サイバーセキュリティ 
組織内の重要なアカウントを不適切に共有してしまうと、
総務省は「地方公共団体における情報セキュリティポリシーに関するガイドライン」を2024年10月に公開しました。
改正地方自治法成立後、初めてのセキュリティ関連のガイドラインの改訂になります。
近年、自治体は、ランサムウェアを始めとしたサイバー攻撃被害に多く遭っていることや、DXの推進を受け、多くのクラウド環境へ移行を進めています。
そんな中で、地方公共団体の情報セキュリティポリシーに関するガイドラインは重要な指標になってきます。
そこで、ここでは、改定された情報セキュリティポリシーに関するガイドラインのポイントやその重要性、クラウド環境に移行する上で、これらの要件の一部を支援するソリューションの機能ををご紹介します。
ゼロトラストKeeperPAMで企業内の特権ID・アクセス管理を
はじめとするセキュリティリスクを可視化し、企業の安全を支えます!
地方公共団体の情報セキュリティポリシーに関するガイドラインの改定されたポイント
総務省は、地方公共団体の情報セキュリティ対策を強化するため、「地方公共団体における情報セキュリティポリシーに関するガイドライン」を改定しました。今回の改定では、クラウドサービスの活用やサイバー攻撃の高度化を踏まえ、さまざまな見直しが行われているので、重要な4つの項目をご紹介します。
クラウドサービスの適切な利用
これまで地方公共団体では、主にオンプレミス環境で情報システムを運用してきましたが、近年はクラウドサービスの導入が進んでいます。今回の改定では、クラウドの利便性を活かしながら安全に運用するための基準が明確化されました。地方自治体は、2025年度末までに20業務をガバメントクラウドへ移行しなければいけない義務を課されています。
特に、カバメントクラウドの場合、クラウド上で管理できる情報の範囲や運用ルールを明確に定め、適切なセキュリティ要件を満たした限定されたクラウドから選定することが求められています。自治体クラウドも要件も連携を前提に、セキュリティ対策を統一することで、各自治体が安全な環境でクラウドを活用できるようになりました。
業務委託先の管理強化
自治体業務の一部を外部の事業者に委託するケースが増えるなか、委託先のセキュリティ対策が不十分な場合、情報漏えいや不正アクセスのリスクが生じます。
今回の改定では、委託先が適切なセキュリティ対策を講じるよう、契約の見直しが求められています。特に、委託契約において情報セキュリティ対策の遵守を明確にし、監査を強化することで、自治体側が委託先のセキュリティ状況を定期的に確認できるようにすることが重要視されています。また、不要な権限を委託先に付与しないよう、アクセス管理の厳格化も推奨されています。
機密性分類基準の見直し
従来の情報分類基準では、自治体ごとに運用にばらつきがあり、適切な管理が徹底されていないケースもありました。今回の改定では、情報の機密性に応じた分類基準が見直され、より厳格な管理が求められるようになっています。特に、機密情報の定義を明確化し、その重要度に応じた適切な管理策を講じることが推奨されています。
国の機密性分類と自治体の機密性情報が区別され、自治体内での情報アクセス制限が一層厳しくなりました。
サイバーレジリエンスの向上
ランサムウェア攻撃や標的型攻撃が自治体を狙うケースが増加しているなか、サイバー攻撃を完全に防ぐことは難しくなっています。そのため、今回の改定では、攻撃を受けることを前提とした対応策が重視されています。特に、インシデント対応計画を明確にし、被害を最小限に抑えるための迅速な復旧手順を策定することが求められています。また、システムの冗長化を進め、障害が発生しても業務を継続できる体制を整えることも重要視されています。さらに、自治体職員に対するセキュリティ教育を強化し、サイバー攻撃への対応能力を高めるためのサイバーセキュリティアウェアネストレーニングを定期的に実施することも求められています。
なぜ地方公共団体のサイバーセキュリティ強化が重要で急務なのか?
