ページトップ
  • 令和元年度|
  • 第4章 国会及び内閣に対する報告並びに国会からの検査要請事項に関する報告等|
  • 第1節 国会及び内閣に対する報告

参考:報告書はこちら

第2 国による地方公共団体の情報セキュリティ対策の強化について


検査対象
総務省、241地方公共団体(18都道府県、223市区町村)
地方公共団体における情報セキュリティ対策の強化に係る補助事業の概要
二要素認証及び情報持出し不可設定の導入、LGWAN接続系とインターネット接続系の分割並びに自治体情報セキュリティクラウドの構築の三層から成る対策を講ずることにより地方公共団体の情報セキュリティ対策の抜本的な強化を図るもの
上記の補助事業に係る検査対象の241地方公共団体に対する国庫補助金交付額
61億3920万円(平成27、28両年度)
自治体情報セキュリティ支援プラットフォームの概要
ネットワークシステム上で地方公共団体の担当者がセキュリティ専門家からの助言を受けたり、他の地方公共団体との事例の共有を行ったりするもの
上記の構築等に係る支払額
4752万円(平成27年度)

1 検査の背景

(1) 情報セキュリティ対策に係る制度等の概要

ア 国及び地方公共団体における情報セキュリティ対策に係る制度等の概要

我が国では、インターネット等の高度情報通信ネットワークの整備及び情報通信技術の活用の進展に伴って世界的規模で生じているサイバーセキュリティに対する脅威の深刻化等に伴い、情報の自由な流通を確保しつつ、サイバーセキュリティの確保を図ることが喫緊の課題となっている。サイバーセキュリティ基本法(平成26年法律第104号)によれば、国は、サイバーセキュリティに関する総合的な施策を策定し、及び実施する責務を有するとされており、地方公共団体は、国との適切な役割分担を踏まえて、サイバーセキュリティに関する自主的な施策を策定し、及び実施する責務を有するとされている。そして、個人番号(注1)(以下「マイナンバー」という。)の導入に伴い、政府としても、サイバーセキュリティが確保されるよう地方公共団体の情報システムについて、社会保障・税番号制度(以下「マイナンバー制度」という。)の運用に係るセキュリティを強化する観点から必要な対策を検討し、講じていくとされている。また、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)に規定されたマイナンバー利用事務(注2)において使用するシステムについて、インターネットから独立するなどの高いセキュリティ対策を踏まえたシステム構築や運用体制の整備を含めて検討した上で、必要な措置を講ずるなどとされている。

(注1)
個人番号  国民一人一人に付与された唯一無二となる12桁の番号。国民の氏名、住所、性別及び生年月日と関連付けられている。
(注2)
マイナンバー利用事務  行政機関等、地方公共団体等その他の者が、法令に基づき行う社会保障、税及び災害対策に関する特定の事務において、保有している個人情報の検索や管理のためにマイナンバーを利用する事務

イ 地方公共団体における情報システム、情報セキュリティ対策等の概要

(ア) マイナンバー制度における地方公共団体等の情報連携の概要

地方公共団体等の情報システムにおいて、平成28年1月からマイナンバー利用事務が実施され、29年11月から情報提供ネットワークシステム等を通じて特定個人情報(マイナンバーをその内容に含む個人情報)の照会及び提供である情報連携が行われており、情報連携の仕組みの構築に当たっては、国の行政機関の組織内のネットワークを相互に接続する政府共通ネットワーク及びLGWAN(注3)がそれぞれ改修されて活用されている。

(注3)
LGWAN  地方公共団体内のネットワークを相互に接続する総合行政ネットワーク
(イ) 地方公共団体における情報セキュリティポリシーに関するガイドラインの概要

総務省は、13年3月に、「地方公共団体における情報セキュリティポリシーに関するガイドライン」(平成30年9月最終改定。以下「セキュリティポリシーガイドライン」という。)を策定している。セキュリティポリシーガイドラインによれば、情報セキュリティポリシーは、各地方公共団体の情報セキュリティ対策における基本的な考え方を定めた「情報セキュリティ基本方針」と、全ての情報システムに共通の情報セキュリティ対策の基準を定めた「情報セキュリティ対策基準」(以下「対策基準」という。)で構成されるものとされている。

(2) 情報セキュリティ対策の強化の概要等

ア 地方公共団体の情報セキュリティ対策の強化の経緯

27年5月に、日本年金機構が外部から標的型攻撃(注4)を受けて、LANシステム上の共有フォルダに保存されていた個人情報がインターネットを通じて不正に外部に流出したとされる事案が発生した。

(注4)
標的型攻撃  特定の組織に狙いを絞り、その組織の業務習慣等の内部情報について事前に入念な調査を行った上で、様々な攻撃手法を組み合わせ、その組織に最適化した方法を用いて行われる攻撃

そして、地方公共団体においても、同年6月に、日本年金機構と同様の標的型攻撃を受けて戸籍事務等に使用する情報システムをネットワークから切断することを余儀なくされるなどの事案が発生している。

このような事案等を踏まえて、総務省は、地方公共団体の情報セキュリティに係る抜本的な対策を検討するために、同年7月に、情報システムに関する専門家等で構成する「自治体情報セキュリティ対策検討チーム」(以下「検討チーム」という。)を設置している。

