画面転送

なぜ自治体は職員の端末にデータを残さない仕組みをわざわざ入れるのか。三層の対策でネットワークを分離しても、インターネット接続系の端末からLGWAN接続系の情報を見たい、あるいは自宅のテレワーク端末から基幹業務を扱いたいという要請は消えない。そのまま端末へデータをコピーすれば分離した意味が失われるため、画面の映像だけを転送し、文書や住民情報の実体は安全な側のサーバに留める。端末側にはキー入力やマウス操作だけが渡り、業務システムの本体は別の系統で動く。端末が紛失・盗難に遭っても中にデータが無いため漏えいを防げる一方、画面を逐次転送する分だけ操作の反応が遅く、動画や大量のウェブ業務では使い勝手を損ねやすい。総務省の三層分離やβモデル、BYODの運用で、無害化と並ぶ層をまたぐ安全策として位置づけられる。

三層の対策における役割

画面転送は、無害化と並んで「分離したネットワークの間で安全に情報を扱う」ための代表的な手段である。総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」が示す三層の構えでは、マイナンバー利用事務系・LGWAN接続系・インターネット接続系を分離するが、業務上は層をまたいで情報を参照する必要が残る。無害化が「ファイルを安全な形に変換して取り込む」のに対し、画面転送は「データを移さず画面の映像だけを見せる」点が異なる。たとえばLGWAN接続系に端末を置くαモデルではインターネット側の情報を画面転送で参照し、業務端末をインターネット接続系に置くβモデルでは逆にLGWAN接続系の情報を画面転送で参照する。どちらに端末を置くかで転送の向きが変わるだけで、実体のデータを安全な側に留める考え方は共通する。

テレワーク・BYODでの活用と限界

端末にデータを残さない性質は、テレワークや私物端末の業務利用（BYOD）と相性がよい。職員の自宅端末や私物端末からは画面の映像だけが見え、住民情報や文書の実体は庁内のサーバに留まるため、端末の紛失・盗難による漏えい経路を断てる。総務省ガイドラインもLGWAN系端末のテレワーク活用の選択肢として仮想デスクトップ（VDI）方式を挙げている。一方で限界もある。画面を常時転送するためネットワークの帯域を多く使い、回線が細いと操作が遅延する。動画再生や地図・図面のような描画の重い業務には向かず、通信が途切れると操作できない。導入時はサーバの処理能力と回線帯域を見積もり、対象業務を画面転送に適したものへ絞り込む設計が要る。