今回のお客様

地名：

札幌市

面積：

1,121.12km²

総人口：

1,893,195人（2007年6月1日）

地理的特徴：

石狩平野の南西部に位置し、市の南北を流れる豊平川流域を中心に市街が発達。北部と東部は平坦な扇状地が広がり、南部と西部は山岳・丘陵地帯で、全市域の60％を占める南区の大部分が支笏洞爺国立公園に含まれる。

概要：

札幌市は10の行政区に分かれ、北海道の全人口の約3割を占める（全国5位）。1986年に研究開発型企業団地「札幌テクノパーク」を開設するなど、早くからIT産業の振興に取り組んでおり、近年は民間企業との協力による「IT人材雇用促進プログラム」「札幌市高度情報通信人材育成・活用事業」などの施策を打ち出している。

IT産業を地域活性化の柱に

国内最北に位置する政令指定都市であり、北海道庁所在地でもある札幌市。札幌市は豊かな自然を背景にした観光都市という顔のほかに、北海道の政治、経済の中心地として重要な役割を担っている。

そんな札幌市の先進的な取組みとして、自治体で初めてコールセンターを開設し、市民からの問合せに応えるサービスを提供していることが挙げられる。このサービスは利用者から高い評価を得ており、その後の全国における自治体コールセンターの先駆けともなった。

さらに、「札幌バレー」と呼ばれるIT企業の集積地域を作り、IT産業の振興に向けたさまざまな活動も積極的に進めている。札幌市では、2010年までにIT関連事業規模を8,000億円に拡大するという目標を掲げている。2015年度までには市全体で3万人の技術者を確保し、600社のIT企業により売上規模1兆円を目指すという。

この目標の実現のために力を入れているのが、IT技術者の育成である。オラクルなどベンダーの協力も得て、札幌の技術を世界へというスローガンのもと、市場を北海道内に限定せず、高度なIT技術を東京や海外に向けて売り出していくという構想もある。

増え続けたシステムへの投資を最適化するには

IT産業に注力する札幌市において、課題の1つとなっているのがITシステム投資の最適化だ。現在、札幌市で稼動しているシステムは、小さなものまで含めると290あまりある。行政では法律や条令の改正なども頻繁にあり、システムをそれに適合させるための改変、システムの管理・維持にかかる費用は年間で数十億円にものぼるという。

札幌市 市民まちづくり局 情報化推進部 IT推進課 情報化調整担当係長の小澤 秀弘氏は、市のITシステムの現状を次のように説明する。

「過去において、市の部門ごとに独自のシステム構築をおこなってきた背景もあり、システムがかなり増えてしまいました。そのため、現在は効率がよいといえる状態ではありません。今後はこれらのシステムを集約して効率化し、IT投資の最適化を進めようと考えています」

市が抱えている約290のシステムを、一気に統合することは難しい。そこで、まず最初のステップとして、現状のものを最大限活用し、新たなシステムを極力作り出さないようにしている。

「何か新しいことを始めるとき、それをITシステムでやろうとしてしまいがちです。ITシステムに過度の期待をかけ、すぐに新たなシステムを導入するのではなく、課題解決のためには何が最適な方法かをよく考え、それがITシステムだということを明確にしてはじめて、新システムの構築をおこなう方針を徹底しています」（小澤氏）

これは、冷静に考えれば当たり前の進め方だが、役所のように部門ごとに業務がまったく異なる場合には、全体を俯瞰したうえで新規システムの必要性を客観的に判断するのはかなり難しい。中央集中的に統制できないとなると、個々の部門でITシステムの必要性を明確化できなければ、なかなか無駄な投資はなくせない。

コストをかけずにセキュリティを強化したい

IT投資の最適化と並行して進めなければならないもう1つの課題が、セキュリティの強化だ。札幌市では、総務省のガイドラインに沿って2004（平成16）年にセキュリティ・ポリシーを策定し、全庁レベルでの適用を開始している。総務省のガイドラインは基本方針、対策基準、実施手順の3層構造になっており、札幌市もこれに準拠したセキュリティ・ポリシーを設定している。