検討チームは、同年8月に中間報告(以下「8月報告」という。)を取りまとめて、①組織体制の再検討、職員の訓練等の徹底、②インシデント即応体制の整備及び③インターネットのリスクへの対応の3項目について総務省に提言している。

そして、総務省は、各地方公共団体に対して、8月報告を参考に情報セキュリティ対策に積極的に努めるよう通知するとともに、同月に、検討チームにおける議論を踏まえた地方公共団体の情報セキュリティ対策の強化に係る留意事項について通知を発出して、助言等を行っている。そして、検討チームは、次の①から③までの三層から成る対策(以下「三層の構え」という。)を講ずることにより、同年11月に地方公共団体の情報セキュリティ対策を抜本的に強化することが必要であるとの報告(以下「11月報告」という。)を取りまとめて、総務大臣に報告している。

① 二要素認証及び情報持出し不可設定の導入

マイナンバー利用事務系(既存住基(注5)、税、社会保障、戸籍事務等)においては、原則として、他の領域との通信ができないように分離を徹底した上で、端末への二要素認証や端末からの情報持出し不可設定(以下、二要素認証と情報持出し不可設定を合わせて「二要素認証等」という。)の導入等を図ることにより、住民情報(住民基本台帳に記載された住民の氏名、住所、生年月日、性別の情報や特定個人情報等)の流出を徹底して防ぐこと

(注5)
既存住基  住民基本台帳ネットワークシステム導入以前から使用されている住民基本台帳システム
② LGWAN接続系とインターネット接続系の分割

マイナンバーによる情報連携に活用されるLGWAN環境のセキュリティ確保に資するために、財務会計等のLGWANを活用する業務用システム(以下「LGWAN接続系」という。)と、Web閲覧やインターネットメール等のシステム(以下「インターネット接続系」という。)との通信経路を分割すること。なお、LGWAN接続系とインターネット接続系との間で通信する場合には、ウイルス感染のない無害化通信を図ること

③ 自治体情報セキュリティクラウドの構築

インターネット接続系においては、都道府県と市区町村が協力してインターネット接続口を集約した上で、自治体情報セキュリティクラウドを構築し、高度なセキュリティ対策を講ずること

イ 強化対策費補助金による補助事業等の概要

総務省は、11月報告を受けて、各地方公共団体に対して同年12月に通知を発し、三層の構えを講ずることにより情報セキュリティ対策の抜本的な強化を図るよう要請するとともに、これらの対策に要する経費を総額510億円と見積もり、その2分の1を地方公共団体情報セキュリティ強化対策費補助金(以下「強化対策費補助金」という。)として、平成27年度補正予算により地方公共団体に交付することとした。そして、平成27年度補正予算に強化対策費補助金として254億9859万余円が計上され、その交付額は、46都道府県及び1,727市区町村の計1,773地方公共団体に対する計233億4588万余円となっている。強化対策費補助金は、「自治体情報システム強じん性向上モデル」の構築(以下「強じん性向上事業」という。)及び「自治体情報セキュリティクラウド」の構築(以下「セキュリティクラウド事業」という。)に要する経費を補助の対象としており、原則として、都道府県に対してはセキュリティクラウド事業に要する経費、市区町村に対しては強じん性向上事業に要する経費を補助対象としている。

強じん性向上事業は、地方公共団体の庁内のネットワークの強じん性の向上を図る事業であり、総務省は、強化対策費補助金の実施要領及び「地方公共団体情報セキュリティ強化対策費補助金執行Q&A」において、マイナンバー利用事務系の他の領域からの分離を徹底した上で、①マイナンバー利用事務系の端末への二要素認証の導入、②マイナンバー利用事務系の端末からの情報持出し不可設定及び③LGWAN接続系とインターネット接続系の分割の情報セキュリティ対策を必須要件としており、これらの項目を実施せずに行った情報セキュリティ対策に要した経費は強化対策費補助金の交付対象とはならないとしている。セキュリティクラウド事業は、都道府県と市区町村が協力して自治体情報セキュリティクラウドを構築し、高度なセキュリティ対策を講ずる事業である。

ウ セキュリティポリシーガイドラインの改定

総務省は、検討チームの報告等を踏まえて、30年9月にセキュリティポリシーガイドラインを改定しており、この改定により、自治体情報セキュリティ対策の抜本的強化に当たり、情報システム全体の強じん性の向上(以下「強じん化」という。)のための措置を講ずることについて、その方法等が具体的に記載された。

エ 総務省による支援PFの構築等

総務省は、8月報告を受けて、地方公共団体における情報セキュリティ対策向上に寄与することを目的として、ネットワークシステム上で地方公共団体の担当者が情報セキュリティの専門家から助言を受けることなどができる自治体情報セキュリティ支援プラットフォーム(以下「支援PF」という。)を事業費3780万円で構築等し、27年9月から運用を開始している。また、地方公共団体の担当者が質問を投稿して他の地方公共団体に回答を依頼することができる掲示板機能等を事業費972万円で追加整備し(上記の構築等を合わせた事業費計4752万円)、28年3月から運用している。