地方公共団体は、近年のガイドライン改定により、自治体情報セキュリティクラウドの導入が進められ、セキュリティ要件の標準化が図られています。これにより、都道府県ごとのセキュリティ対策の格差を是正し、すべての自治体が一定の水準で対策を講じられる環境が整えられつつあります。
それと同時に、各自治体におけるサイバーセキュリティの強化は、ますます重要であり、急務となっています。
ここでは、その必要性が高まっている主な要因についてご紹介します。
増加するサイバー攻撃のリスク
地方自治体は、住民の個人情報や行政サービスの運用に関わる機密情報を扱っており、サイバー攻撃の標的になりやすい状況にあります。
近年、ランサムウェア攻撃の被害が増加しており、日本国内の自治体でも業務が停止する事例が何度も発生しています。例えば、2022年に奈良県の宇陀市がシステムがランサムウェアに感染し、住民サービスが一時的に停止する事態となりました。また、2024年の5月には、和歌山県や徳島県が納税通知書などを依頼している委託先企業がランサムウェア攻撃の被害に遭ってしまい、40万件以上の個人情報が流出したインシデントなども発生しました。
このようなランサムウェア攻撃は、重要な行政機能の停止や情報漏えいを引き起こすため、地方自治体はもちろん、地方自治体の業務委託先などのサイバーセキュリティを見直すきっかけにもなりました。
個人情報保護の重要性
地方自治体は、住民の氏名や住所、納税情報、福祉関連データなど、多くの個人識別情報を保有しています。
これらの情報が漏えいした場合、住民のプライバシーが侵害されるだけでなく、フィッシング詐欺やなりすまし犯罪のリスクがさらに高まります。特に、自治体のシステムがサイバー攻撃を受けることで個人情報が流出すれば、住民の信頼が大きく損なわれることになります。
法的義務と規制の遵守
サイバーセキュリティに関する法的義務も年々厳しくなっています。個人情報保護法の改正だけでなく、総務省による地方公共団体のセキュリティガイドラインなども改定され、自治体にもより高いセキュリティレベルが求められています。
万が一、適切な対策を講じていない場合、法的責任を問われる可能性があるほか、住民への説明責任も生じます。また、ガイドラインの改定により、クラウドサービスの適切な利用や業務委託先の管理強化など、新たな対応が必要となっているため地方自治体のサイバーセキュリティの見直しが早急に求められています。
地方自治体のリソースの限界
多くの自治体では、サイバーセキュリティ対策を専門とする人材が不足しており、限られたリソースの中で対策を実施しなければなりません。
特に中小規模の自治体では、専任のセキュリティ担当者を配置することが難しく、専門的な知識を持つ職員が不足しているケースも少なくありません。そのため、自治体クラウドとして、要件を満たした標準化されたソリューションの導入が重要となっています。自治体クラウドのように標準化されることで、各自治体が個別に高度なセキュリティ対策を講じる負担を軽減できるだけでなく、自治体間のセキュリティ対策の格差をなくし、すべての自治体が一定の水準で強固なセキュリティ環境を維持できるようになります。
セキュリティガイドラインが求めるどのような要件をPAMソリューションがサポートするのか
特権アクセス管理(PAM)の導入は、クラウドサービスの適切な利用や業務委託先の管理、機密情報の保護、サイバーレジリエンスの向上など、多くの重要なセキュリティ課題に対応するための有効な手段となります。
ここでは、地方自治体のようなセキュリティガイドラインが求める要件をPAMソリューションがどのようにサポートするのか、一部の機能をご紹介します。
クラウドサービスの特権アカウントの管理
クラウドサービスの利用が進む中で、地方自治体における特権アカウントの管理は特に重要な課題となっています。自治体が導入するクラウドサービスには、システム管理者やサーバー管理者、データベース管理者などの特権アカウントが存在し、不適切な管理が情報漏えいや不正アクセスのリスクを高める可能性があります。特に、パスワードの使い回しや共有、不要なアカウントの放置といった管理の不備が、内部不正や外部からの攻撃の温床になり得ます。
PAMを導入することで、特権アカウントのアクセスを厳格に制御し、適切な認証を確保できます。ロールベースアクセス制御(RBAC)を活用し、特権アカウントの利用を許可された職員のみに限定し、業務に必要な最小限の権限を付与することで、不要なアクセスを防ぐことができます。職員ごとの役割に応じた適切なアクセス管理が可能となり、特権の濫用リスクを抑えることができます。
システム管理者や外部委託業者のアクセスについては、ジャストインタイム(JIT)アクセス管理を導入することで、必要な時間のみ特権を付与し、業務終了後には自動的に権限を取り消すことができます。特権アカウントの不要な常時有効化を防ぎ、万が一のアカウント乗っ取りや内部不正のリスクを最小限に抑えることが可能になります。
