官公庁・自治体がサプライチェーン攻撃の標的になる理由
官公庁・自治体は、サプライチェーン攻撃の重要な標的となっています。その理由は、保有する情報の機密性、社会的影響の大きさ、そしてシステムの特性にあります。
- 国民・住民の個人情報
- 官公庁・自治体は、マイナンバー、戸籍、住民票、納税情報、医療・福祉情報など、国民・住民の機微な個人情報を大量に保有しています。これらの情報の漏洩は、なりすまし、詐欺、プライバシー侵害など深刻な被害をもたらします。
- 行政サービスへの影響
- システムの停止は、住民票の発行、税金の納付、福祉サービスの提供など、住民の日常生活に直接影響します。特に、災害時や緊急時に行政システムが停止することは、人命に関わる問題となりえます。
- 国家安全保障上の重要性
- 国の行政機関が保有する情報には、外交、防衛、経済政策など国家安全保障に関わる機密情報が含まれます。国家支援型の攻撃(APT)グループがこれらの情報を標的にするケースがあります。
- 予算制約による対策の限界
- 特に地方自治体では、限られた予算と人員の中でセキュリティ対策を行わなければなりません。専任のセキュリティ担当者がいない自治体も多く、対策が不十分な状況があります。
官公庁・自治体のサプライチェーン攻撃事例
官公庁・自治体を狙ったサイバー攻撃は国内外で発生しています。
国内の事例
| 事例 | 概要 | サプライチェーンの関与 |
|---|---|---|
| 自治体へのランサムウェア攻撃 | 複数の自治体でランサムウェア被害が発生 | 委託先経由、VPN脆弱性を悪用 |
| 住民情報の漏洩 | 委託先からの情報漏洩事案 | 業務委託先の管理不備 |
| 標的型メール攻撃 | 国の行政機関への継続的な攻撃 | 取引先を偽装したフィッシング |
海外の事例
- SolarWinds事件(2020年)
- 米国のIT管理ソフトウェア企業SolarWindsの製品アップデートにバックドアが仕込まれ、米国政府機関を含む多数の組織が侵害されました。財務省、国土安全保障省など複数の政府機関が影響を受けました。
- ウクライナ政府機関への攻撃
- ロシアとの紛争に伴い、ウクライナの政府機関は継続的なサイバー攻撃を受けています。サプライチェーンを経由した攻撃も含まれます。
デジタル庁の方針
デジタル庁は、政府のデジタル化を推進するとともに、セキュリティの確保にも取り組んでいます。
政府クラウド(ガバメントクラウド)
デジタル庁は、ガバメントクラウドを整備し、政府・自治体のシステムをクラウドに移行する方針を進めています。
- セキュリティの一元化
- ガバメントクラウドを利用することで、セキュリティ対策を一元的に実施し、各省庁・自治体の負担を軽減します。
- クラウドサービス事業者の選定
- ガバメントクラウドとして利用するクラウドサービスは、厳格なセキュリティ評価を経て選定されています。
- 自治体の移行
- 地方自治体の基幹系システムについても、ガバメントクラウドへの移行が進められています。
セキュリティ要件
デジタル庁が定めるセキュリティ要件には、サプライチェーンリスクへの対応も含まれています。
| 要件項目 | 内容 |
|---|---|
| クラウドサービス評価 | ISMAPに基づくクラウドサービスのセキュリティ評価 |
| サプライヤー管理 | 委託先・再委託先のセキュリティ管理 |
| データ所在地 | データの保存場所に関する要件 |
| インシデント対応 | セキュリティインシデント発生時の対応体制 |
標準化・共通化
自治体の情報システムについて、標準化・共通化を推進することで、セキュリティ対策の効率化を図っています。
- 自治体基幹系システムの標準仕様
- 共通機能・サービスの整備
- セキュリティ対策の標準化
政府調達におけるセキュリティ要件
政府調達では、政府統一基準群に基づくセキュリティ要件が適用されます。
政府統一基準群
NISCが策定する「政府機関等のサイバーセキュリティ対策のための統一基準群」は、政府機関のセキュリティ対策の基本となる文書です。
- 対象組織
- 府省庁および独立行政法人等が対象となります。地方自治体は直接の対象ではありませんが、参考とすることが推奨されています。
- 外部委託に関する要件
- 政府統一基準群では、外部委託(役務調達)に関するセキュリティ要件が定められています。委託先の選定、契約条項、継続的な管理について規定しています。
ITセキュリティ評価及び認証制度(JISEC)
JISECは、IT製品のセキュリティ機能を評価・認証する制度です。
- ISO/IEC 15408(Common Criteria)に基づく評価
- 政府調達におけるセキュリティ要件の基準として活用
- 認証取得製品は「認証製品リスト」で公開
IT製品の政府調達におけるセキュリティ要件
特定のIT製品(サーバー、ネットワーク機器等)の政府調達では、セキュリティ要件が定められています。
| 製品カテゴリ | 主なセキュリティ要件 |
|---|---|
| サーバー | ファームウェアの完全性、安全なアップデート |
| ネットワーク機器 | 認証機能、ログ取得、脆弱性対応 |
| クラウドサービス | ISMAP登録、データ所在地、アクセス制御 |
契約条項への盛り込み
政府・自治体の調達契約には、セキュリティに関する条項を明確に盛り込むことが重要です。
セキュリティ条項
- セキュリティ対策の義務
- 委託先が実施すべきセキュリティ対策を具体的に規定します。政府統一基準群やガイドラインへの準拠を求めることが一般的です。
- 情報の取り扱い
