自治体セキュリティ動向

自治体は、法令などに基づき住民の個人情報を保有しています。保有する住民の個人情報を守りながら行政サービスなどの業務を継続するためには、強固な情報セキュリティ対策が必要です。一方で、近年のサイバー攻撃は手口が多様化しており、重要インフラの物理的被害や大規模な個人情報の流出など、その被害も深刻化しています。
そこで今回は、サイバー攻撃のトレンドや、2022年3月に改訂された「地方公共団体における情報セキュリティポリシーに関するガイドライン」のポイントをご紹介します。

サイバー攻撃のトレンド

独立行政法人 情報処理推進機構が毎年発表している「情報セキュリティ10大脅威」の2022年版が、2022年3月に公表されています。組織向けの脅威を見てみると、10大脅威の中では、サイバー攻撃が占める割合が多くなっています。

出典：「情報セキュリティ10大脅威 2022」解説書（IPA 独立行政法人 情報処理推進機構）

組織向けの脅威の中で、最近特に注意喚起されているのが、1位「ランサムウェアによる被害」、2位「標的型攻撃による機密情報の窃取」です。ランサムウェアとはコンピューターウイルスの一種で、PCやサーバーが感染すると、端末のロックやデータの暗号化が行われます。感染した場合は、復旧と引き換えに金銭を要求されます。
標的型攻撃は、機密情報の窃取や業務妨害を目的に特定の組織を狙う攻撃です。急増している「Emotet」攻撃では、知り合いに成りすまして送られてくるメールの添付ファイルを開くことで感染します。ショートカットファイル（LNKファイル）を悪用して感染させる手口も確認されています。

近年、国内でランサムウェアによる攻撃をはじめとするサイバー攻撃事案の報告が続いていることや、「Emotet」の感染事例が急増していることから、2022年2月以降、たびたび政府から自治体を含む各方面にサイバーセキュリティ対策の強化についての注意喚起がなされています。改めて「リスク低減のための措置」、「インシデントの早期検知」、「インシデント発生時の適切な対処・回復」の徹底が求められているところです。

• ページの先頭へ

自治体の情報セキュリティ対策の状況

では、自治体における情報セキュリティインシデントに対処するための体制や、サイバー攻撃を探知した後の対応方針はどうなっているのでしょうか？
2022年3月に公表された「自治体DX・情報化推進概要」には、情報セキュリティ対策の実施状況についての調査結果も含まれており、多くの自治体でおおむね組織体制・規程類の整備がなされているという結果になっています。

■CISO（最高情報セキュリティ責任者）の任命

都道府県では45団体（95.7％）、市区町村では1,598団体（91.8％）で任命されています。

出典：自治体DX・情報化推進概要（総務省）

■CSIRT（情報セキュリティインシデントに対処するための体制）の整備

都道府県では46団体（97.9％）、市区町村では1,382団体（79.4％）で整備されています。

出典：自治体DX・情報化推進概要（総務省）

■緊急時対応計画（情報セキュリティインシデントなどが発生した場合の体制と対応手順）の策定

都道府県では全団体、市区町村では1,274団体（73.2％）で、緊急時対応計画が策定されています。

出典：自治体DX・情報化推進概要（総務省）

• ページの先頭へ

2022年3月に改訂された自治体向けのガイドラインのポイントは？

自治体における情報セキュリティ対策が網羅されたガイドラインとしては、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」が公表されていて、このガイドラインを参考に情報セキュリティ対策を整備している自治体も多いと思われます。

2022年3月には改訂版が公表されましたが、改訂版は、自治体におけるデジタル化の動向や、2021年7月に公表された「政府機関のサイバーセキュリティ対策のための統一基準」の改定を踏まえた内容となっており、ポイントとなる以下の4点を中心に、記載の見直しや追記がなされています。

1. 業務委託・外部サービス利用時の情報資産の取り扱い
2. 情報セキュリティ対策の動向を踏まえた記載の充実
3. 多様な働き方を前提とした情報セキュリティ対策
4. マイナンバー利用事務系から外部接続先（eLTAX、マイナポータル）へのデータのアップロード

例えば、「2.情報セキュリティ対策の動向を踏まえた記載の充実」では、不正プログラム対策製品やソフトウェアなどを導入するだけではなく、監視体制やCSIRTとの連携など組織的な対応が必要である旨が記載されています。

情報セキュリティ対策は、個人情報保護や災害対策と重なる部分も多く、情報セキュリティ対策をしっかりと行うことで、自治体の情報システムの可用性や完全性を高め、行政サービスを安定供給することができます。そのため、情報セキュリティ担当部署だけでなく、個人情報保護や災害対策を行う部署、これらに協力する担当者などが相互に連携し、組織として対策に取り組むことが大切です。

• ページの先頭へ

関連記事

• 自治体のテレワークとセキュリティを考える（2021年4月5日　公開）

• IoT・5G時代のサイバーセキュリティについて教えてください（2020年1月27日　公開）

• セキュリティに関する記事一覧

• ページの先頭へ

関連製品

• サイバーセキュリティ

• ページの先頭へ

参考

• サイバーセキュリティを巡る最近の動向（総務省）（PDF形式）
• 「情報セキュリティ10大脅威 2022」解説書（IPA 独立行政法人 情報処理推進機構）（PDF形式）
• 「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて（IPA：独立行政法人情報処理推進機構）
• 自治体DX・情報化推進概要（総務省）（PDF形式）
• 地方公共団体における情報セキュリティポリシーに関するガイドライン（令和4年3月版）（総務省）（PDF形式）
• 「地方公共団体における情報セキュリティポリシーに関するガイドライン」等の改定について（総務省）（PDF形式）

（2022年6月6日　公開）

• * 記事の内容は配信時点での情報をもとに作成しているため、その後の動向により、記載内容に変更が生じている可能性があります。