サイバー攻撃の手口が多様化・複雑化している昨今、重要インフラや個人情報に関わる自治体のセキュリティ対策の強化が急務となっています。
この記事では、近年多発しているサイバー攻撃の手法と、それに対する自治体の取り組み状況を解説します。
今後起こり得るサイバー攻撃に備えて今から検討していくべき施策等もまとめているので、自治体関係者様はぜひ参考にしてみてください。
自治体を狙ったサイバー攻撃が増えている
近年、政府機関や地方公共団体を狙ったサイバー攻撃が多発しています。
まずは最新のサイバー攻撃の手法と、自治体におけるセキュリティ対策の取り組み状況を見ていきましょう。
情報セキュリティ10大脅威の内容(2022年版)
以下は、情報処理推進機構が毎年公表している「情報セキュリティ10大脅威」の2022年版の内容です。
| 順位 | 個人に対する脅威 | 組織に対する脅威 |
|---|---|---|
| 1 | フィッシングによる個人情報等の搾取 | ランサムウェアによる被害 |
| 2 | ネット上の誹謗中傷・デマ | 標準型攻撃による機密情報の窃取 |
| 3 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | サプライチェーンの弱点を悪用した攻撃 |
| 4 | クレジットカード情報の不正利用 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 5 | スマホ決済の不正利用 | 内部不正による情報漏えい |
| 6 | 偽警告によるインターネット詐欺 | 脆弱性対策情報の公開に伴う悪用増加 |
| 7 | 不正アプリによるスマートフォン利用者への被害 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 8 | インターネット上のサービスからの個人情報の窃取 | ビジネスメール詐欺による金銭被害 |
| 9 | インターネットバンキングの不正利用 | 予期せぬIT基盤の障害に伴う業務停止 |
| 10 | インターネット上のサービスへの不正ログイン | 不注意による情報漏えい等の被害 |
引用元:情報セキュリティ10大脅威
組織に対する脅威を見てみると、サイバー攻撃の占める割合が高くなっていることが分かります。
中でもランサムウェアや標準型攻撃による被害が多発傾向にあり、政府からも度々注意喚起が行われています。
今後自治体においては、サイバー攻撃のリスク低減やインシデントの早期検知・対処の徹底が一層求められるようになるでしょう。
自治体における情報セキュリティ対策の取り組み状況・課題
以下は、総務省が公表した「自治体DX・情報化推進概要」(令和4年3月)にまとめられている情報セキュリティ対策の実施状況に関する調査結果の一部です。
| 都道府県 | 市区町村 | |
|---|---|---|
| CISO(最高情報セキュリティ責任者)を任命している | 95.7% | 91.8% |
| CSIRT(情報セキュリティインシデントに対処するための体制)を整備している | 97.9% | 79.4% |
| 緊急時対応計画を策定している | 100% | 73.2% |
| ICT-BCPを策定している | 97.9% | 46.1% |
引用元:自治体DX・情報化推進概要
情報セキュリティ対策については、都道府県・市区町村ともにおおむね整備されているという結果になりました。
とは言え、CSIRTの整備や緊急時対応計画の策定、またICT-BCPの策定に関しては取り組みが進んでいない自治体(市区町村)も少なくありません。
サイバー攻撃による被害を最小限に抑えるためにも、今後はこうした自治体間の格差をなくすことが課題の1つとなっていくでしょう。
サイバー攻撃に備えて自治体が検討すべき施策
ここからは、今後想定される自治体へのサイバー攻撃に備えて取り組むべき施策や対応を解説していきます。
情報通信分野におけるサイバーセキュリティの確保
2021年9月に閣議決定されたサイバーセキュリティ戦略では、以下の3つの施策が設定されています。
- DX(デジタルトランスフォーメーション)とサイバーセキュリティの同時推進