さらに、特権アカウントのログイン時には、パスワードだけでなく、追加の認証を必要とする多要素認証(MFA)やパスワードを必要としないパスキーを利用することで、パスワードに関連する攻撃のリスクを軽減することが可能になります。
業務委託先のアクセス制御
PAMを導入することで、業務委託先のアクセスを厳密に制御し、最小権限の原則に則ったアクセス制御が可能になります。ロールベースアクセス制御(RBAC)を活用することで、担当者の業務内容に応じた適切な権限を付与し、不要なアクセスを防ぐことができます。さらに、ジャストインタイム(JIT)アクセス管理を活用すれば、プロジェクト毎など必要な時にのみ一時的なアクセス権を付与し、業務が終了した時点で自動的にアクセス権を取り消すことができます。これにより、委託先による不要な権限の保持を防ぎ、リスクを最小限に抑えることが可能になります。
また、PAMには委託先のアクセスログを記録・監査する機能があり、誰が、いつ、どのシステムにアクセスしたかを詳細に把握できます。不審なアクセスがあった場合にはアラートを発し、即座に対応できる体制を整えることができます。
適切なアクセス制御
改定されたガイドラインでは、自治体が取り扱う機密情報の分類基準が見直され、より適切なアクセス制御の管理が求められています。特に、自治体が扱う個人情報や機密性の高いデータに対しては、アクセス権の厳格な管理が不可欠です。
PAMを活用することで、機密情報へのアクセス権を業務内容や役職に応じて細かく設定し、不要な権限の付与を防ぐことが可能になります。
サイバーレジリエンスの強化
地方自治体が強固なサイバーレジリエンスを持つことは、ますます重要になっています。
サイバーレジリエンスとは、サイバー攻撃やシステム障害などの脅威に対して、組織が回復力を持ち、業務を継続できるようにする能力を指します。
特に、ランサムウェア攻撃や標的型攻撃は、自治体の業務に甚大な影響を及ぼす可能性があり、これらの攻撃に迅速かつ効果的に対応するためには、事前の対策が欠かせません。サイバーレジリエンスの強化には、攻撃を受けた際に被害を最小限に抑えるための多層的なセキュリティ対策と、発生したインシデントへの迅速な対応力が求められます。
PAMはアクセスの記録と監査を行い、異常なアクセスや不審なアクティビティを即座に検出する機能を提供します。これにより、サイバー攻撃の兆候を早期に発見し、迅速な対応が可能になります。攻撃が発生した場合、迅速にアクセス権を取り消し、被害を拡大させる前に事態を収束させ、システムの復旧を迅速に行うための体制に貢献します。
コンプライアンスのための可視化レポート
PAMを活用することで、組織のシステムに対するアクセス状況を可視化し、リアルタイムで監視することができます。この可視化により、誰が、いつ、どのシステムにアクセスしたか、また、どのような権限を使用したかが一目で分かります。さらに、PAMではアクセス履歴を詳細に記録し、定期的なレポートを自動的に生成することが可能です。これにより、セキュリティ対策の実施状況を監査担当者や外部機関に迅速に報告することができ、透明性の高い運用が実現します。また、法規制の遵守を確保するために、必要なデータを即座に取り出せることは、コンプライアンスを遵守する上で欠かせない要素となります。
また、PAMはSIEM(Security Information and Event Management)と連携することで、ログやイベントデータを統合し、より高度な脅威検知を実現できます。SIEMと組み合わせることで、特権アカウントの不審な挙動を即座に分析し、異常が発生した際の対応を自動化することも可能になります。
PAMでクラウド環境のセキュリティ要件をシームレスに対応
PAM(特権アクセス管理)のようなソリューションは、地方自治体ののようなクラウド環境へ移行する地方自治体だけでなく、組織にとって必要不可欠なソリューションになっています。
特に、ガイドラインに沿ったような厳格なアクセス制御やコンプライアンス遵守が求められており、PAMはそのニーズを支援してくれる強力なソリューションです。
特権アカウントの管理、業務委託先のアクセス制御、機密情報の適切な取り扱い、サイバーレジリエンスの強化など、多岐にわたる要件をサポートするPAMは、自治体のような組織が直面するリスクを最小限に抑え、信頼性の高いセキュリティ環境を提供します。
これにより、自治体はより効率的にセキュリティ対策を講じ、安心してサービスを提供できるようになります。
この機会に、KeeperPAMのデモをリクエストして、クラウド環境へ移行する組織がアクセス管理の効率化やアクセス制御、コンプライアンス対応の強化などどのようにサポートできるかをご覧ください。