2 検査の観点、着眼点、対象及び方法

(1) 検査の観点及び着眼点

前記のとおり、総務省は、各地方公共団体に対し、平成27年度補正予算において強化対策費補助金を交付し、地方公共団体は、情報セキュリティ対策の強化等を行い、27年度以降順次、その運用を開始している。強化対策費補助金は、情報セキュリティ対策のうち、物理的セキュリティ及び技術的セキュリティを向上させるものであるが、情報セキュリティの体制整備等が適切に行われることにより、強化対策費補助金の交付の目的である情報セキュリティ対策の強化が実現することとなる。

そこで、本院は、強化対策費補助金等による情報連携開始前後の地方公共団体の情報セキュリティ対策の強化の状況について、合規性、経済性、効率性、有効性等の観点から、次の点に着眼して検査した。

ア 強化対策費補助金の交付状況はどのようになっているか。

イ 二要素認証等の導入、LGWAN接続系とインターネット接続系との分割及び自治体情報セキュリティクラウドの構築といった強化対策費補助金等による地方公共団体の情報セキュリティ対策の強化は、補助金の交付目的に照らして適切に実施されているか、また、補助金の交付目的を実現し、効果を持続させるための体制等は整備されているか。

ウ 総務省は、強化対策費補助金で強化された情報セキュリティ対策の実効性を確保するためどのような支援を行っているか、支援PFは有効に機能しているか。

(2) 検査の対象及び方法

検査に当たっては、27、28両年度に強化対策費補助金が交付された46都道府県及び1,727市区町村の計1,773地方公共団体のうち18都道府県及び管内223市区町村の計241地方公共団体に交付された強化対策費補助金計61億3920万余円、並びに支援PFの構築等に係る支払額4752万円を対象として、総務省及び241地方公共団体において、情報セキュリティ対策の実施状況について、関係資料を確認するなどして会計実地検査を行うとともに、241地方公共団体から調書を徴するなどして調査分析を行った。

3 検査の状況

(1) 強化対策費補助金の交付状況

18都道府県に対して交付された強化対策費補助金計27億2938万余円を補助対象事業別にみると、18都道府県の全てがセキュリティクラウド事業を実施して計22億5145万余円の交付を受け、このうち10都道府県は強じん性向上事業も実施して計4億7793万余円の交付を受けていた。また、223市区町村に対して交付された強化対策費補助金計34億0981万余円を補助対象事業別にみると、223市区町村の全てが強じん性向上事業を実施して計33億8299万余円(事業別に分離できない交付実績額計1638万余円を除く。)の交付を受け、このうち27市区町村はセキュリティクラウド事業も実施して計1043万余円(事業別に分離できない交付実績額計1638万余円を除く。)の交付を受けていた。

(2) 三層の構えによる情報セキュリティ対策の強化の実施状況等

会計実地検査時点における強化対策費補助金等による地方公共団体の情報セキュリティ対策の強化の実施状況を、三層の構えの対策ごとに着目するなどしてみると、次のとおりとなっていた。

ア マイナンバー利用事務系の端末等の二要素認証等の実施状況等

(ア) マイナンバー利用事務系の端末への二要素認証の導入等の状況

総務省は、強化対策費補助金の実施要領等において、マイナンバー利用事務系の端末への二要素認証の導入を強じん性向上事業の必須要件としており、一方、二要素認証の導入が必須となるのはマイナンバー利用事務で使用する端末(以下「マイナンバー利用端末」という。)であるとしていた。

そこで、223市区町村のうちマイナンバー利用事務系の端末を配置している219市区町村における二要素認証の導入状況をみたところ、会計実地検査時点において、二要素認証を導入していたのは217市区町村となっていた。なお、残りの2市区町村は、令和元年5月末現在において、他の事業により導入済みとなっている。

そして、上記217市区町村のうち、マイナンバー利用端末の一部の端末に導入していないのが12市区町村となっており、これらのうち、10市区町村は、マイナンバー利用端末の全てに導入する予定があるとしていなかった。なお、平成31年3月末現在において、10市区町村は、導入していたり、導入する予定であるとしていたりなどしていた。上記の10市区町村においては、正規の権限を持つ職員になりすましてログインして、特定個人情報に不正にアクセスすることが、二要素認証を導入した端末に比べて容易な状況となっていた。

しかし、総務省は、このような市区町村があることを十分に把握していなかった。

217市区町村の二要素認証の運用等の状況については、次のとおりとなっていた。

a 認証エラーとなった際等の代替手段

二要素認証の種類のうち、ICカード等の「所持」や指紋等の「存在」が認証エラーとなった際等の代替手段となるパスワードがあらかじめ設定されるなどしている場合、当該パスワードを不正に取得すれば、正規の権限を持つ職員になりすまして、二要素認証を回避して「知識」の一要素のみによる認証でログインし、特定個人情報に不正にアクセスすることが、二要素認証でログインする場合に比べて容易となる。

そこで、「所持」又は「存在」による認証がエラーとなった際等の代替手段の状況をみたところ、27市区町村は、認証の代替手段となるパスワードをあらかじめ設定するなどして、通常の操作のみで当該パスワード入力画面に遷移することができる状況となっていた。

b 端末及び業務システムの認証の手段の共有

職員の間で共有している認証の手段のみで端末及び業務システムにログインが可能な場合には、業務システムを通じて特定個人情報に不正アクセスを行った者等の特定が困難になるおそれがある。