札幌市 市民まちづくり局 情報化推進部 IT推進課の河谷 和也氏は、札幌市におけるセキュリティ・ポリシーの適用状況を次のように説明する。

「市には現在180あまりの部があり、部単位でセキュリティ・ポリシーの実施手順が設定されています。さらに、部内にあるシステムにもそれぞれ実施手順が定められています。このレベルまで徹底している自治体は、まだ少ないと思います」

ポリシーに基づいたセキュリティ対策は、技術、人、そして設置状況など物理的要素の3つの側面を組み合わせて統合的に実施する。すべての面でセキュリティを強化することも可能だが、それではユーザーの利便性が損なわれたり、莫大な費用が発生してしまう。コストの最適化とセキュリティ強化という、相反する2つの要求を満たす対策が必要となるのだ。

現在は、システムの統合化を段階的に進めるステップの途上にある。そのため、統合を待ったうえでセキュリティ対策を施すのではなく、重要なものは個別に順次対応していかなければならない。

「従来であれば、必要なセキュリティ対策の雛形だけを作り、それを提示してあとは各部門で対応してもらうという方法をとっていました。しかし、市全体でセキュリティ・ポリシーを適用するには、ガバナンスを効かせる必要があるので、全体の状況を把握しなければなりません。そのため、現在は共通の認証基盤を構築したり、セキュリティ対策の標準化などを率先しておこなっています」（小澤氏）

アプリケーションの変更が不要でパフォーマンス劣化も最小限に抑えるTDE

システムごとのセキュリティ対策は、コスト増につながりやすい。なるべくコストをかけず、かつ迅速に対応する方法として札幌市が採用したのが、Oracle DatabaseのOracle Advanced Security Option（ASO）である。とくに、そのなかのTransparent Data Encryption（TDE）は、既存のアプリケーションに変更を加えることなく重要なデータを暗号化できるうえに、暗号化した列に対して索引を使用することも可能になる。

「データベースの暗号化ソリューションにはさまざまなものがありますが、ほとんどが暗号化によってアプリケーションの変更が必要になります。暗号化を施したためにデータベースへのアクセス部分を全部洗い出し、アプリケーションを書き換え、変更部分のテストを実施するとなると、多大な時間とコストが発生してしまいます。また、暗号化した列に索引を使用できない製品は、パフォーマンス劣化を考慮すると採用することは厳しいと言えます」（小澤氏）

暗号化のためだけにアプリケーションを書き換えるのでは、一からアプリケーションを構築し直すのと同じになってしまい、セキュリティ対策の方法としては致命的だと小澤氏は指摘する。現実的には、TDEのように暗号化しても既存のアプリケーションには何も手を加えなくてよく、索引もそのまま使用できてパフォーマンス劣化を最小限に抑えられるソリューションでなければ採用は難しいという。今回採用した暗号化によるセキュリティ対策は、Windows NT上で稼動していたシステムのWindows Server 2003への更新のタイミングに合わせて導入されている。OSのアップグレードに伴うアプリケーションの改変を含めても、2カ月程度ですべての移行作業が終了した。

「今回、データベースはOracle8からOracle Database 10gにアップグレードしています。上位互換性が確保されていたので、移行にあたってとくに苦労はありませんでした。TDEによる暗号化の作業も迅速に終了しました。きわめて短期間かつ効率的にセキュリティ対策が導入できたといえるでしょう」（河谷氏）

今回の実績をもとに、物理的なアクセス制限の強化が難しいシステムについては、TDEを用いた暗号化を札幌市全体に推奨していくという。

なお、小澤氏も河谷氏も、今回の採用以前にASOに関する知識はほとんどなかったそうだ。そこで、最後にベンダーへの要望として出されたのは、優れたソリューションはもっと積極的に提案してほしいということであった。

本事例の内容および役職は、2007年8月時点のものです。