LGWANローカルブレイクアウトとは
LGWANローカルブレイクアウト(Local Breakout/LBO)は、自治体のインターネット系通信のうち特定SaaS/クラウドサービス向けトラフィックを、各拠点(庁舎・出先機関)から直接インターネットへ抜くネットワーク方式です。従来の自治体ネットワークでは、すべての通信を都道府県単位の自治体情報セキュリティクラウド(自治体セキュリティクラウド/SOC)に集約してインターネットへ出していましたが、これがM365などのクラウド利用拡大でボトルネックとなっていました。
LGWANや三層分離全体の仕組みは LGWANとは|総合行政ネットワークの仕組み・三層分離・GSS/ガバメントクラウド接続 をご覧ください。
必要になった背景
- M365/Teamsの帯域逼迫:ビデオ会議・大容量ファイル同期がセキュリティクラウド経由で集約され、帯域・遅延の課題が顕在化
- 都道府県SOC集約方式の限界:単一経路に集まる構造で、拠点数・利用者数の増大に伴いSOCの処理能力が頭打ち
- クラウド優先方針:政府の「クラウド・バイ・デフォルト」原則、自治体のSaaS利用拡大
- テレワーク・モバイル業務:庁外からの安全なクラウド接続ニーズ
- βモデル/β'モデル化の進展:主たる業務環境がインターネット接続系に移行する流れ
- ゼロトラスト化:境界型から、ID・端末・アクセス制御を軸とした多層防御への転換
総務省・地方公共団体の方針
総務省は「自治体情報セキュリティ対策の見直し」のなかで、αモデルからβモデル/β'モデルへの段階的な移行を推奨しており、その過程でクラウドサービスへのローカルブレイクアウトが現実的な選択肢として位置づけられています。各自治体は、SOC事業者・LGWAN-ASP事業者・回線事業者と連携しながら、対象SaaSと監視・統制の整理を進める段階に入っています。
アーキテクチャの全体像
LGWAN-LBOは単独の製品ではなく、SASE(Secure Access Service Edge) の考え方に沿った複数コンポーネントの組み合わせで実現します。
| コンポーネント | 役割 | 代表的な機能 |
|---|---|---|
| SD-WAN | 拠点ルーティングの動的制御 | アプリ識別、経路選択、QoS、複数回線冗長 |
| SWG(Secure Web Gateway) | Webアクセス監視・制御 | URLフィルタ、マルウェアスキャン、SSL/TLS復号 |
| CASB(Cloud Access Security Broker) | SaaS可視化・統制 | シャドーIT検出、テナント制限、データ保護 |
| ZTNA | ID/デバイス検証付きアクセス制御 | 条件付きアクセス、最小権限、脱VPN |
| EDR/MDM | 端末セキュリティ | Defender for Endpoint、Intune等 |
| DNSセキュリティ | 名前解決時の脅威遮断 | DNSフィルタリング、DoH/DoT |
| ログ集約/SOC連携 | LBO通信の可視化と監視 | SIEM/自治体SOC連携、SOC2エビデンス |
ローカルブレイクアウト対象SaaSの選定
すべての通信をローカル抜きにするのではなく、帯域消費が大きく、信頼性の高いSaaSに限定するのが原則です。
| 分類 | 代表サービス | LBO適性 |
|---|---|---|
| 業務生産性 | Microsoft 365(Exchange Online、SharePoint、Teams、OneDrive) | ◎ 帯域・遅延影響大 |
| 会議・コラボ | Zoom、Webex、Google Meet | ◎ ビデオ通信が主 |
| OS/パッチ配信 | Windows Update、Intune、各種パッチ配信 | ◯ 大容量・定期 |
| セキュリティ | Defender更新、EDRクラウド連携 | ◯ リアルタイム要件 |
| 業務SaaS | kintone、Salesforce、Boxなど | △ 個別評価 |
| 不特定Webアクセス | 一般インターネット閲覧、未承認SaaS | × 引き続きSOC経由 |
Microsoft が公開する 「Microsoft 365 IPアドレス・URL一覧」 等の許可リストを参照し、対象FQDN/IPレンジをSD-WANで識別して抜き出すのが標準的な手法です。
α・β・β'モデルとの関係
| モデル | 主たる業務環境 | LBOの位置づけ |
|---|---|---|
| αモデル | LGWAN接続系 | インターネット接続系のみで限定的にLBO適用 |
| βモデル | LGWAN接続系(インターネット系強化) | 画面転送等で利用するクラウドサービス向けにLBOを設計 |
