近年、民間企業に限らず地方公共団体等が業務を委託されている外部事業者を標的としたサイバー攻撃が深刻化しています。
今年度早々に国内のITサービス事業者がランサムウェア攻撃を受け、同社がシステム運用を受託していた複数の地方公共団体等の個人情報や重要データが外部に漏洩した可能性のあるインシデントが発生いたしました。
住民の安心・安全な暮らしを守る地方公共団体において、委託先経由のセキュリティインシデントは極めて重大なリスクとなります。

---

地方公共団体向け情報セキュリティ対策支援に関するお問い合わせはこちらから
サービス・製品に関するお問い合わせ
（「お問い合わせを行うサービスを選択してください。」の欄に「地方公共団体向けセキュリティ対策支援」を選択してください。）

---

 

■ インシデントにおける主な「原因」
このようなインシデントにおいて、共通して見られる主な原因は以下の3点です。

原因	詳細
外部委託先の脆弱性	自治体側のネットワーク構成のセキュリティが強固であっても、委託業者のネットワークや管理体制に脆弱性・不備があり、「踏み台」として悪用される。
ネットワーク境界の防御不全	VPN機器や公開サーバーの脆弱性が放置され、不正アクセスの侵入口となる。
特権ID・アカウント管理の甘さ	システムメンテナンス用のアカウントなどが適切に管理されておらず、攻撃者に乗っ取られて組織内部へ深く侵入される。

 

■ 地方公共団体が今すぐ講じるべき「対策」
　システムやネットワーク面の防御だけでなく、取り扱う「データ（個人情報）」そのものの管理体制を見直す抜本的な対策が急務です。

対策	詳細
委託先事業者に対する 徹底した監査と統制	委託先におけるセキュリティ対策状況（パッチ適用、アクセスログ管理など）を可視化し、定期的な監査を実施する。
預託している個人情報の 棚卸しと可視化	「どの事業者に、どのような住民の個人情報を、どこまで預けているか」を正確に把握・管理し、不要なデータ保持や過剰なアクセス権限を排除する。
庁内職員のデータ取り扱い運用の見直し・改善	外部へのデータ持ち出しルールや、委託先とのデータ授受の方法が形骸化していないか再点検し、業務フロー自体の安全性を高める。

 

■ 対策を講じないことへの「リスク」
もし対策を後回しにした場合、地方公共団体は以下のようなリスクに直面する可能性があります。

リスク	詳細
住民からの信頼失墜と社会的責任	マイナンバーを含む機微な個人情報の漏洩による、住民への謝罪や苦情対応など通常業務を行うことが困難になる可能性。
行政サービスの中断	システムが暗号化されることで、住民票の発行や福祉関連の手続きなど、数日〜数週間にわたり窓口業務が停止する可能性。
財政的・リソース的損害	インシデントの原因調査、システムの復旧、専門家への対応依頼など、予期せぬ巨額の費用が発生する可能性。

 ■ 当社の「地方公共団体向けセキュリティ対策支援サービス」

当社では、限られた人員と予算の中で最大の効果を発揮するため、地方公共団体特化型の支援メニューをご用意しております。

サービス名	概要・メリット
特定個人情報保護監査	各地方公共団体が外部に委託している業務において、「どのような住民情報を、どの業者に預けているか」を完全に可視化・棚卸しします。 さらに、データを取り扱う職員様の業務フローを分析し、より安全に運用するための具体的な改善提案（データ最小化や持ち出し制限など）まで実施します。
委託先外部監査	業務を委託している外部事業者のセキュリティ体制を、当社専門技術者が客観的に監査・評価し、弱点を洗い出します。
脆弱性診断・ASM（アタックサーフェスマネジメント）	庁内ネットワークおよび外部公開システムの脆弱性を網羅的に調査し、ランサムウェアの侵入経路を塞ぎます。

（参考）
・情報セキュリティ監査
各地方公共団体が保有する情報セキュリティポリシー等の運用規定に則って職員様が業務されているかを監査し改善提案を行います。
・α'/β/β'モデル外部監査
自治体情報システム強靭性向上モデルにおいてα'/β/β'モデルを採用される地方公共団体が増えてきております。
上記モデルを採用される場合は定期的な外部監査が必要となります。
当社では当該外部監査に精通した技術者によるご支援を行います。

安心安全な行政サービスをご提供されるため対策を講じるご検討されてはいかがでしょうか。

【本件に関するお問い合わせ先】
株式会社ITスクエア
担当部署：営業部
営業担当TEL：025-243-0240 / E-mail：itsent@itsquare.co.jp