【自治体DXの壁】
三層分離で実現する認証強化とは? 
 自治体に求められる《運用できる認証》

自治体DXにおける三層分離環境での認証強化をテーマにした解説画像。「庁内・LGWAN・ネット共通認証・運用」「外部デバイス不要」「固定パスワード不要」という、自治体に求められる《運用できる認証》の特徴を紹介。

自治体におけるDX推進が進む中、Microsoft 365をはじめとしたクラウドサービスの活用は、いまや欠かせないものとなっています。
業務の効率化や住民サービスの向上といった面でも、その効果は大きく、多くの自治体で導入が進んでいます。

しかしその一方で、「セキュリティをどう担保するか」という現実に悩む現場も少なくありません。
特に、三層分離マイナンバー利用事務系・LGWAN接続系・インターネット接続系という独自の構造を前提とした自治体環境では、以下のような具体的な課題が顕在化しています。

分断化: 部署やシステムごとに認証方式がバラバラで統一できていない
形骸化: 攻撃の対象となりやすい固定パスワード運用が依然として続いている
運用の壁: 多要素認証(MFA)を導入したくても、職員へのデバイス配布が現実的でない
コストの壁: 認証強化のために、既存のネットワーク構成や大規模なシステム改修を行う予算・手間の余裕がない

このように、「理想的な対策は分かっていても、現場ではうまく回らない」というジレンマを抱える自治体が多い中、地方自治法の改正に伴い、地方公共団体におけるサイバーセキュリティ確保の方針策定、および措置を講じることが定められました。これを受け、総務省ガイドライン(令和8年3月版)に基づく体系的な見直しが、各自治体に求められています。

庁内全体の情報セキュリティ体制の抜本的な見直しが強く求められるなかで、なりすまし対策としての多要素認証(MFA)をはじめとする「認証強化」は、各自治体が最優先で検討すべき重要な対策の1つとなっています。

つまり、現在の自治体は、「国の方針として『認証対策の強化』は急務であるものの、移行コストやシステム接続、日々の運用負荷という具体的な壁に阻まれ、身動きが取れない」という状況にあるのです。

本記事では、この「なぜ認証強化が進まないのか」という部分に焦点を当てながら、自治体でも無理なく運用できる認証の考え方について解説します。

※本コラムは、総務省により公開されている下記資料の情報をもとに作成しています。
【参考資料】

総務省:地方自治法の一部を改正する法律の概要(PDFファイル)
・総務省:
地方公共団体における情報セキュリティポリシーに関するガイドライン(令和 8 年3月版) (PDFファイル)
・デジタル庁:令和7年度 国・地方ネットワークの将来像の実現に向けた検証事業 最終報告書(PDFファイル)

目次

1. 認証強化が進まない理由とは?自治体が抱える環境的要因

自治体におけるDX推進が進む中、セキュリティ対策の1つとして注目されているのが、多要素認証(MFA)です。

総務省の定めるガイドライン(※)においても、不正アクセス対策として多要素認証の導入が推奨されています。
※総務省:地方公共団体における情報セキュリティポリシーに関するガイドライン(令和 8 年3月版) (PDFファイル)

その背景には、従来の「IDと固定パスワードだけ」の管理では、高度化するサイバー攻撃(パスワードの使い回しを狙った不正アクセスやフィッシング詐欺など)を防ぎきれなくなっているという現実があります。

特に自治体では、職員の「記憶(パスワード)」だけに頼るのではなく、ICカードや生体情報といった「所持」や「固有の身体的特徴」など、異なる種類の要素を組み合わせることで、「万が一パスワードが漏えいしても、なりすましによるログインを確実にブロックする」という強固な防御壁(ゼロトラストの起点)が必要不可欠になっているのです。

しかし、自治体では、その多要素認証の導入を難しくする下記のような特有の環境要因が存在します。

【自治体における現状】

  • 数千〜数万規模の職員にデバイス(ICカードやトークンなど)を配布する必要がある
  • 臨時職員・非常勤職員など流動的なアカウントが多い
  • トークンの配布・回収・再発行の運用負荷が膨大
  • 紛失・故障対応がセキュリティ部門の負担になる
  • 「三層分離」構造により、認証方式やセキュリティレベルが分断されている

このような環境では、多要素認証を導入しても一部の部署やユーザーに限定されてしまったり、例外運用が増加することで、結果的にセキュリティが形骸化してしまうケースも少なくありません。

