自治体は、住民の生活を支える行政サービスを提供する重要な社会基盤です。住民票、税情報、福祉サービスの記録など、自治体が保有する情報は住民の生活に直結しています。本章では、自治体が直面するランサムウェアの脅威と、その対策について包括的に解説します。
自治体が狙われる理由と被害の影響
自治体へのランサムウェア攻撃は、住民サービスの停止や住民情報の漏洩という深刻な事態を招く可能性があります。なぜ自治体が攻撃対象となるのか、その背景を理解することが重要です。
標的となる理由
自治体がランサムウェア攻撃者にとって標的となりやすい理由は複数あります。
第一に、住民情報の価値があります。氏名、住所、生年月日に加え、収入情報、健康情報、福祉サービスの利用状況など、センシティブな情報が集中しています。
第二に、公共サービス停止の影響が大きいことがあります。住民票の発行、税務手続き、福祉サービスなど、行政サービスの停止は住民生活に直接影響を与えます。この影響力が攻撃者の交渉材料となります。
第三に、セキュリティ投資の制約があります。自治体の予算は住民サービスに優先的に配分されることが多く、IT・セキュリティへの投資が十分でない場合があります。
第四に、委託事業者経由のリスクがあります。自治体業務の多くは外部に委託されており、委託先のセキュリティ対策が不十分な場合、そこが攻撃の侵入口となる可能性があります。
被害の影響
- 住民サービスの停止
- 窓口業務、証明書発行、各種申請受付などが停止し、住民生活に支障が生じる。特に緊急を要する手続き(転出入、死亡届など)への影響は深刻
- 住民情報の漏洩
- 氏名、住所、マイナンバー、税情報、福祉情報などが漏洩すれば、住民のプライバシーが侵害され、二次被害(フィッシング、なりすましなど)のリスクも生じる。個人情報漏洩として極めて深刻
- マイナンバー関連情報の漏洩
- マイナンバーが漏洩した場合、住民への影響は長期に及ぶ可能性がある。番号の変更手続きなど、対応も複雑になる
- 住民からの信頼失墜
- 行政への信頼が損なわれ、住民との関係に影響を与える。信頼回復には長い時間を要する
三層分離(三層構造)の実践
自治体の情報システムは、総務省のガイドラインに基づき、三層分離(三層構造)による設計が基本となっています。この構造がランサムウェア対策においても重要な役割を果たします。
三層分離とは
三層分離とは、自治体の情報システムを3つのネットワーク層に分離する設計手法です。
- マイナンバー利用事務系
- マイナンバーを利用する事務(住民基本台帳、税務、福祉など)を処理するネットワーク。他のネットワークとは物理的または論理的に分離され、最も厳格なセキュリティが適用される
- LGWAN接続系
- LGWAN(総合行政ネットワーク)に接続し、自治体間の情報連携や内部事務を処理するネットワーク。インターネットとは分離されている
- インターネット接続系
- インターネットに接続し、住民向けWebサービスの提供、外部とのメール送受信などを行うネットワーク
この分離により、仮にインターネット接続系がランサムウェアに感染しても、マイナンバー利用事務系への影響を防ぐことができます。
分離の実践方法
- 物理的分離
- 各層のネットワークを物理的に異なる機器(ケーブル、スイッチ、サーバ等)で構築する。最も確実な分離方法
- 論理的分離
- 仮想化技術やVLANを活用し、同一の物理インフラ上で論理的にネットワークを分離する。適切な設定により高いセキュリティを実現できる
- 無害化処理
- インターネット接続系からLGWAN接続系へファイルを受け渡す際に、ファイルを無害化(サニタイズ)する。マルウェアの侵入を防ぐ
- αモデル・βモデル
- 総務省が示す三層分離の実装モデル。αモデルはLGWAN系にブラウザを配置、βモデルはインターネット接続系に業務端末を配置する形態。自治体の実情に応じて選択する
分離環境でのセキュリティ対策
| ネットワーク層 | 主な対策項目 |
|---|---|
| マイナンバー利用事務系 | 厳格なアクセス制御、操作ログの取得、外部媒体の利用制限、端末の持ち出し禁止 |
| LGWAN接続系 | アクセス制御、マルウェア対策、ファイル無害化の徹底 |
| インターネット接続系 | 境界防御(ファイアウォール、IDS/IPS)、EDR、Web分離、メールセキュリティ |
総務省ガイドラインへの対応
総務省は、自治体の情報セキュリティ対策の指針として「地方公共団体における情報セキュリティポリシーに関するガイドライン」を策定しています。
地方公共団体における情報セキュリティポリシーに関するガイドライン
本ガイドラインは、自治体が情報セキュリティポリシーを策定・運用する際の指針を示しています。令和4年改定版では、クラウドサービスの利用拡大やテレワークの普及など、環境変化に対応した内容が盛り込まれています。
ガイドラインでは、組織体制の整備、情報資産の分類と管理、技術的対策、物理的対策、人的対策、外部委託管理、インシデント対応など、情報セキュリティ対策の全般をカバーしています。
対応すべき主要項目
| カテゴリ | 主要項目 | 対応のポイント |
|---|---|---|
| 組織・体制 | CISO(最高情報セキュリティ責任者)の設置 | 情報セキュリティの責任者を明確にし、権限を付与 |