- 機密情報の取り扱いルール、アクセス権限の管理、データの暗号化等を規定します。
- 従業員の管理
- 委託先従業員へのセキュリティ教育、秘密保持誓約書の取得を求めます。
監査権
発注者が委託先のセキュリティ対策状況を監査できる権利を確保します。
- 書面監査:報告書、認証証明書の提出を求める
- 立入監査:必要に応じて現地での監査を実施する権利
- 是正要求:問題が発見された場合の是正を求める権利
再委託の制限
| 項目 | 内容 |
|---|---|
| 事前承認 | 再委託を行う場合は発注者の事前承認を必要とする |
| 再委託先の管理 | 再委託先にも同等のセキュリティ対策を求める |
| 多重委託の制限 | 再委託の段数を制限する場合もある |
インシデント報告義務
委託先でセキュリティインシデントが発生した場合の報告義務を規定します。
- 報告期限:発見後○時間以内など
- 報告内容:影響範囲、原因、対応状況
- 協力義務:調査への協力、情報提供
詳しい契約条項については契約条項の盛り込みをご覧ください。
地方自治体の対策
地方自治体は、予算・人員の制約がある中で、効果的なセキュリティ対策を講じる必要があります。
予算制約への対応
限られた予算で最大の効果を得るための工夫が求められます。
- リスクベースの対策
- すべてのリスクに対応することは困難なため、リスク評価に基づき優先順位をつけて対策を実施します。
- 既存リソースの活用
- 新規投資だけでなく、既存システムの設定見直し、運用改善など、コストのかからない対策も重要です。
- 段階的な対応
- 一度にすべてを対応するのではなく、複数年度にわたって段階的に対策を強化します。
共同調達の活用
複数の自治体で共同してセキュリティ製品・サービスを調達することで、コスト削減が可能です。
- 都道府県単位での共同調達
- 複数市町村での共同調達
- ガバメントクラウドの活用
J-LIS(地方公共団体情報システム機構)の支援
J-LISは、地方自治体の情報化を支援する組織として、セキュリティ支援も行っています。
- 自治体向けセキュリティポリシーのひな形提供
- セキュリティ研修の実施
- 情報提供、相談対応
都道府県による支援
都道府県が管内市町村のセキュリティ対策を支援する取り組みもあります。
- セキュリティ専門人材の派遣・共有
- 共同でのセキュリティ監視
- 研修・訓練の共同実施
委託先・再委託先の管理
官公庁・自治体における委託先・再委託先の管理は、サプライチェーン攻撃対策の重要な要素です。
多層委託のリスク
政府・自治体のシステム開発・運用では、多層的な委託構造が一般的です。
- 元請け(プライム)
- 大手SIerが元請けとなり、プロジェクト全体を管理します。
- 二次委託
- 元請けが一部の作業を他社に委託します。
- 三次委託以降
- さらに下請けが発生し、委託の連鎖が深くなることがあります。
委託の段数が深くなるほど、発注者からの管理が困難になり、セキュリティリスクが高まります。
再委託の承認・管理
再委託を適切に管理するための仕組みが必要です。
| 管理項目 | 内容 |
|---|---|
| 事前承認 | 再委託先、再委託の範囲を事前に承認 |
| 再委託先の評価 | 再委託先のセキュリティ体制を評価 |
| 契約の連鎖 | 再委託先にもセキュリティ条項を適用 |
| 報告義務 | 再委託の状況を定期的に報告させる |
委託先監査
重要な委託先に対しては、定期的な監査を実施します。
- セキュリティ対策の実施状況の確認
- 契約条項の遵守状況の確認
- 発見事項に対する是正要求とフォロー
詳しくはサードパーティリスク管理をご覧ください。
関連する攻撃手法
官公庁・自治体は、以下の攻撃手法の標的となっています。
- サプライチェーン攻撃
- 委託先やベンダーを経由した攻撃。SolarWinds事件が代表例。詳細はサプライチェーン攻撃の定義と仕組みをご覧ください。
- 標的型攻撃(APT)
- 国家支援型の高度で持続的な攻撃。詳細は標的型攻撃(APT)をご覧ください。
- フィッシング詐欺
- 職員を狙ったフィッシングメール。詳細はフィッシング詐欺をご覧ください。
- ランサムウェア
- 行政システムの暗号化。詳細はランサムウェアをご覧ください。
- 不正アクセス
- VPN脆弱性や認証情報の悪用。詳細は不正アクセスをご覧ください。
- 内部不正
- 職員や委託先による情報の持ち出し。詳細は内部不正をご覧ください。
- 情報漏洩
- 住民情報、機密情報の流出。詳細は情報漏洩をご覧ください。
まとめ
官公庁・自治体のサプライチェーン攻撃対策について、以下のポイントを押さえてください。
- 政府統一基準群への準拠:政府機関は必須、自治体も参考に対策を実施
- デジタル庁方針への対応:ガバメントクラウド、標準化への移行
- 調達時のセキュリティ要件:ISMAP、JISEC等の活用
- 契約条項の整備:セキュリティ条項、監査権、再委託制限、インシデント報告義務
- 地方自治体の工夫:共同調達、J-LIS支援、都道府県連携の活用
- 委託先・再委託先の管理:多層委託のリスク把握、承認・監査の実施
- 人材確保:限られた人員での効率的なセキュリティ体制構築
グローバル企業の対策も参考になる場合があります。業種別カテゴリトップやサプライチェーン攻撃の総合ガイドも参照してください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
役職・立場別に探す
業種別に探す ← 現在のカテゴリ
人気のページ
更新履歴
- 初稿公開