そこで、端末及び業務システムにログインするために必要となる認証の手段を職員の間で共有しているかをみたところ、7市区町村は、一部のアカウントについて、共有している認証の手段のみで端末及び業務システムにログインが可能な状況となっていた。

c 端末のローカルドライブ等に特定個人情報を保存している場合のリスク

特定個人情報を端末のローカルドライブ及び複数の端末からアクセスできるファイルサーバ等の共有フォルダ(以下、これらを合わせて「端末のローカルドライブ等」という。)に保存している場合で、①共有している認証の手段のみで端末にログインできたり、②端末に一要素による認証でログインし、その後、マイナンバー利用事務に係る業務システムにログインする際に別の一要素又は二要素で認証する方法(以下「段階的な認証方法」という。)を採用していたりする場合には、導入した二要素認証の効果が十分に発現しないおそれがある。また、同様に、③ファイルサーバ等へのアクセス制御の設定により、正規の権限を持たない職員でもファイルサーバ等の共有フォルダにアクセスできる場合にも、導入した二要素認証の効果が十分に発現しないおそれがある。

そこで、217市区町村について、特定個人情報を端末のローカルドライブ等に保存しているかをみたところ、59市区町村ではマイナンバー利用端末へログインすることによりアクセスできる当該端末のローカルドライブに、113市区町村ではログインした複数のマイナンバー利用端末からそれぞれアクセスできるファイルサーバ等の共有フォルダに、それぞれ特定個人情報を保存していた。そして、①これらの純計122市区町村のうち15市区町村では、全部又は一部のアカウントについて共有している認証の手段のみで端末にログインできる状況となっていた。また、②122市区町村のうち16市区町村では、段階的な認証方法を採用していて、正規の権限を持つ職員になりすまして、一要素による認証で端末にログインできる状況となっていた。また、③上記の特定個人情報を共有フォルダに保存している113市区町村のうち7市区町村は、課室単位でアクセス制御しているが、特定個人情報を含むデータにパスワードを設定するなどはしておらず、同じ課室内に所属する正規の権限を持たない職員でも共有フォルダに保存されている特定個人情報にアクセスできる状況となっていた。そして、これらの①の15市区町村、②の16市区町村及び③の7市区町村の純計である29市区町村のうち19市区町村では、端末のローカルドライブ等への特定個人情報の保存期間が1年以上の長期にわたっていたり、8市区町村では、保存期間が不明であるとしたりしていた。

以上のように、二要素認証の運用等の状況によっては、その効果が十分に発現しないおそれがある状況が見受けられた。

しかし、総務省は、このような状況について十分に把握していなかった。

(イ) マイナンバー利用事務系の端末からの情報持出し不可設定の導入等の状況

総務省は、強化対策費補助金の実施要領等において、マイナンバー利用事務系の端末からの情報持出し不可設定の導入を強じん性向上事業の必須要件としており、一方、情報持出し不可設定の導入が必須となるのはマイナンバー利用端末であるとしていた。

そこで、223市区町村のうちマイナンバー利用事務系の端末を配置している219市区町村における情報持出し不可設定の導入状況をみたところ、会計実地検査時点において、情報持出し不可設定を導入していたのは218市区町村となっていた。なお、残りの1市区町村は、31年3月末現在において、他の事業により導入済みとなっている。

そして、上記218市区町村のうち、マイナンバー利用端末の一部に導入していないのが13市区町村となっており、このうち、12市区町村は、マイナンバー利用端末の全てに導入する予定があるとしていなかった。なお、31年3月末現在において、12市区町村は、導入していたり、導入する予定であるとしていたりなどしていた。上記の12市区町村においては、情報持出し不可設定を導入していない端末から不正に特定個人情報を持ち出すことが、情報持出し不可設定を導入した端末に比べて容易な状況となっていた。

しかし、総務省は、このような市区町村があることについて十分に把握していなかった。

218市区町村の情報持出し不可設定の運用等の状況については、次のとおりとなっていた。

a 例外的な情報持出しの運用状況

情報持出し不可設定における例外的な取扱いとして、長期間又は期間を設けることなく情報持出し不可設定を解除する運用を行い、かつ、情報を持ち出す際に情報セキュリティ管理者による許可がなくても情報を持ち出すシステム操作ができたり、許可を得る運用をしていなかったりする場合には、内部不正等による情報漏えいのリスクが高まり、情報持出し不可設定の効果が十分に発現しないおそれがある。

そこで、例外的な情報持出しの運用状況をみたところ、203市区町村では端末からの例外的な情報持出しを認めており、このうち160市区町村では管理者権限を持つ職員等が職員からの申請に基づいて情報持出し不可設定を解除する運用を行っていた。そして、このうち、期限を設けることなく情報持出し不可設定を解除する運用をしているものが62市区町村、一度の申請における解除期間を1か月以上としているものが27市区町村となっていた。

さらに、上記62市区町村及び27市区町村の純計87市区町村の全てにおいて情報セキュリティ管理者による許可がなくても情報を持ち出すシステム操作ができるようになっており、このうち29市区町村では情報セキュリティ管理者に許可を得る運用もしていない状況となっていた。

b 例外的な情報持出しに係る記録等の状況

情報を持ち出す際に、情報持出しに係るログを保存したり、台帳等により記録したりするなどしていない場合には、情報持出しによる情報漏えいや内部不正等のリスクが高まることとなる。

