種 自治体・公共
業務 共通業務
製品 シンクライアント,セキュリティ,PCサーバ
ソリューション・サービス サーバ仮想化/デスクトップ仮想化,セキュリティ

事例の概要

課題背景

  • インターネット環境を庁内システムから分離し、標的型攻撃から機密情報を守り、情報漏えい防止をより強化したい
  • セキュリティを強化しつつも、新たな機器導入コストや運用管理の負担は最小限に抑えたい
  • 利用者である職員に過度の負担をかけずに、セキュアな業務環境を実現したい

成果

極めて高いセキュリティを達成

インターネットへのアクセスは仮想デスクトップ(以下、VDI)で行うため、万が一ウイルスに感染しても庁内システムには影響がない。またVMware NSXのマイクロセグメンテーション(※)により、VDI間の感染拡大も防止できる。

導入コストの抑制と省スペースも実現

実証実験で導入したVDI構築実績と、NECが提案したVMware vSANの活用によって、全職員約2000人のVDI環境を最小限の機器で構築し、1ラック内に収容できた。

ユーザの利便性を維持

分離されたネットワークごとに端末を使い分ける必要がなく、1台の物理端末で庁内システムとインターネットの両方にアクセス可能となっている。

導入ソリューション

  • (※)VMware NSXのマイクロセグメンテーション:各VDI単位に分散した仮想ファイアウォールが導入されており、VDI間の通信を制限。仮にVDIがウイルスに感染した場合でも、感染をその1台に封じ込め、ほかのVDIへの感染拡大を防止できるようになっている。

お問い合わせ

本事例に関するお問い合わせはこちらから

関連資料ダウンロード

関連資料をダウンロードいただけます

事例の詳細

導入前の背景や課題

利用実績があったVDIでネットワーク分離を実現したい

文京区
企画政策部情報政策課 OA担当
主査
大塚 仁雄 氏

2017年に区政70周年を迎えた文京区様。子育て支援・教育施策、高齢者施策などを「重点施策」として選定し、区民のニーズを的確にとらえた施策をスピーディに展開することで、心から住んでいてよかったと実感してもらえる「文の京(ふみのみやこ)」を目指しています。

多くの業務にITを利用し、事務の効率化や区民サービスの向上を図っているのも、そうした施策の一環です。すでに、Webサイトでの住民への情報発信やWebによる情報収集など、様々な形でインターネットを利用しています。こうしたIT化の一方で、近年は標的型攻撃など新たなセキュリティ脅威も発生しており、同区ではこれまでも情報セキュリティの強化に向けた取り組みを行ってきました。さらにマイナンバー制度のスタートに伴い、総務省から「自治体情報システム強靭性向上モデル」に基づく要請が出され、LGWAN(行政専用のネットワーク)とインターネット接続系ネットワークを分離する必要が出てきたのです。

この要請を受け、同区ではVDIの利用をすぐに決断。その理由を同区の大塚仁雄氏は次のように語ります。「すでにVMware Horizonを使ったVDIは、NECの提案によって2015年から実証実験を開始していました。これは、文京区のWebサイト制作を請け負っている事業者がインターネットを介してメンテナンスを行うために利用しているほか、区長が出張する際にも、庁内情報へのアクセス方法として活用されています。この仕組みをネットワーク分離にも活用できないかと考えたのです」

こうして、同区はVMware HorizonによるVDIに、新たにVMware NSXのマイクロセグメンテーションを組み合わせたシステムを採用しました。

VDIの実証実験を構築していたNECをパートナーとして導入を決定し、全職員約2000人が利用するVDI環境を整備するとともに、VDI同士の通信を制限する仮想ファイアウォール(マイクロセグメンテーション)を各VDIに導入。2017年4月から運用を開始しています。

選択のポイント

ユーザの利便性維持とウイルス感染拡大防止が容易

文京区様がVMware HorizonとVMware NSXを採用した理由は、3点あります。

第1は、セキュアなネットワーク分離を、ユーザに使いやすい形で実現できることです。「インターネットへの接続をVDIで行い、庁内端末には画面転送だけを行うようにすれば、1台の物理端末で庁内システムとインターネットの両方にアクセスできます」と大塚氏。物理的なネットワーク分離では、端末もそれぞれのネットワーク用に個別に用意する必要がありますが、VDIならその必要もありません。

第2は、VDIがウイルスに感染した場合でも、マイクロセグメンテーションによって感染をその1台に封じ込めることが可能なためです。これによって感染被害を最小限に抑えられます。

そして第3の理由は、すでに文京区様にはVMware Horizonの利用実績があり、短期間でシステムを構築できると判断したことです。「総務省から要請を受けたのは2016年1月でしたが、その年の3月までには方針を決める必要がありました。先行導入のときに他社も含めいくつかのVDIの方式を検討しましたが、VMware Horizonが、一番使い勝手がよかったのです」(大塚氏)

導入パートナーにNECを選択したのは、VMwareと密接に連携しているベンダであることが大きなポイントでした。前述の実証実験で、VDI構築・運用の実績があり、短期間でのシステム構築が可能だと評価されました。