デジタル庁が発表した「国・地方ネットワークの将来像の実現に向けた検証事業 最終報告書(※)」における北九州市の実証実験でも、総評として、セキュリティを高く保ったまま職員がどこからでも柔軟に働ける環境(1人1台PCの効率化やテレワーク)の有効性が確認された一方で、いざ全庁へ導入・移行するとなると「二要素認証のための業務用スマートフォンの導入などによる必要経費の増加」や「自治体ごとの運用負荷の差」が大きな懸念点として挙げられています。

※デジタル庁:令和7年度 国・地方ネットワークの将来像の実現に向けた検証事業 最終報告書(PDFファイル)

2.「三層分離」の現状と最新動向:α・β・β´モデルから「二層化」への潮流

三層分離とは、自治体の情報資産を守るために、ネットワークを役割ごとに分離するセキュリティ対策のことを指します。

具体的には、「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3つにネットワークを分け、それぞれの役割に応じてアクセス制御やセキュリティレベルを変える構成が採られています。

システムや権限を分離・独立させることで、万が一どこかでインシデントが発生しても、被害を最小限に抑えられるという大きなメリットがあります。

しかしその一方で、この構造はネットワークだけでなく、認証方式や運用も分断されやすいという側面を持っています。

結果として、「管理の分散」「ポリシーの不統一」「セキュリティレベルのばらつき」といった新たな課題を生みやすく、安全性を高めるための仕組みが、かえって運用を複雑にしているのが現状です。

三層分離の主なモデルとこれからの方向性

こうした運用の複雑さを解消し、自治体のDX推進や働き方改革(テレワークなど)を両立させるため、現在は単にネットワークを分けるだけでなく、以下のような複数の「モデル(構成パターン)」への移行や集約が各自治体で進んでいます。

α(アルファ)モデル 【従来型】

従来の基本構成で、現在も過半数の自治体で利用されています。校務・事務処理(LGWAN系)をインターネットから完全に分離し、手元の端末も固定する仕組みです。安全性は高いものの、クラウドの活用やテレワークといった柔軟な働き方が難しいという限界がありました。

β(ベータ)モデル / β´(ベータダッシュ)モデル 【効率化・クラウドシフト型】

多くの自治体で移行が進んでいる構成です。業務端末をインターネット接続系に配置し、画面転送等を用いてLGWAN環境を利用するのが「βモデル」です。さらに踏み込んで、主要な業務システム自体をクラウド(インターネット系)へ移行させ、端末から直接アクセスできるようにしたのが「β´モデル」です。これにより、Microsoft 365などのクラウド活用や、場所を選ばない働き方が一気に現実化します。

二層分離モデル(三層から二層への集約) 【次世代型への展望】

実証実験によりその有効性が示された、これからの構成です。デジタル庁の「国・地方ネットワークの将来像の実現に向けた検証事業」などを通じて、従来の三層の枠組みを、セキュリティを担保した「共通系ネットワーク」へと統合・集約(二層化)する案の実証が行われ、現在は各地方公共団体における具体的な移行・実装に向けた検討段階を迎えています。

デジタル庁の最終報告書(※)でも、この新たなネットワーク構造(二層分離モデル)を採用した検証事業では、「高いセキュリティを維持したまま、職員がどこからでも柔軟に働ける環境(1人1台PCの効率化やテレワーク)」の有効性が確認されています。

※デジタル庁:令和7年度 国・地方ネットワークの将来像の実現に向けた検証事業 最終報告書(PDFファイル)

変化に伴う新たな「認証」の課題

従来の固定された「αモデル」から、クラウドを活用する「βモデル/β´モデル」、そして統合を進める「二層モデル」へと環境が進化するにつれ、セキュリティの境界線は、「ネットワーク」から「誰がアクセスしているか(認証)」へとシフトしています。

ネットワークの縛りが緩やかになり、1台のPCでさまざまなシステム(各層のシステムやクラウド)にアクセスできるようになるからこそ、その入り口となる認証が突破されてしまえば、すべての情報資産が危険にさらされることになります。

したがって、これからの自治体DXにおける重要な視点は、現在の三層分離(α・β・β´)の運用コストを下げつつ、将来的な二層モデルへの移行時にも、限られた予算の中でシステムを買い直すことなく、限られた予算の中で安全な環境を継続して利用できる投資の継続性と、「職員全員に無理なく適用され、継続的に運用できる操作性」を両立した、手元からクラウドまでを一貫して強固に守るデバイスレスな共通認証基盤の構築にあるといえます。

3. PassLogicによるアプローチ:三層分離を前提とした「統一認証基盤」

PassLogicは、三層分離環境における認証の分断を解消し、端末認証からクラウド認証までを単一の基盤で統合することが可能です。

さらに、既存の端末やネットワーク構成を大きく変更することなく導入できるため、追加のハードウェア投資コストや運用コストを抑えながら、段階的な認証強化を実現できます。