情報持出しに係るログの保存については、44市区町村では全部又は一部の媒体についてログを保存していないとしており、情報を持ち出す際の氏名、日時、持出物等の台帳等への記録については、77市区町村(ログを保存していない44市区町村のうち19市区町村を含む。)が記録していないとしていた。

データ暗号化機能を備える外部記憶媒体の使用等の状況については、81市区町村は暗号化の実施を職員が選択でき、任意で行っている状況となっており、56市区町村は、そもそも暗号化機能を備える外部記憶媒体を使用するなどしていなかった。

以上のように、情報持出し不可設定の運用等の状況によっては、その効果が十分に発現しないおそれがある状況が見受けられた。

しかし、総務省は、このような状況を十分に把握していなかった。

イ マイナンバー利用事務系等の分離、分割等の実施状況等

(ア) マイナンバー利用事務系の他の領域からの分離及びLGWAN接続系とインターネット接続系との通信経路の分割の状況

223市区町村における領域間の分離及び分割の状況をみたところ、マイナンバー利用事務系と他の領域の分離及びLGWAN接続系とインターネット接続系の分割については、31年3月末現在において全ての市区町村で分離及び分割を行っていた。

(イ) マイナンバー利用事務系等の分離及び分割後の領域間通信の状況

総務省は、マイナンバー利用事務系、LGWAN接続系及びインターネット接続系との間で通信を行う場合には、通信経路の限定、通信プロトコルの限定(注6)等を行うことで通信を制限することとしている。また、マイナンバー利用事務系と他の領域との間で特定の通信に限定する際は、通信経路の限定に加えて、アプリケーションプロトコルのレベルでの限定(注7)も行うこととしている。

そこで、223市区町村において、領域間で行われている通信(以下「領域間通信」という。)について、通信内容の種類別及び領域別にみたところ、217市区町村において延べ1,672件の領域間通信が行われていた。そして、マイナンバー利用事務系と他の領域との間の領域間通信の通信制御の状況をみたところ、59市区町村の延べ247件において、通信経路の限定又は通信プロトコルの限定のうち少なくともいずれか一つが行われていない状態で領域間通信が行われており、このうち3市区町村の延べ4件は、マイナンバー利用事務系とインターネット接続系との間の領域間通信となっていた。

(注6)
通信プロトコルの限定  通信規約(通信する上での約束事や手続)により通信を限定すること
(注7)
アプリケーションプロトコルのレベルでの限定  通信規約の分類の一つで、具体的な用途やソフトウェア、サービス等の種類に応じて個別に制定されたものにより通信を限定すること
(ウ) LGWAN接続系とインターネット接続系との通信経路の分割後のインターネット接続系からLGWAN接続系への無害化通信の状況

会計実地検査時点においてLGWAN接続系とインターネット接続系の分割が行われている222市区町村について、メール本文及び添付ファイルその他の業務上必要なファイル(以下、これらを合わせて「添付ファイル等」という。)の転送又は収受に当たり、強じん性向上事業により整備した機器等により無害化が行われているか確認したところ、インターネット接続系からLGWAN接続系へメール本文を無害化することなく転送しているのが4市区町村等、添付ファイル等を無害化することなく転送又は収受しているのが49市区町村等となっていた。

(エ) LGWAN接続系とインターネット接続系との通信経路の分割後のLGWAN接続系におけるOS(オペレーティングシステム)の更新プログラム等の適用の状況

上記の222市区町村について、LGWAN接続系とインターネット接続系の分割前後におけるLGWAN接続系に配置された端末等への更新プログラム等の適用状況を確認したところ、LGWAN接続系とインターネット接続系の分割後である30年5月末時点において、更新プログラムを適用していないのが、分割前の26市区町村から54市区町村へ、ウイルス対策ソフトの更新データを適用していないのが、分割前の9市区町村から14市区町村へと増加していた。そして、これら54市区町村及び14市区町村の分割前における更新プログラム等の適用頻度についてみると、それぞれ29市区町村及び9市区町村は、分割前には1か月以内の頻度で適用していたのに、分割後に適用を行わなくなっていた。

ウ 自治体情報セキュリティクラウドによる高度なセキュリティ対策の実施状況等

18都道府県が構築した自治体情報セキュリティクラウドについて、241地方公共団体の自治体情報セキュリティクラウドへの接続状況をみたところ、会計実地検査時点において、237地方公共団体が接続していた。

自治体情報セキュリティクラウドについて、監視対象機器等の集約化のための設備の整備状況をみたところ、監視対象機器等のうち外部DNSサーバ(注8)については18都道府県のうち1都道府県、LGWAN接続ファイアウォール(注9)のログについては18都道府県のうち8都道府県の自治体情報セキュリティクラウドにおいてそれぞれ集約化のための設備を整備していないなどして、監視対象から除かれていた。

(注8)
外部DNSサーバ  サーバ等の情報をインターネットに公開するためのサーバ
(注9)
LGWAN接続ファイアウォール  各地方公共団体の内部のネットワークとLGWAN接続ルータとの間にあるファイアウォール

