地方公共団体における基本的なサイバーセキュリティ対策

地方公共団体において求められるサイバーセキュリティ対策の基本的な考え方を解説し、参考となるガイドラインを紹介します。

要点

• 地方公共団体に求められるサイバーセキュリティ対策の基本及び参照すべきガイドラインについて解説します。

1. 地方公共団体におけるサイバーセキュリティの重要性

地方公共団体におけるサイバーセキュリティ対策は、住民の個人情報を保護し、行政サービスを継続的に提供するために非常に重要です。

地方公共団体は、住民の個人情報、公共サービスに関する情報、行政の内部情報など、非常に多くの機密情報を取り扱っています。特に個人情報には、主に個人を特定できる氏名、住所、生年月日などの記述の他、個人識別符号が含まれる情報があります。具体的には、住民票、戸籍謄本、税金関係書類、各種申請書などに記載される情報が該当し、一般の事業者では取り扱わない非常に機密性の高い情報が含まれます。

これらの情報が攻撃者によって不正にアクセスされたり、改ざんされたりすると、住民の信頼を失い、行政機能がまひする可能性があります。サイバー攻撃は年々巧妙化しており、ランサムウェア、フィッシング攻撃、DDoS攻撃などさまざまな手法が用いられています。そのため、地方公共団体は強固なサイバーセキュリティ対策を講じる必要があります。

2. 情報セキュリティポリシーの策定

地方公共団体がサイバーセキュリティ対策を強化するためには、まず全体的な方針を定めることが重要です。情報セキュリティポリシーは、情報資産を脅威から守るための方針や行動指針を明文化した文書です。ポリシーは組織全体を対象とするものであり、職員全員がその内容を理解し順守することが求められます。ポリシーには、一般的に次の内容が含まれます。

① セキュリティの目標設定：目指すべきセキュリティ水準を明確にし、達成のための方針を定める。
② リスク管理：サイバーリスクの評価とその軽減策の実施方法を決定する。
③ 役割分担：サイバーセキュリティ担当者やチームを設置し、それぞれの役割と責任を明確にする。
④ 監査と評価：サイバーセキュリティ対策が実施されているか定期的に監査し、その効果を評価する。

地方自治体における情報セキュリティポリシー策定のためのガイドラインとして、総務省より「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和 7年3月版)」が公表されています。また情報セキュリティ監査のためのガイドラインとして、「地方公共団体における情報セキュリティ監査に関するガイドライン(令和7年3月改定)」が公表されています。

既に多くの地方公共団体において、情報セキュリティポリシーが策定されていますが、技術の進歩、新しいサービスの拡大、サイバー攻撃の巧妙化等に伴い、求められる対策レベルは変化しています。上記ガイドラインについても、「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」において随時改定されています。

情報セキュリティ対策の実施プロセスは、策定･導入（Plan）、運 用（Do）、評価（Check）、見直し（Action）の 4 段階に分けることができます（PDCA サイクル）。図1のとおり、この サイクルを繰り返すことによって情報セキュリティ対策の維持・向上を図ることができます。

今後は情報セキュリティポリシーの定期的な評価・見直しを行い、情報セキュリティ対策の実効性を確保するとともに、対策レベルを高めていくことが重要となります。

図1　PDCA サイクルの繰り返しによる情報セキュリティ対策の水準の向上

3. リスクアセスメントと脅威分析

地方公共団体がサイバーセキュリティ対策を強化するには、まずどのようなリスクが存在するかを理解することが不可欠です。リスクアセスメントは、現在のシステムや運用の中でどこに脆弱（ぜいじゃく）性があるのかを特定する作業です。これには以下のステップが含まれます。

① 情報資産の洗い出し：保護すべき重要な情報資産（個人情報、機密情報、インフラ設備など）を網羅的に洗い出し、その重要度を評価します。
② 脅威の特定：サイバー攻撃、内部からの不正アクセス、自然災害など、システムやデータに対する潜在的な脅威を特定します。
③ 脆弱性の評価：ソフトウェア、ハードウェア、ネットワークの脆弱性を調査し、潜在的なリスクを明らかにします。
④ 影響度と発生可能性の評価：脅威が現実化した場合の影響度や発生可能性を評価し、優先順位をつけます。

