サイト内検索

地方公共団体の皆様へ
TKCグループ
TKC全国会のご紹介
株式会社TKCのご紹介
経営者の皆様へ
税理士・会計士の皆様へ
上場企業の皆様へ
法曹界・法科大学院の皆様へ
地方公共団体の皆様へ
English(TKC Group)

スマート行政DX推進を支援する

情報誌 「新風」(かぜ)

2026年4月号Vol.142

【トレンドビュー】サイバーセキュリティーの実効性確保へ

総務省自治行政局サイバーセキュリティ対策室 理事官 田中俊郎

複雑化・巧妙化する攻撃の脅威

 今日、われわれの社会生活はデジタル技術を基盤として成り立っています。地方公共団体においても、行政手続きのオンライン化やマイナンバーカードの普及、さらにはAIを活用した業務効率化など、デジタル技術の活用が加速度的に進展しています。しかし、デジタル化の進展と表裏一体の関係にあるのが、サイバー攻撃の脅威です。
 近年、民間企業を標的としたランサムウェア(身代金要求型ウイルス)攻撃の被害は増加の一途をたどっています。システム内のデータが暗号化され、業務が完全に停止するだけでなく、機密情報の漏えいや多額の金銭要求が行われる事案が相次いでいます。この脅威は決して民間に限った話ではありません。地方公共団体は住民に関する機密性の高い個人情報を大量に保有しているとともに、水道や防災などの重要なインフラも管理しており、攻撃者にとって「極めて価値の高い標的」です。
 万が一、サイバー攻撃を受け行政サービスの長期停止や住民情報が漏えいするような事態になれば、住民生活に計り知れない混乱を招き、行政に対する信頼は大きく揺らぎます。もはやサイバーセキュリティーはIT担当部署だけの問題ではなく、行政サービスの継続と住民情報の安全を左右する「行政経営上の最重要課題」であるということを改めて認識する必要があります。

対策強化へ地方自治法を改正

 従来、地方公共団体のサイバーセキュリティー対策は、総務省が示す『地方公共団体における情報セキュリティポリシーに関するガイドライン』に基づき、各団体が自律的に取り組んできました。
 しかし、今後はネットワークの相互接続の進展により、一つの地方公共団体の対策不備が他団体や政府機関のセキュリティー上の脅威となり、安全性や信頼性に影響を与える蓋然(がいぜん)性が高くなることが想定されます。そこで対策を強化するべく、2024年の地方自治法改正によって「情報システム」の章が新設されました。改正法では、地方公共団体に対し、サイバーセキュリティーの確保に関する方針策定を義務付けています(方針策定に関する部分の施行日は26年4月1日)。各団体ではこれに伴う準備を進めていただきましたが、こうした作業が組織全体のセキュリティーを見直す重要なプロセスとなったのではないかと考えています。
 また、地方自治法改正では、地方公共団体がサイバーセキュリティーを確保するために必要な措置を講じなければならないとする規定も追加されました(地方自治法第244条の5第2項)。
 これまで、サイバーセキュリティー対策の内容についてはガイドラインに詳細を規定していましたが、どのような対策を講じれば十分といえるのか、その基準は必ずしも明らかではありませんでした。そのため、「必要な措置」を細目として明らかにすることによって、各団体が「どのような措置を」講じる必要があるかを具体的に示すこととしています。細目化する内容については、これまでの取り組みも踏まえてガイドラインを基に基本的な事項を示すことを想定しています。以上のような考え方のもと、今夏頃には細目化項目を決定したいと考えています。

地方自治法改正の概要

国による伴走型支援と実効性の確保

 細目化項目を示すだけでは、リソース(財源や人材、専門知識)が限られている地方公共団体が、個別に十分かつ実効性のある対策を講じることは極めて困難な状況です。そのため、現状の課題を理解し、対策の実効性を確保するための支援を、国が積極的に提供していくことが重要です。
 具体的には、①セキュリティー専門家による相談支援体制の強化、②高度な知識を持つ人材の確保・育成のサポート、③セキュリティー確保のための技術的に高度な共通基盤の整備──など、対策のライフサイクル全体を通じた切れ目のない継続支援を行うことを検討しています。
 支援策の一つとして今年、「地方版ASM(Attack Surface Management)システム」の構築と実証実施を予定しています。これは組織の外部(インターネット)からアクセス可能なIT資産(サーバー、クラウドサービス、ネットワーク機器、VPN機器など)を、攻撃者の視点から網羅的、かつ継続的に発見・監視するシステムです。
 これにより、潜在的な脆弱性や設定ミスなどのリスクを自動的に評価・管理することが可能となります。すでに政府機関に導入され、効果を上げています。
 地方公共団体の広範な情報資産を対象とするASMを、国が一括で構築することで、各団体が個別に高額な費用をかけたり、専門人材を確保することなく、外部からの攻撃リスクを効率的かつ継続的に把握・対処できる仕組みを整備します。
 地方版ASMシステムは、27年度以降に全国展開することを想定しています。より多くの団体に積極的に参加いただくことで、この取り組みがサイバーセキュリティー対策の標準的な手法の一つとして普及することを期待しています。国ではシステムの運用を通じて得られる知見やデータを活用し、支援策をさらに充実させていくことが必要と考えています。

◇   ◇   ◇

 サイバーセキュリティー対策に終わりはなく、技術の進歩や攻撃手法の巧妙化に伴い、常に対応をアップデートし続けなければなりません。住民の個人情報や重要な行政インフラを守るという重大な責務を果たすため、地方公共団体の皆さまには、引き続き格別のご尽力をいただけますようお願いいたします。

掲載:『新風』2026年4月号

導入システム

情報誌「新風」トップはこちら