そして、集約化のための設備が整備されていても、接続している地方公共団体がこの設備を利用した集約をしていないなどして、前記237地方公共団体のうち、Webサーバについては26地方公共団体、外部DNSサーバについては44地方公共団体、LGWAN接続ファイアウォールのログについては116地方公共団体において、集約及び監視が行われていなかった。さらに、各地方公共団体において別途管理されている上記の機器等についての監視の状況をみたところ、「情報セキュリティ専門人材による監視・分析を行っていない地方公共団体」、「情報セキュリティ専門人材による監視・分析が行われているかを把握していない地方公共団体」がそれぞれ、Webサーバで6地方公共団体、3地方公共団体、外部DNSサーバで11地方公共団体、3地方公共団体、LGWAN接続ファイウォールのログで63地方公共団体、5地方公共団体等となっていた。

また、自治体情報セキュリティクラウドに接続する地方公共団体におけるインシデントの発生を検知した際の対応体制の状況を、前記の237地方公共団体についてみたところ、不正な通信を行っている端末等の特定については、「端末等を特定するために事業者等の支援等が必要」とする77地方公共団体のうち11地方公共団体で、支援等を行う事業者等との間で役割の確認を行っていなかったり、役割の確認を踏まえた内容で契約を締結していなかったり、必要な内容で契約が締結されているかの確認を行っていなかったりしていた。また、自らにおいてネットワークの遮断を実施するために事業者等の支援等を必要とする129地方公共団体のうち23地方公共団体で、支援等に係る役割の確認及びそれを踏まえた契約の締結等を行っていなかった。さらに、接続している地方公共団体側において遮断を判断することとしている160地方公共団体のうち76地方公共団体及び判断主体が決まっていない7地方公共団体のうち5地方公共団体は、遮断の判断に至る手順を策定等していなかった。このような地方公共団体においては、インシデント発生時の対応に漏れや誤りが生じたり、判断等を迅速に行えなかったりするなどの事態により、自治体情報セキュリティクラウドによる通報等を十分にいかせないこととなるおそれがある。

エ 情報セキュリティ対策の実効性を確保するための体制整備等

(ア) 情報セキュリティポリシーの策定及び強じん化に係る改定等の状況

前記241地方公共団体の会計実地検査時点における対策基準の策定及び強じん化を踏まえた改定等の取組の状況をみたところ、3地方公共団体は対策基準を策定しておらず、また、178地方公共団体は強じん化を踏まえた規定がないとしており、このうち40地方公共団体は30年11月末時点においても対策基準の改定の予定を未定としていた。

(イ) 強じん性向上事業実施後のセキュリティリスクへの組織的な対応

241地方公共団体のインシデント発生時における対応体制の整備等の状況をみたところ、CSIRT(注10)を設置していたのは130地方公共団体にとどまっており、このうち16地方公共団体ではその要員及び機能について文書化していなかったり、49地方公共団体では国及び庁内の最高情報セキュリティ責任者(CISO)等へ一斉同報する連絡ルートを構築していなかったりなどしており、インシデント発生時にCSIRTが迅速かつ的確に機能しないおそれがある。

さらに、緊急時対応計画において標的型攻撃に対応した内容を規定しているとしたのは66地方公共団体、緊急時対応訓練を実施したのは54地方公共団体となっていて、上記のいずれも実施したものは28地方公共団体にとどまっていた。

(注10)
CSIRT  情報システムに対するサイバー攻撃等のインシデントが発生した際に、当該インシデントを正確に把握して分析し、被害の拡大防止、復旧、再発防止等を迅速かつ的確に行うことを可能にするための機能を有する体制

(3) 支援PFの利活用の状況

27年9月から30年5月までの2年9か月に、支援PFに登録された情報セキュリティに関する情報等について、主な機能ごとに確認したところ、情報の登録件数については、インシデント関連掲示板機能は45件、情報セキュリティ専門家に問合せ等ができるQ&A機能は32件で、29年2月以降は3件にとどまっており、各種マニュアルを参照できるワーキンググループ機能は27年10月に3件掲載されたのみとなっており、その他自治体情報セキュリティの関連情報等を参照できる機能は41件で、29年6月以降の登録はなく、他の地方公共団体に質問して回答を依頼することができる掲示板機能は当該機能が追加された28年3月以降、質問の投稿が全くなかった。支援PFの利用等の状況について、支援PFにアクセスしたユーザーの数を確認したところ、同年11月以降は毎月100ユーザー未満となっていて、運用当初に比べて相当少数にとどまっていた。

241地方公共団体に支援PFの利用等の状況を確認したところ、68地方公共団体は、会計実地検査の時点まで「支援PFの存在を知らなかった」としており、全く利用していなかった。また、「支援PFの存在を知っていた」とする173地方公共団体の利用状況を確認したところ、「ほとんど利用していない」(利用頻度が3か月に1回程度未満)とするものが49地方公共団体、「ログインが初回実績のみ」とするものが37地方公共団体、「全く利用したことがない」とするものが74地方公共団体となっていた。そして、ほとんど利用していない地方公共団体にその理由を確認したところ、「別の方法で情報を得ているため」、「情報の更新が少ないため」などとなっていた。

以上のことから、支援PFは、地方公共団体の情報セキュリティ対策向上のために十分に利活用されているとはいえない状況となっており、総務省における支援の需要の把握や、支援PFが提供する情報や機能の見直しなどの検討も行われていない状況となっていた。