4. システムの強化

地方公共団体のシステムは、攻撃者にとって標的となりやすい部分でもあります。これらのシステムを強化するために、いくつかの具体的な対策を講じることが必要です。

① 多要素認証（MFA）の導入：2つ以上の認証要素を使ってサービスにログインする認証方法です。ログイン時にIDとパスワードだけでなく、さらにもう一つの認証要素（例：SMS認証、認証アプリ）を必要とすることで、アカウントへの不正アクセスを防止します。
② ファイアウォールの設定：外部からの不正アクセスを防ぐため、強力なファイアウォールを設定し、ネットワークを保護します。
③ 暗号化の導入：個人情報や機密情報を暗号化することで、万が一データが流出しても情報が漏えいしないようにします。
④ パッチ管理：システムやソフトウェアの脆弱性を修正するために、定期的にパッチを適用し、常に最新のセキュリティ状態を維持します。

5. 職員教育と意識向上

サイバーセキュリティは技術的な対策だけでなく、職員の意識向上が非常に重要です。多くのサイバー攻撃は、職員の不注意や誤操作によって発生します。以下の方法で職員の教育を強化することが求められます。

① 定期的なセキュリティ研修：サイバーセキュリティの基本的な知識や、フィッシングメールの見分け方、パスワード管理の重要性などを学ぶ研修を実施します。
② インシデント対応訓練：サイバー攻撃が発生した場合にどのように対応するかを職員に訓練し、実際のインシデントをシミュレーションしておくことが有効です。
③ セキュリティ文化の醸成：サイバーセキュリティを日常的に意識する文化を職場内に浸透させ、職員が自発的にセキュリティ対策を行うよう促します。

6. サイバーインシデント対応体制の構築

サイバー攻撃が発生した場合、近年は短時間の間に関連する多数の情報資産に被害が及ぶ事象が発生しています。被害を最小限にとどめるため、発生時には迅速かつ適切な対応が求められます。地方公共団体では、インシデント対応体制を構築し、攻撃を最小限に抑えることが必要です。インシデント対応体制には以下の要素が含まれます。

① インシデント対応計画：サイバー攻撃を受けた場合に、どのように対応するかの手順を事前に決定しておきます。この計画には、攻撃の発見から影響の最小化、情報の復旧、関係機関への報告までの一連の流れが含まれます。
② 専門チームの設置：サイバーセキュリティの専門家で構成されたインシデント対応チーム（CSIRT: Computer Security Incident Response Team）を設置し、必要な対応を迅速に行えるようにします。
③ 情報のバックアップ：データが破損または消失した場合に備えて、定期的にバックアップを行い、迅速に復旧できる体制を整えておきます。サイバー攻撃を受けた場合にバックアップデータも同時に被害に遭わないよう外部媒体や遠隔地への保管を検討することが重要です。

7. 外部との連携

サイバーセキュリティ対策は単独で完結するものではなく、政府機関や外部の専門機関との連携が重要です。例えば、次のような連携が考えられます。

① 政府機関との連携：サイバーセキュリティを強化するために、総務省や警察庁などの政府機関と連携し、情報共有を行います。
② 民間企業との協力：サイバーセキュリティ対策において、民間企業が提供するセキュリティツールや専門的なサービスを活用することも有効です。
③ 外部監査の実施：外部の専門家によりサイバーセキュリティ対策の効果を定期的に監査し、改善点を見つけて実行することがセキュリティ対策の強化につながります。

地方公共団体のサイバーセキュリティ対策は、住民の個人情報を守り、行政機能の正常な運営を確保するために不可欠です。サイバー攻撃はますます巧妙化しているため、総合的な対策を講じることが重要です。これには、リスクアセスメントやポリシーの策定、システムの強化、職員教育、インシデント対応体制の構築など、さまざまな側面が含まれます。地方公共団体が一丸となってこれらの対策を実行することで、サイバーセキュリティ対策の強化を図り、住民に対する安全かつ継続的な行政サービスの提供が可能となります。

【共同執筆者】

EY新日本有限責任監査法人　Technology Risk事業部　
シニアマネージャー　岡部 覚