また、今回はVDIだけでなく、セキュリティ、ネットワーク、端末に至るまで幅広い知識やノウハウが必要となります。「その点NECは、ほかの自治体や企業への導入実績も豊富です。実際、現場の調査を基に、システム導入におけるリスクの洗い出しを行ってくれました」(大塚氏)

導入後の成果

人為的ミスもカバーできる高いセキュリティを実現

VDIとマイクロセグメンテーションを活用したネットワーク分離によって、総務省が提示するモデルはもちろんのこと、それを超えるセキュリティも達成されました。仮にVDIがウイルスに感染しても、庁内システムはもちろんのこと、ほかのVDIへの感染拡大も発生しません。

「区の職員には様々な職種があり、すべての人がセキュリティに関する知識を持っているわけではありません。そのため、これまでは常に人為的なミスによるウイルスやランサムウェア感染の不安を感じながらシステムを運用していました。しかし、この仕組みを導入してからは、このような不安は解消されました。ユーザが特に意識しなくても、セキュリティを強化することが可能になったのです」(大塚氏)

1台の物理端末で庁内システムとインターネットにアクセスできるため、ユーザの利便性も維持されています。また、同区ではVMware Horizon 7から実装された新機能「URLコンテンツリダイレクト」も活用しており、利便性向上に貢献しています。これは、庁内システム用/インターネット用のブラウザの使い分けを、アクセス先のURLに応じて自動的に判断する機能です。例えば、ユーザがメールに記載されたURLをクリックしたとき、そのURLが庁内システムのURLであれば、庁内システムのブラウザを、インターネットのURLであればVDIのインターネット用ブラウザを開きます。これにより、ユーザは庁内システムとインターネットを意識せず使い分けることができます。

なお、NECは今回の導入で、VMware vSANの活用を提案し、実装しています。これにより、物理的なSANストレージを新たに導入することなく、各サーバ内蔵のストレージをプール化し、冗長化と拡張性を実現。機器の設置スペースも大幅に削減できました。実際、今回導入したVDI環境は1ラックに収容されています。

「設置スペースの削減に加えて、信頼性や拡張性を強化できたことは大きなメリットです。また今回導入したVMware Horizonのライセンスには、vSANが含まれていたため、追加費用はかかりませんでした。そうした点でも、大きなコストメリットがありました」(大塚氏)

文京区様では、今後もVDIの適用領域をさらに拡大していくことが検討されています。セキュリティの確保はもちろんのこと、働き方改革の推進にも有効だと考えられているからです。「これまでのVDI導入において、NECはこちらの要望に対して的確に応えてくれました。これからもよいシステムを実現するため、ぜひ協力してほしいですね」と大塚氏は最後に語りました。

写真左より、NEC 公共・社会システム営業本部 大花龍太郎、文京区 大塚仁雄氏、NEC ITプラットフォーム事業部 後藤靖男、NECネクサソリューションズ 第二システム事業部 鈴木将輝

NEC製品担当者の声

NEC
ITプラットフォーム事業部
第二ソリューション基盤統括部
シニアマネージャー
後藤 靖男

今回は自治体様のネットワーク分離のため、NSXによるマイクロセグメンテーションとVDIを組み合わせたソリューションをご提案しましたが、これは業種を問わず幅広いお客様に、セキュリティ強化のためにご利用いただけます。また、NSXはセキュリティ強化以外にも仮想環境に最適なネットワークを実現でき、理想的なプライベートクラウド環境を構築するのにも有効だといえます。

具体的なメリットとしては、ネットワークの構築や運用が簡単になること、柔軟かつ迅速にネットワーク変更ができること、複数データセンタを単一のデータセンタであるかのように運用でき、災害対策(BC/DR)の強化につながることなどが挙げられます。また、これをvSANのようなストレージ仮想化の技術を活用したハイパーコンバージドインフラ(HCI)と組み合わせることで、サーバ増設時のストレージやネットワークの設定が楽になります。システムの拡張性やインフラ提供の俊敏性をさらに高めることも可能です。

NECはVMwareと十数年にわたる協業関係を築いています。今後もこれまで以上に連携を強化し、多様なソリューションと価値をお客様に提供していきたいと考えています。

お客様プロフィール

文京区

所在地 東京都文京区春日1-16-21

文京区様

職員数 1,798人
(平成28年4月1日現在)
人口 217,428人(平成29年12月1日現在)
概要 文京区は東京23区の中央北寄りに位置する、面積11.29㎡の特別区です。1947年3月15日、旧小石川区と旧本郷区が合併することで誕生しました。大学などの教育機関や医療機関が数多く存在し、地下鉄網なども整備された利便性の高い地域であり、多くの人々が集まるレジャー施設がある一方で、江戸の文化をしのばせる下町風情も色濃く残っています。
URL http://www.city.bunkyo.lg.jp/

お問い合わせ

本事例に関するお問い合わせはこちらから

関連資料ダウンロード

関連資料をダウンロードいただけます

(2017年12月25日)

関連事例

Now Loading

導入事例

ページの先頭へ戻る