埼玉県がOktaを活用して職員約12,000人の行政事務のデジタル化を推進

埼玉県は関東平野の中心部、東京都の北側に位置します。「一都三県」の一角として首都圏を構成しており、都道府県別人口では全国5位となる一方、県人口は減少に転じ、全国で最も早いスピードで後期高齢者の増加が見込まれます。そこで、新しい働き方や暮らし方の定着・加速に向けた取組を進めるとともに、行政や民間のデジタル化を前提とした社会全体のDXの実現を目指しています。

そんな埼玉県では2021年3月に「埼玉県デジタルトランスフォーメーション推進計画」（DX推進計画）を策定し、「社会全体のデジタルトランスフォーメーションの実現による、快適で豊かな真に暮らしやすい新しい埼玉県への変革」をビジョンに掲げました。2022年1月には、そのDX推進計画のビジョンをさらに細分化した「DXビジョン・ロードマップ」も公表し、分野ごとに分類されたビジョン実現のための工程やKPIを明確にして、本格的に埼玉県のデジタルトラスフォーメーションに取り組まれています。

その「DXビジョン・ロードマップ」で分類されたビジョンの一つである「行政事務ビジョン」では、「紙文化の行政事務から脱却し、新しい次世代のワークスタイルを実現するとともに、デジタル化による業務の最適化を図った県有施設を目指すことで、県民・事業者に対してハイクオリティな行政サービスが実現できる埼玉県への変革を図る」ことを目指し、完全な業務のデジタル化による行政サービスの実現に取り組んでいます。その一貫として、「業務のデジタル化・ペーパーレス化」と「テレワーク環境の充実」を実現する基盤の整備を進めるため、各種クラウドサービス（SaaS）の導入と、それらクラウドサービス利用の認証基盤となるIDaaS導入を必須要件とする総合評価方式による一般競争入札が2021年6月に行われました。

IDaaSが必須要件となった理由

一般競争入札の結果、約12,000人の県庁職員を対象に、ペーパーレス化に向けて活用するファイル管理システム（クラウドストレージ）としてBox、ペーパーレス支援ソフトウェアとしてDocuWorks、テレワーク等におけるコミュニケーションツールとしてZoomが導入されたほか、認証基盤のIDaaSとしてOkta Identity Cloudが導入されました。導入作業は7～10月の4ヶ月で行なわれ、11月中旬には全庁規模でサービスインとなりました。この期間で導入が完了したのは、オンプレミス型のシステムに対するクラウドサービスのアドバンテージの1つだと言えます。

今回の入札でIDaaSが必須要件となった理由は、DX推進を見据えてオンプレミスシステムからクラウドへの移行を進め、主要なサービスはクラウドサービスを活用していく方針としていたことが背景にあります。今後のDX推進の先駆けとしてBoxやZoomが導入されましたが、今後さらにクラウドサービスが追加されていくことも念頭に置いて、シングルサインオンと多要素認証が実現できる認証基盤をOkta Identity Cloudを用いて整備しました。埼玉県の企画財政部 行政・デジタル改革課に所属する上田 真臣さんは、「ここまで大規模にクラウドにシフトするのはわれわれとしても初めての経験です。そこで、様々なクラウドサービス利用におけるセキュリティも担保する必要があることからOktaを認証基盤として導入しました」と話します。

業務システムをオンプレミス型からクラウドに移行することには、さまざまなメリットがあります。具体的には、クラウドサービスのメリットである、速いペースで進化が続き、ユーザー側は常に最新の機能・サービスを享受できるという面に加え、運用管理はサービス提供者が行なうため管理の負担が少ないことも重要でした。

上田さんは、「オンプレミス型でやっていくと、どうしても自前で管理しなくてはいけないことになります。クラウド型では、安定運用、スケールアップ、アップデート、災害対応、可用性といった面でのメリットも期待できるので、国の方針でも示されているとおり、基本的にはクラウドを前提にシフトしていくべきだと考えて取り組みました。既存の業務システム等では、現状は庁内のActive Directoryでユーザーを管理していますが、こうしたシステムも今後クラウド移行していくことも考えられるので、そのための試行的な位置づけでもあります」と言います。