| 組織・体制 | 情報セキュリティ委員会の設置 | 組織横断的な検討・意思決定の場を設ける |
| 技術的対策 | 三層分離の実践 | マイナンバー系、LGWAN系、インターネット系の分離 |
| 技術的対策 | 多要素認証の導入 | 特に特権アカウント、リモートアクセスに適用 |
| 技術的対策 | バックアップ | 定期的なバックアップ、オフライン保管、復旧テスト |
| 物理的対策 | サーバ室の管理 | 入退室管理、施錠、監視カメラの設置 |
| 人的対策 | 職員研修 | 情報セキュリティ研修の実施、意識向上 |
| 外部委託管理 | 委託先のセキュリティ管理 | 契約条項、監査、報告義務の明確化 |
委託事業者管理(イセトー事例から学ぶ)
自治体業務の多くは外部に委託されており、委託先のセキュリティ対策も自治体の責任の一部です。イセトー事例は、委託先管理の重要性を改めて示しました。
イセトー事例(2024年5月)
- 被害概要
- 2024年5月、自治体の住民税通知書などの印刷業務を受託していた株式会社イセトーがランサムウェア被害を受けた。同社が保有していた複数自治体の住民情報が漏洩した
- 影響
- 徳島県、和歌山市、久留米市など、複数の自治体の住民情報(氏名、住所、税額など)が漏洩した。影響を受けた住民は数万人規模に上る
- 教訓
- 委託先のセキュリティ対策が不十分な場合、自治体の住民情報が危険にさらされる。委託先の選定・管理において、セキュリティ要件を厳格に定める必要がある
詳細はサプライチェーン攻撃の動向と対策も参照してください。
委託事業者管理の強化
- セキュリティ要件の契約明記
- 委託契約において、セキュリティ対策の要件を具体的に明記する。データの取り扱い方法、保管場所、アクセス制御、廃棄方法などを定める
- 定期的な監査
- 委託先のセキュリティ対策状況を定期的に監査する。書面での報告だけでなく、実地確認も検討する
- インシデント報告義務
- 委託先でセキュリティインシデントが発生した場合の報告義務を契約に盛り込む。報告期限、報告内容、連絡先を明確にしておく
- 再委託の管理
- 委託先がさらに業務を再委託する場合の条件を定める。再委託先にも同等のセキュリティ要件を適用するよう求める
住民情報・マイナンバーの保護
自治体が保有する住民情報とマイナンバーは、最も厳格な保護が求められる情報です。
保護すべき情報
- 住民基本台帳情報
- 氏名、住所、生年月日、性別など、住民の基本情報。転出入、死亡などの届出により更新される
- 税情報
- 住民税額、所得情報、課税証明など。経済状況を示す機微情報
- 福祉情報
- 介護保険、障害福祉、生活保護などの利用状況。社会的立場に関わる機微情報
- マイナンバー
- 個人番号(マイナンバー)は、番号法(行政手続における特定の個人を識別するための番号の利用等に関する法律)により特に厳格な管理が求められる
保護対策
- アクセス制御
- 住民情報へのアクセスは、業務上必要な職員に限定する。役職、担当業務に応じた権限設定を行い、不正アクセスを防止する
- ログ管理
- 住民情報へのアクセスログを取得・保管し、不正アクセスの検知や事後調査に備える。定期的なログ監査も実施する
- 暗号化
- 住民情報を保存するデータベースやファイルを暗号化する。外部媒体への書き出し時も暗号化を義務付ける
- 持ち出し制限
- 住民情報の外部持ち出しを厳格に制限する。USBメモリ等の利用を禁止または管理し、データの流出を防止する
自治体BCP・業務継続計画
ランサムウェア被害からの復旧には時間を要することがあります。その間も住民サービスを継続するための業務継続計画(BCP)が不可欠です。
自治体特有のBCP
自治体のBCPには、一般企業とは異なる特性があります。住民サービスは代替がきかないものが多く、停止の影響は住民生活に直結します。また、災害時の対応拠点としての役割もあり、自治体自身の機能維持は地域全体の安全に関わります。
サイバー攻撃を想定したBCPでは、システム停止時の代替手段、復旧優先度、関係機関との連携などを定めておく必要があります。
BCP策定のポイント
| 業務分類 | 復旧優先度 | 代替手段 |
|---|---|---|
| 戸籍・住民票 | 最優先 | 手書き様式での対応、近隣自治体との連携 |
| 税務 | 優先 | 紙ベースでの受付、申告期限の延長検討 |
| 福祉サービス | 優先 | 紙台帳による管理、緊急度の高いケースを優先 |
| 各種届出 | 高 | 手書き様式での受付、事後入力 |
| 一般事務 | 中 | 紙ベースでの業務遂行 |
- 住民サービスの継続
- システムが停止しても、窓口での住民対応を継続するための手順を定める。手書き様式、紙台帳などの代替手段を準備しておく
- 災害対応との連携
- 自然災害とサイバー攻撃が同時に発生する可能性も考慮し、BCPを策定する。災害対応本部の機能維持も重要
- 近隣自治体との相互支援
- 広域的な相互支援協定を締結し、被害を受けた際に近隣自治体からの支援を受けられる体制を整備する
詳細はIT-BCP策定ガイドも参照してください。
よくある質問(FAQ)
- Q: 三層分離していればランサムウェアに感染しませんか?