4 所見

(1) 検査の状況の概要

ア 強化対策費補助金の交付状況

18都道府県に対して交付された強化対策費補助金を補助対象事業別にみると、18都道府県の全てがセキュリティクラウド事業を実施しており、このうち10都道府県は強じん性向上事業にも交付を受けていた。223市区町村に対して交付された強化対策費補助金を補助対象事業別にみると、223市区町村の全てが強じん性向上事業を実施しており、このうち27市区町村はセキュリティクラウド事業にも交付を受けていた。

イ 三層の構えによる情報セキュリティ対策の強化の実施状況等

(ア) マイナンバー利用事務系の端末等の二要素認証等の実施状況等

マイナンバー利用事務系の端末を配置し、全部又は一部の端末に二要素認証を導入していた217市区町村における導入した端末の範囲や運用等の状況をみたところ、マイナンバー利用端末の一部に導入しておらず、マイナンバー利用端末の全てに導入する予定があるとしていないものが10市区町村となっていた。

上記の217市区町村における、「所持」又は「存在」による認証がエラーとなった際等の代替手段の状況をみたところ、27市区町村は、認証の代替手段となるパスワードをあらかじめ設定する運用を行うなどしていた。また、7市区町村は、一部のアカウントについて、共有している認証の手段のみで端末及び業務システムにログインが可能な状況となっていた。さらに、特定個人情報を端末のローカルドライブ等に保存していた122市区町村のうち、15市区町村では、共有している認証の手段のみで端末にログインできる状況となっており、16市区町村では、段階的な認証方法を採用しているため、一要素による認証で端末にログインし、特定個人情報に不正にアクセスできる状況となっていた。そして、7市区町村では、同じ課室内に所属する正規の権限を持たない職員でも共有フォルダに保存されている特定個人情報にアクセスできる状況となっていた。

マイナンバー利用事務系の端末を配置し、全部又は一部の端末に情報持出し不可設定を導入していた218市区町村における導入した端末の範囲等をみたところ、マイナンバー利用端末の一部に導入しておらず、マイナンバー利用端末の全てに導入する予定があるとしていないものが12市区町村となっていた。

218市区町村における例外的な情報持出しの運用状況をみたところ、端末からの例外的な情報持出しを認めている203市区町村のうち、160市区町村では管理者権限を持つ職員等が職員からの申請に基づいて情報持出し不可設定を解除する運用を行っており、このうち、期限を設けることなく解除する運用をしているものが62市区町村、解除期間を1か月以上としているものが27市区町村となっていた。上記の62市区町村及び27市区町村の純計87市区町村について、情報を持ち出す場合の情報セキュリティ管理者の許可の実施状況をみたところ、全ての市区町村において情報セキュリティ管理者による許可がなくても情報を持ち出すシステム操作ができるようになっており、このうち29市区町村では、情報セキュリティ管理者に許可を得る運用もしていない状況となっていた。

また、情報持出しに係る記録等の実施状況をみたところ、44市区町村では全部又は一部の媒体についてログを保存していないとしており、情報を持ち出す際の持出物等の記録については、77市区町村が記録していないとしていた。さらに、データ暗号化機能を備える外部記憶媒体の使用等についてみたところ、81市区町村は暗号化の実施を職員が任意で行っており、56市区町村は、そもそも暗号化機能を備える外部記憶媒体を使用するなどしていなかった。

(イ) マイナンバー利用事務系等の分離、分割等の実施状況等

223市区町村の領域間通信についてみたところ、217市区町村において延べ1,672件の領域間通信が行われていた。そして、マイナンバー利用事務系と他の領域との間の領域間通信の通信制御の状況をみたところ、59市区町村の延べ247件において、通信経路の限定又は通信プロトコルの限定のうち少なくともいずれか一つが行われていない状態で領域間通信が行われており、このうち3市区町村の延べ4件はマイナンバー利用事務系とインターネット接続系との間の領域間通信となっていた。

223市区町村のうち、会計実地検査時点において、LGWAN接続系とインターネット接続系の分割が行われている222市区町村について、メール本文及び添付ファイル等の転送又は収受に当たり、強じん性向上事業により整備した機器等により無害化が行われているか確認したところ、メール本文を無害化することなく転送しているのが4市区町村等、添付ファイル等を無害化することなく転送又は収受しているのが49市区町村等となっていた。

上記の222市区町村について、LGWAN接続系に配置された端末等への更新プログラム等の適用状況を確認したところ、30年5月末時点において、更新プログラムを適用していないのが26市区町村から54市区町村へ、更新データを適用していないのが9市区町村から14市区町村へと増加していた。そして、これら54市区町村及び14市区町村の分割前における更新プログラム等の適用頻度についてみると、それぞれ29市区町村及び9市区町村は、分割前には1か月以内の頻度で適用していたのに、分割後に適用を行わなくなっていた。

(ウ) 自治体情報セキュリティクラウドによる高度なセキュリティ対策の実施状況等

自治体情報セキュリティクラウドへの接続状況をみたところ、会計実地検査時点において、237地方公共団体が接続していた。自治体情報セキュリティクラウドにおける監視対象機器等の集約化のための設備の整備状況をみたところ、外部DNSサーバについては1都道府県、LGWAN接続ファイアウォールのログについては8都道府県が、それぞれ集約化のための設備を整備していないなどして、監視対象から除かれていた。また、接続している237地方公共団体のうち、Webサーバについては26地方公共団体、外部DNSサーバについては44地方公共団体、LGWAN接続ファイアウォールのログについては116地方公共団体において、集約及び監視が行われていなかった。そして、各地方公共団体において別途管理されている上記の機器等についての監視の状況をみたところ、「情報セキュリティ専門人材による監視・分析を行っていない」とするのがWebサーバについては6地方公共団体等となっていた。