Oktaを活用したクラウドサービスへの柔軟なアクセス方式を構築

今回のシステムでは、新たに導入されたBoxやZoomに対してユーザーの利便性向上の観点からOktaのSingle Sign-Onが提供されています。「業務端末であるWindows PCへのログインIDとパスワードを使って認証を行ない、そのままBoxやZoomが利用できるようにしています」（上田さん）。ただし、業務上重要なファイルが保存される可能性があるBoxとテレワーク等におけるコミュニケーション手段となるZoomとでは、期待されるセキュリティレベルが異なるため、その差をOkta側で吸収できるような構成となっています。Zoomに関してはテレワーク時にユーザーが個人所有のPCやスマートフォンからアクセスして利用することが可能なため、インターネット上で直接サービスへのログインを行ないます。このログインをOktaで実行しますが、アカウント情報の漏えいによるなりすましのリスクにも配慮してOktaのAdaptive MFAを導入しています。

一方、Boxに関しては情報保護の観点から庁内LANからのアクセスのみに制限されており、インターネット側からのアクセスは禁止されています。テレワークユーザーはリモートアクセスツールを使って庁内LANに接続された業務用端末に接続または専用の閉域網を利用し、業務用端末からBoxを利用する形になっています。業務用端末に接続する段階で一度セキュリティチェックが行なわれているため、Boxへのログインの際には多要素認証なしでそのまま接続できます。

今後さらに複数のクラウドサービスが併用されるようになっていく可能性がありますが、その際にも現状の構成をベースにOktaとクラウドサービスを接続することでセキュリティポリシーに応じた柔軟な接続を提供でき、シングルサインオンによる利便性も享受できるような基盤として整備したものです。「Oktaは様々なクラウドサービスやオンプレミス型のシステムとも連携しやすいので、今後必要となるサービスを組み合わせて柔軟なシステムを構築していきたい」と上田さんは話します。

既存のオンプレミスのユーザー情報ソースとの接続をOktaで実現

埼玉県における本格的なクラウドシフトは今回から開始された形のため、各種業務システムは基本的にオンプレミス型での運用になっています。そのため、特に認証基盤となるOktaでは、既存システムとの連携が重要です。従来システムでは、ユーザー情報をCSVファイルやActive Directory、LDAPサーバなど、複数のソースで管理していたため、認証基盤にはこうした情報ソースと連携でき、運用負荷を高めることなく活用できることが求められました。これらの情報ソースとの接続を可能にするのがOktaのUniversal Directoryです。上田さんは「情報ソースとして1つだけと接続するのでは足りず、さまざまなソースから情報を集めてくる必要がありました。本来であればシステム的に統合し、情報を一元化する必要もあると思いますが、現状はまだ過渡期ということでこうした対応が必要になっています。こうした様々な情報ソースとの接続がOktaによって実現できました。」と語ります。

埼玉県のDX推進は、ビジョンに沿って今後何年も掛けて継続的に取り組まれる中長期的な取り組みとなります。庁内LANや業務システムに関しても数年後に更新時期を迎えるとのことで、今回整備されたクラウド基盤をさらに活用し、発展させていくための検討が始まっているとのことです。認証基盤に関しては、今回BoxやZoomが導入されたことで外部ともコラボレーションしやすい環境が出来上がりましたが、現状ではそうした使い方に対応した制度が整備されていないことから、セキュリティポリシーの見直しなど、さまざまな検討を進めていく必要があります。現状は多要素認証などを併用しつつ、基本的には境界防御のアーキテクチャに基づいたセキュリティモデルが採用されていますが、今後はゼロトラストアーキテクチャへのシフトも検討されているそうです。

県民や事業者、そして行政の全てをカバーするDXの実現に向けて大きく踏み出した埼玉県ですが、まずはクラウドシフトのための土台となる庁内の基盤システムの整備が始まったところです。堅固でありながら柔軟性も高い基盤の上に、今後先進的なソリューションが次々と実装され、大きな成果を達成していくことが期待されます。