PassLogicの特長

特長1:三層分離全体をカバーする統一認証基盤

従来の自治体環境では、三層分離の構造によって、ネットワークやシステムごとに認証方式が分断されており、管理の複雑化やセキュリティレベルのばらつきが課題となっていました。

PassLogicでは、Windows端末認証をはじめ、VDI環境やMicrosoft 365などのクラウドサービスにいたるまで、全層一貫した「脱・固定パスワード」運用を実現可能です。三層のネットワークは分離された安全な状態のまま、認証基盤のみを統一することで、認証ポリシーの平準化と管理コストの削減を両立します。

【構成パターンの例】

選択できる構成パターン具体的な仕組み(構成例)導入するメリット
【① 端末特化型】
手元のセキュリティを最優先
各セグメントのWindows端末に専用モジュールを配布し、サインイン時にPassLogic認証を適用。オフラインでも利用可能。端末の紛失・盗難や離席時のなりすましをブロック。手軽に「脱・固定パスワード」を始められます。
【② クラウド連携型】
M365利用の安全性を確保
インターネット接続系において、PassLogicとMicrosoft 365を連携。クラウドへの不正アクセスを水際で防御。職員は1度のログインでM365や各種Webシステムへ繋がります(SSO)。
【③ 全層一気通貫型】
★おすすめの推奨構成
パターン①(端末特化型)とパターン②(クラウド連携型)を併用し、業務の入り口から出口までを一元化。職員が朝一番のWindowsサインインでPassLogic認証を用いることで、各層のVDIやM365まで追加デバイスなしで安全にSSOが可能になり、運用負荷が下がります。

特長2:デバイスレスで実現する認証強化

自治体において最大の障壁は、数千〜数万規模の職員へのデバイス配布であるといえます。

PassLogicは、スマートフォンやトークンを必要とせず、ブラウザのみで認証が完結するため、「デバイスを配れないから導入できない」「配布や紛失時のリスク管理が大変だから導入できない」「職員の個人端末を使用させたくない」といった制約を解消します。

また、複雑なパスワード管理やスマートフォン操作も不要で、PC1台で完結するスムーズな認証を実現します。

特長3:WindowsOS端末の認証強化

自治体の認証対策では、クラウドだけでなく、業務の起点となるWindows端末のログオン時点での認証強化が重要です。
しかし実際には、デバイス配布の難しさから、端末ログオンは依然として固定パスワードに依存しているケースも少なくありません。

PassLogicでは、専用モジュールによりWindows端末のサインイン時にマトリックス方式を適用し、追加のデバイスなしで、固定パスワードに依存しない認証を実現します。

また、手元の端末ログオンからクラウドへのアクセスにいたるまで、一貫して保護することが可能になるため、なりすましや端末紛失時の不正利用リスクを低減し、自治体の実運用に即した「隙のないセキュリティ」を実現します。

特長4:「固定パスワード前提」からの脱却

PassLogicでは、毎回異なる情報を用いるワンタイム認証により、固定パスワードの使い回しを防ぎ、仮に情報が漏えいした場合でも再利用を不可能にします。

これにより、攻撃の標的となりやすい固定パスワードそのものを排除し、攻撃を成立させにくい設計を実現します。

4. まとめ

自治体におけるDX推進が進み、Microsoft 365をはじめとしたクラウドサービスの活用は不可欠なものとなっています。

それに伴い、セキュリティ対策として認証強化の重要性も高まっていますが、「教職員や職員への認証用スマートフォンの貸与コスト」や「学校現場や窓口への端末・デバイス持ち込み制限」などといった事情から、その導入が進みにくいという現状があります。

こうした課題を解決するうえで必要なのは、無理なく現場全体に適用でき、継続的に運用できる認証の仕組みです。

「必要なのは分かっているけれど、なかなか踏み出せない——」

そうして現在の脆弱な固定パスワードのまま運用が放置された結果、不正なアクセスを許し、ある日突然、大切な住民情報や業務基盤を深刻なリスクにさらしてしまう――

この「固定パスワード運用の放置」こそが、最も恐ろしいセキュリティリスクであると言えます。

PassLogicは、認証用の外部機器不要で認証強化が可能であり、現場の課題に応える現実的な選択肢として「全員に適用できるセキュリティ」の実現を支援します。

本記事が、大切な情報を守るためのセキュリティの見直しや、実現に向けたヒントとなれば幸いです。

最後までお読みいただき、ありがとうございました。

この記事を書いた人:
パスロジ株式会社 マーケティングチーム
〒101-0051 東京都千代田区神田神保町1-6-1 タキイ東京ビル7F
お問い合わせ https://passlogic.jp/inquiry/

目次