| β'モデル | インターネット接続系 | 主業務がクラウド前提のため、LBOがネットワーク設計の中核 |
β'モデル化を進めるほど、LBO・SASE・ゼロトラストの一体設計が必要になります。
セキュリティ要件と統制
「LGWAN/セキュリティクラウド経由」という境界防御がなくなる代わりに、分散ポイントでの多層防御を確立する必要があります。
- ID統制:Entra IDなどによる多要素認証、条件付きアクセス、リスクベース認証
- 端末統制:MDM/EDR/ディスク暗号化を全端末に展開し、健全性検証
- 通信統制:SWG/CASBでURL/SaaSテナント/データクラスを制御
- ログと監視:LBOで抜けるトラフィックをすべて自治体SOC等に集約監視
- SaaSテナント制御:「自治体テナントのみ許可」「個人テナント禁止」をCASB/Entra ID Tenant Restrictionsで強制
- データ漏洩防止:DLPポリシー、Sensitivityラベル、外部共有制限
- パッチ・脆弱性管理:拠点ルータ/SD-WANゲートウェイの脆弱性を継続管理
- 個人情報・特定個人情報の取扱い:マイナンバー利用事務系・LGWAN接続系との分離は維持
代表的な構成例
シンプル構成(小規模自治体)
- 各拠点にSD-WANルータ+ローカルファイアウォールを設置
- M365向けトラフィックをアプリ識別でLBO、それ以外は従来どおり都道府県SOC経由
- EDR/MDMを全端末に展開し、Entra ID 条件付きアクセスで多要素認証を必須化
SASE型構成(中〜大規模自治体)
- クラウド型SASE(Zscaler、Netskope、Cisco Umbrella、Cloudflare Oneなど)を導入
- SWG/CASB/ZTNA/DNSセキュリティをサービスとして集約
- SD-WAN ⇄ SASEクラウドへの分散接続で、各拠点から最寄りPoPへ
- SOC・SIEMでLBO通信ログを一元監視
ハイブリッド構成(既存セキュリティクラウド併用)
- 都道府県セキュリティクラウドは継続利用しつつ、M365/Teams/Zoom等の限定LBOを実装
- 段階的にβ'モデル化を進める想定で、SOC事業者と連携しながら拡張
移行ステップ
- 方針合意:CISO・情報システム主管課・都道府県SOC事業者と方針合意(αからβへの移行計画とセット)
- 対象サービス選定:M365、ビデオ会議、パッチ配信などをスコープ化
- 許可リスト整理:Microsoft 365 URL/IP、Zoom URL/IP等の最新情報を収集
- セキュリティ要件設計:ID/端末/通信/ログ/SaaS統制を整理し、現状とのギャップを把握
- SD-WAN/SASE設計と検証:本社・主要拠点でPoCを実施し、回線品質・利用者体感・監視運用を検証
- 監視・運用体制の整備:自治体SOC、ヘルプデスク、インシデント対応フローを更新
- 段階展開:パイロット拠点 → 主要拠点 → 全拠点で順次展開
- 定期レビュー:トラフィック変化・新規SaaS・脅威動向を反映してLBO対象とポリシーを継続更新
運用上のポイント
- 許可リストの追従:MicrosoftやZoom側のURL/IP変更に追従できる仕組みを用意(自動更新、APIフィード)
- 回線冗長化:LBO先のインターネット回線を二重化し、片系故障でもサービス継続
- SaaS障害対応:M365障害時の縮退運用(メール代替、連絡経路)の手順整備
- キャパシティ管理:拠点回線の利用率モニタリング、ピーク対応
- 変更管理:LBOポリシーの変更は全庁影響大。承認フロー・テスト手順を定めること
- 定期監査:内部監査・外部監査を活用してID・端末・通信・ログの統制状況を点検
IT事業者への影響
- SASE/SD-WAN/ゼロトラスト案件の拡大:自治体向け統合ネットワーク提案が増加
- SOC・MSS需要:LBO通信ログ集約・24時間監視・SOAR連携の運用受託
- M365最適化支援:Microsoft 365 Network Connectivity Principlesに沿った設計支援
- 標準化/ガバクラとの一体提案:自治体システム標準化・ガバメントクラウド・GSS連携を前提とした統合提案能力が問われる
- クラウドセキュリティ人材:Entra ID/Intune/Defender/CASBに明るい技術者の確保
まとめ
LGWANローカルブレイクアウトは、自治体のクラウド利用拡大に伴うネットワーク課題への現実解であり、SD-WAN/SASE/ZTNA/CASBといったゼロトラスト系コンポーネントを組み合わせて実現します。αモデルからβ・β'モデルへの段階移行と一体で設計することで、住民サービス・職員業務・セキュリティの三方を満たすネットワークを構築できます。許可リスト追従、SOC連携、変更管理など運用面の継続努力が、長期的な成功を左右します。