- A: 三層分離により、感染が他の層に拡大するリスクは軽減されますが、完全に防げるわけではありません。各層それぞれでマルウェア対策、パッチ管理、アクセス制御などの対策が必要です。特にインターネット接続系は外部からの攻撃にさらされやすいため、EDR、Webフィルタリング、メールセキュリティなどの対策を組み合わせることが重要です。また、無害化処理を経由せずにファイルが受け渡されるケースがないよう、運用ルールの徹底も必要です。
- Q: 委託事業者がランサムウェア被害を受けた場合の責任は?
- A: 委託契約の内容や状況によって責任の所在は異なりますが、住民情報を委託している場合、自治体にも一定の管理責任があると考えられます。イセトー事例では、委託元の自治体が住民への通知、問い合わせ対応などの対応を行いました。委託先選定時のセキュリティ評価、契約でのセキュリティ要件の明記、定期的な監査などを通じて、委託先管理を適切に行うことが重要です。法的な責任の範囲については、専門家に確認されることをお勧めします。
- Q: 小規模自治体でも同等の対策が必要ですか?
- A: 総務省ガイドラインは、自治体の規模に関係なく適用されます。ただし、小規模自治体では予算・人員の制約が大きいため、優先度を付けた対策の実施が現実的です。三層分離は基本として維持しつつ、VPN機器のパッチ管理、バックアップのオフライン化、職員研修など、費用対効果の高い対策から着手することをお勧めします。また、都道府県のセキュリティクラウドや、広域連携による対策の共同実施なども有効な選択肢です。
- Q: 住民情報が漏洩した場合の報告義務は?
- A: 個人情報保護法および各自治体の個人情報保護条例に基づき、報告義務が生じます。個人情報保護委員会への報告、住民(本人)への通知が必要となる場合があります。また、マイナンバーを含む情報が漏洩した場合は、番号法に基づく報告も必要です。漏洩が発覚した場合は、速やかに報告義務の有無と範囲を確認し、適切な対応を取ってください。詳細は法的責任と報告義務を参照してください。
- Q: クラウド移行でセキュリティリスクは増えますか?
- A: クラウド移行それ自体がリスクを増やすわけではありません。むしろ、適切に選定・設定されたクラウドサービスは、オンプレミス環境よりも高いセキュリティを提供する場合もあります。重要なのは、クラウドサービスの選定基準(ガイドライン対応、セキュリティ認証取得など)を明確にし、設定を適切に行うことです。また、クラウド事業者と自治体の責任分界点を理解し、自治体が担うべき対策(アクセス制御、データ管理など)を適切に実施することが必要です。
まとめ
自治体へのランサムウェア攻撃は、住民サービスの停止と住民情報の漏洩という深刻な事態を招く可能性があります。イセトー事例が示すように、自治体自身のセキュリティだけでなく、委託事業者を含めたサプライチェーン全体での対策が必要です。
三層分離は自治体セキュリティの基盤ですが、それだけで十分ではありません。各層での対策、委託事業者管理、職員教育、インシデント対応計画など、多層的な対策を組み合わせることが重要です。
総務省ガイドラインは、自治体がセキュリティ対策を進めるための重要な指針を示しています。予算・人員の制約がある中でも、優先度の高い対策から着実に実施することで、リスクを軽減することができます。
ランサムウェアの基礎知識に立ち返りながら、予防対策を計画的に進めていくことが重要です。
関連リンク
- ランサムウェアとは?基礎から対策まで完全ガイド
- ランサムウェア予防対策完全ガイド
- サプライチェーン攻撃の動向と対策
- バックアップ戦略
- IT-BCP策定ガイド
- 法的責任と報告義務
- 教育機関向けランサムウェア対策
免責事項
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