また、自治体情報セキュリティクラウドに接続する地方公共団体におけるインシデントの発生を検知した際の対応体制の状況についてみたところ、「端末等を特定するために事業者等の支援等が必要」とする77地方公共団体のうち11地方公共団体は支援等を行う事業者等との間で役割の確認を行っていなかったり、役割の確認を踏まえた内容で契約を締結していなかったりなどしていた。接続している地方公共団体側において遮断を判断することとしている160地方公共団体のうち76地方公共団体及び判断主体が決まっていない7地方公共団体のうち5地方公共団体は、遮断の判断に至る手順を策定していないなどしていた。

(エ) 情報セキュリティ対策の実効性を確保するための体制整備等

241地方公共団体の対策基準の策定及び強じん化を踏まえた改定等の取組の状況をみたところ、対策基準を策定していなかったものが3地方公共団体となっていた。また、30年11月末時点の対策基準の改定の予定については、40地方公共団体が未定としていた。

241地方公共団体のインシデント発生時における対応体制の整備等の状況をみたところ、CSIRTを設置していた130地方公共団体のうち16地方公共団体はCSIRTの要員及び機能について文書化していないなどしていた。また、緊急時対応計画において標的型攻撃に対応した内容を規定しているとしたのは66地方公共団体、緊急時対応訓練を実施したのは54地方公共団体、いずれも実施していたのは28地方公共団体にとどまっていた。

ウ 支援PFの利活用の状況

27年9月から30年5月までに支援PFに登録された情報の登録件数は、インシデント関連掲示板機能が45件、自治体の掲示板機能が全くないなどとなっていた。また、支援PFの利用等の状況を確認したところ、28年11月以降は毎月100ユーザー未満にとどまっており、241地方公共団体のうち68地方公共団体は、会計実地検査の時点まで「支援PFの存在を知らなかった」として全く利用しておらず、「支援PFの存在を知っていた」地方公共団体でも「全く利用したことがない」ものが74地方公共団体となっていた。

(2) 所見

サイバーセキュリティ基本法において、国は、サイバーセキュリティに対する脅威の深刻化等に伴い、サイバーセキュリティの確保に関する総合的な施策を策定し、及び実施する責務を有するとされており、地方公共団体は、国との適切な役割分担を踏まえて、サイバーセキュリティに関する自主的な施策を策定し、及び実施する責務を有するとされている。

また、マイナンバー制度の施行に伴い、国と地方公共団体等の各機関の特定個人情報等を取り扱う情報システムが相互に接続されたことで、マイナンバー利用事務を行う地方公共団体の情報セキュリティ対策は、公的機関全体にとってますます重要な課題となっており、政府としても必要な支援を実施していくことになっている。

ついては、総務省において、地方公共団体における情報セキュリティ対策について、今後、次の点に留意して取り組んでいく必要がある。

ア 地方公共団体における情報セキュリティ対策の強化等

  • (ア) マイナンバー利用端末への二要素認証等の導入について、二要素認証等の導入状況を十分に把握するとともに、マイナンバー利用端末の二要素認証等の運用について、補助事業実施後の状況を十分に把握した上で、望ましくない運用方法を具体的に示すなどして、特定個人情報の情報漏えいなどのリスクがより低減されるよう、地方公共団体に対して助言を行うこと
  • (イ) マイナンバー利用事務系と他の領域との分離及びLGWAN接続系とインターネット接続系との分割について、分離及び分割後に行われる場合がある領域間通信において、本来意図しない通信やマイナンバー利用事務系等へのコンピュータウイルスの感染を防止するための方策を改めて明示するなどして、特定個人情報の情報漏えいなどのリスクがより低減されるよう、地方公共団体に対して助言を行うこと
  • (ウ) 自治体情報セキュリティクラウドによる高度なセキュリティ対策について、補助事業実施後の状況を十分把握した上で、監視・分析の必要な機器等が都道府県にできる限り集約されるなどして専門人材による監視・分析が行われるよう、また、自治体情報セキュリティクラウドに接続する地方公共団体に対して、そのネットワーク遮断等を支援する事業者等と役割の確認をすることの必要性を明示するなどして、インシデント発生時に適切にネットワークを遮断することなどができるよう、必要に応じて地方公共団体に対して助言を行うこと
  • (エ) 補助事業で強化された情報セキュリティ対策の実効性を確保するために、強じん化を踏まえた対策基準の見直しや、インシデント発生時の体制整備等に係る緊急時対応計画の策定、連絡体制の構築等について、必要に応じて地方公共団体に対して助言を行うこと

イ 地方公共団体に対する情報セキュリティ等に係る支援等

支援PFが地方公共団体における情報セキュリティ対策向上に寄与するよう、支援PFの機能及び利活用の方法等について地方公共団体へ重ねて周知するとともに、支援の需要を把握して、支援PFが提供する情報や機能の見直しなどについて検討すること

本院としては、サイバーセキュリティに対する脅威が深刻化する中で、マイナンバー制度において情報連携が行われている情報システムの情報セキュリティ対策の実施状況等について、今後とも引き続き注視していくこととする。