この２つが選定のポイントとなりました。

--　まずポイント１の「操作性の容易さ」について具体的にお伺いしたく思います。

操作性の容易さが重要になるというのは、自治体ならではの事情によるものです。

--　と言いますと？

自治体の場合、一般企業に比べて、異動が頻繁です。ですからセキュリティシステムにおいては、誰が担当になっても均質のセキュリティ強度が保てるよう、操作性が容易である必要があります。操作があまりにも難解な場合、PCに詳しい職員にしか管理・設定が出来なくなってしまい、よろしくありません。

--　WebALARMの操作性はいかがでしたか？

例えばスケジューラの設定一つとっても、Windowsのスケジューラなら大体こんな使い勝手であろうという、その想像通りの一般的な操作画面でした。その他の設定画面も非常にシンプルな印象があります。

--　ところで、WebALARM開発コンセプトの一つに「ワンクリックコンセプト」というものがあります。

どういうコンセプトですか？

--　セキュリティシステムは、設定が簡単でなければならない。すべての操作は、メインメニューからワンクリックで完結しなければならないというコンセプトです。

そんなコンセプトがあったとは知りませんでした。ですが確かに全体的に、操作が簡単な作りになっているとは思います。

--　続いて、第二の選定のポイント「値段が相対的に手ごろであった」という点についてお伺いしたいと思います。値段が安いのは良いけれど、中身も安物だったらどうしようという不安はありませんでしたか？

それは、正直ありました。セキュリティシステムの場合、運用性と安全性の両方が重要であり、どちらも妥協できません。いくら値段が安価で操作が簡単なシステムであっても、肝心の改ざん防止機能が貧弱であったのでは、貴重な予算、つまり税金を投じる意味がありません。

--　どうやって性能を確認したのでしょうか？

WebALARMの場合、多くの実績もあるとのことで、基本的には信頼していました。しかし念には念をということで、NSDの方にプレゼンをしていただくことにしました。プレゼンは、都合２回ほど実施していただきました。１回目は本庁の情報政策課の皆様も同席していただき、WebALARMの内容や操作方法についてのデモと概説をいただきました。２回目のプレゼンでは、実際の運用に照らし合わたシミュレーション要素の濃いプレゼンをいただきました。

--　プレゼンテーションの印象はいかがでしたか？

非常に説得力ある、的確な内容のプレゼンでした。プレゼンターの方も、技術的に深い内容を、はっきりした口調で語っており、自信や経験が伺えました。この２回のプレゼンを通じて、WebALARMの信頼性について確信を持つことができ、ついに決定に至ったのです。

--　現在はどのように運用しているのでしょうか？

WebALARM導入後のホームページ更新は、午前・午後の１回づつWebALARM エージェントが一時停止するよう、スケジューラ設定しています。Webコンテンツの更新は、この「スキマ時間」を活用して行っています。この運用は例えで言うと、普段は締め切っている城塞都市の門を、１日２回だけ開放し、その間に住民を出入りさせるような、そういうイメージです。

--　緊急にコンテンツをアップしなければならない時はどうするのでしょうか？

その場合は、手動でWebALARMを外して、それからコンテンツをアップし、またWebALARMをオンにします。先ほどの城塞都市の例えで言うと、緊急の場合には、普段、締め切っている門を開けて、出入りさせるような、そういうイメージです。

--　緊急時に、手動解除できるということはやはり重要なのでしょうか？

自治体Webにとっては、大変重要ですね。というのも、災害発生時の緊急情報掲載や、選挙開票速報の掲載の時などは、迅速なコンテンツ更新が要求されるからです。

--　なるほど

--　万が一改ざんが発生した時は、どういうアクションが起こるような設定になっているのですか？

WebALARMによりバックアップファイルが素早く上書きされるようにしています。そして、それと同時に、担当職員の携帯電話に速報メールが飛ぶようにしています。

--　第一報は携帯メール、というわけですね。

通常のPCにもメールが行くようにはしてありますが、やはり速報にふさわしいのは携帯電話です。「携帯」と言うぐらいですから、常に身につけている可能性が高いからです。

--　WebALARMの通知機能を、コンテンツ管理にも転用していると聞き及びました。

はい、しています。通常の更新において、所定のファイルが新規コピーされたり、上書き更新されたりするわけですが、それらファイルの一覧をWebALARMの通知機能を使って、WEB管理の担当職員のPCにメールで飛ばすようにしています。管理者は、そのメールを見て、自分が更新したファイルが正しく更新されているかどうか目視確認するのです。

--　さっきのお話ですと、Web更新には、現在コンテンツ・マネジメント・システムを使っているとのことでした。でしたらそういう確認機能は、そちらのシステムにも備わっているので、そちらを使えば良いような気もするのですが・・・・

確かに備わっております。しかしCMSの更新ファイル確認というのは、結局CMSサーバーの中の内部処理上での確認であり、ややバーチャルなのです。本当にWebサーバにファイルがコピーされたかどうかというのは、やはり、Webサーバに常駐しているWebALARMに聞いた方がリアルで確実なのです。

--　なるほど

--　今後、WebALARMに期待する点はありますか？

WebALARMの場合、名前は"Web"Alarmですが、その本質は、「静的ファイルの書き換えを見張る」という物なので、用途はWeb以外にも拡張できるように思います。例えば病院のカルテの改ざん防止などに使えるかもしれません。電子データというのは、悪意がなかったとしても、うっかり書き換えられてしまうかもしれないので、やはりチェック機能は必要だと思います。

--　なるほど

その他、私たちセンターでは、市民向けプロバイダ事業も行っておりますが、こちらのセキュリティ強化にも何か転用できると良い様に思います。プロバイダシステムというのは、「不特定多数の正規使用者」が出入りするという特殊な環境です。これが組織内使用であれば、正規使用者は必ず特定少数なのですが、プロバイダの場合、不特定多数であり、これがなかなか運用で思い悩む点です。

--　あるお客様の例ですが、ファイアウオールを始めとする、セキュリティ製品の設定変更防止に、WebALARMを使っていました。セキュリティ製品の設定というものは、みだりに変更されるべきものではありません。そしてその設定情報は、究極のところ、「ファイル」という形で保存されています。ということは、その静的ファイルの改ざんを見張るというWebALARMの機能が転用できるわけです。

その場合、正規の設定変更はどうやって行うのですか？

--　そちらの緊急ファイルアップ時の運用と同じで、一時的にWebALARMをオフにして、それから行います。こう聞くと、少々面倒なようですが、セキュリティ製品の設定変更など、１年に何回も行うことではありません。そのお客様にしてみれば、「貴重品入れの鍵の開け閉め」といった感覚だそうです。

なるほど、そう考えると、納得が行きますね。さて、話が少々それましたが、改めて総論を申し上げますと、WebALARMについては、導入以来、なんら問題なく運用できており、価格と対比しても、相当に費用対効果の高い体制が実現できています。NSDには、今後も、素晴らしい製品とサービスを継続していただけるよう期待いたします。

--　今日は貴重なお話を有難うございました。