- 公共空間化と相互連関・連鎖が進展するサイバー空間全体を俯瞰した安全・安心の確保
- 安全保障の観点からの取り組み強化
これを受け、総務省では取り組みの大枠として「情報通信分野におけるサイバーセキュリティの確保にむけた取組」を行っています。
| サイバーセキュリティタスクフォース | サイバーセキュリティ統括官が主宰する会議の開催 |
|---|---|
| 国民のためのサイバーセキュリティサイト | インターネットやセキュリティの知識や対策の基本情報の提供 |
| テレワークにおけるセキュリティの確保 | テレワークを導入・活用するためのガイドラインを策定 |
| 無線LANの安全な利用について | Wi-Fi利用者向け・提供者向けのマニュアルを策定 |
| 時刻認証業務の認定制度について | タイムスタンプの利用拡大を目的として、時刻認証業務に関する総務大臣の認定制度を創設 |
| 政府機関・地方公共団体等におけるセキュリティ人材の育成 | サイバー攻撃への対処能力を持つセキュリティ人材を育成するための実践的サイバー防御演習(CYDER)を実施 |
| IoTに関する取り組み | サイバー攻撃に悪用されるおそれのあるIoT機器の調査・注意喚起 |
| 5Gに関する取り組み | 5Gシステムのセキュリティを確保するための包括的なガイダンスを公表 |
| クラウドサービスのセキュリティについて | クラウドサービス提供における情報セキュリティ対策ガイドラインの公表とISMAPによる政府機関における安全安心なクラウドサービスの利用推進 |
| スマートシティのセキュリティについて | スマートシティのセキュリティの考え方やセキュリティ対策のガイドラインを公表 |
自治体におけるサイバー攻撃への対策については、上記の取り組みやガイドライン、制度等を活用しながら検討していくようにしましょう。
ゼロトラストへの転換
ゼロトラストとはネットワーク内部・外部に関わらず全てを信頼しない、という考えに基づいたセキュリティの考え方です。
利便性を保ちながら、クラウド活用や働き方の多様化に対応するため、ネットワークに接続した利用者やデバイスを正確に特定し、常に監視・確認する次世代のネットワークセキュリティ環境として注目されています。
ゼロトラストの適用は、パブリック・クラウドの利用が前提です。
現在、アプリケーションやデータを最も効果的に防御する仕組みは、常に進化し続けるクラウドによって提供されています。アプリケーションやデータを従来の境界型セキュリティに依存することなく、安全に保護するには、信頼できるクラウドへの移行が最も有効となるでしょう。
まとめ|NECネッツエスアイがDXツールの安全な導入を支援します
NECネッツエスアイでは、LGWAN-ASPのセキュリティポリシーに準拠したテレワークツールや、DX・ICT導入を全面的に支援する「自治体DXコーディネートサービス」等、自治体DXを推進するサービスを提供しています。
サイバー攻撃への対応を踏まえたDX推進のサポートを行っておりますので、DX推進の方法やセキュリティ対策でお悩みの自治体職員の方はぜひ一度NECネッツエスアイまでご相談ください。
【関連記事】合わせて読みたい
※記載されている会社名および製品名は、各社の商標または登録商標です。
SymphonictとはNECネッツエスアイが提供する、「共創でお客様のビジネスに新たな価値を提供する」をコンセプトに先端技術やサービスを繋ぎ・束ねることでIT・デジタル変革技術やツール・システムを皆様にお届けするデジタルトランスフォーメーション(DX)サービス。→Symphonictに関してはこちら
※免責事項
本コンテンツは一般的な情報の提供を目的としており、法律的、税務的その他の具体的なアドバイスをするものではありません。個別具体的事案については、必ず弁護士、税理士等の専門家にご相談ください。
本コンテンツの情報は、その情報またはリンク先の情報の正確性、有効性、安全性、合目的性等を
補償したものではありません。
また、本コンテンツの記載内容は、予告なしに変更することがあります。
『自治体DX』の重点取組項目⑤ テレワークの推進はお任せください
