我が国では、インターネット等の高度情報通信ネットワークの整備及び情報通信技術の活用の進展に伴って世界的規模で生じているサイバーセキュリティに対する脅威の深刻化等に伴い、情報の自由な流通を確保しつつ、サイバーセキュリティの確保を図ることが喫緊の課題となっている。サイバーセキュリティ基本法(平成26年法律第104号)によれば、国は、サイバーセキュリティに関する総合的な施策を策定し、及び実施する責務を有するとされており、地方公共団体は、国との適切な役割分担を踏まえて、サイバーセキュリティに関する自主的な施策を策定し、及び実施する責務を有するとされている。そして、個人番号(注1)(以下「マイナンバー」という。)の導入に伴い、政府としても、サイバーセキュリティが確保されるよう地方公共団体の情報システムについて、社会保障・税番号制度(以下「マイナンバー制度」という。)の運用に係るセキュリティを強化する観点から必要な対策を検討し、講じていくとされている。また、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)に規定されたマイナンバー利用事務(注2)において使用するシステムについて、インターネットから独立するなどの高いセキュリティ対策を踏まえたシステム構築や運用体制の整備を含めて検討した上で、必要な措置を講ずるなどとされている。
地方公共団体等の情報システムにおいて、平成28年1月からマイナンバー利用事務が実施され、29年11月から情報提供ネットワークシステム等を通じて特定個人情報(マイナンバーをその内容に含む個人情報)の照会及び提供である情報連携が行われており、情報連携の仕組みの構築に当たっては、国の行政機関の組織内のネットワークを相互に接続する政府共通ネットワーク及びLGWAN(注3)がそれぞれ改修されて活用されている。
総務省は、13年3月に、「地方公共団体における情報セキュリティポリシーに関するガイドライン」(平成30年9月最終改定。以下「セキュリティポリシーガイドライン」という。)を策定している。セキュリティポリシーガイドラインによれば、情報セキュリティポリシーは、各地方公共団体の情報セキュリティ対策における基本的な考え方を定めた「情報セキュリティ基本方針」と、全ての情報システムに共通の情報セキュリティ対策の基準を定めた「情報セキュリティ対策基準」(以下「対策基準」という。)で構成されるものとされている。
27年5月に、日本年金機構が外部から標的型攻撃(注4)を受けて、LANシステム上の共有フォルダに保存されていた個人情報がインターネットを通じて不正に外部に流出したとされる事案が発生した。
そして、地方公共団体においても、同年6月に、日本年金機構と同様の標的型攻撃を受けて戸籍事務等に使用する情報システムをネットワークから切断することを余儀なくされるなどの事案が発生している。
このような事案等を踏まえて、総務省は、地方公共団体の情報セキュリティに係る抜本的な対策を検討するために、同年7月に、情報システムに関する専門家等で構成する「自治体情報セキュリティ対策検討チーム」(以下「検討チーム」という。)を設置している。
検討チームは、同年8月に中間報告(以下「8月報告」という。)を取りまとめて、①組織体制の再検討、職員の訓練等の徹底、②インシデント即応体制の整備及び③インターネットのリスクへの対応の3項目について総務省に提言している。
そして、総務省は、各地方公共団体に対して、8月報告を参考に情報セキュリティ対策に積極的に努めるよう通知するとともに、同月に、検討チームにおける議論を踏まえた地方公共団体の情報セキュリティ対策の強化に係る留意事項について通知を発出して、助言等を行っている。そして、検討チームは、次の①から③までの三層から成る対策(以下「三層の構え」という。)を講ずることにより、同年11月に地方公共団体の情報セキュリティ対策を抜本的に強化することが必要であるとの報告(以下「11月報告」という。)を取りまとめて、総務大臣に報告している。
マイナンバー利用事務系(既存住基(注5)、税、社会保障、戸籍事務等)においては、原則として、他の領域との通信ができないように分離を徹底した上で、端末への二要素認証や端末からの情報持出し不可設定(以下、二要素認証と情報持出し不可設定を合わせて「二要素認証等」という。)の導入等を図ることにより、住民情報(住民基本台帳に記載された住民の氏名、住所、生年月日、性別の情報や特定個人情報等)の流出を徹底して防ぐこと
マイナンバーによる情報連携に活用されるLGWAN環境のセキュリティ確保に資するために、財務会計等のLGWANを活用する業務用システム(以下「LGWAN接続系」という。)と、Web閲覧やインターネットメール等のシステム(以下「インターネット接続系」という。)との通信経路を分割すること。なお、LGWAN接続系とインターネット接続系との間で通信する場合には、ウイルス感染のない無害化通信を図ること
インターネット接続系においては、都道府県と市区町村が協力してインターネット接続口を集約した上で、自治体情報セキュリティクラウドを構築し、高度なセキュリティ対策を講ずること
総務省は、11月報告を受けて、各地方公共団体に対して同年12月に通知を発し、三層の構えを講ずることにより情報セキュリティ対策の抜本的な強化を図るよう要請するとともに、これらの対策に要する経費を総額510億円と見積もり、その2分の1を地方公共団体情報セキュリティ強化対策費補助金(以下「強化対策費補助金」という。)として、平成27年度補正予算により地方公共団体に交付することとした。そして、平成27年度補正予算に強化対策費補助金として254億9859万余円が計上され、その交付額は、46都道府県及び1,727市区町村の計1,773地方公共団体に対する計233億4588万余円となっている。強化対策費補助金は、「自治体情報システム強じん性向上モデル」の構築(以下「強じん性向上事業」という。)及び「自治体情報セキュリティクラウド」の構築(以下「セキュリティクラウド事業」という。)に要する経費を補助の対象としており、原則として、都道府県に対してはセキュリティクラウド事業に要する経費、市区町村に対しては強じん性向上事業に要する経費を補助対象としている。
強じん性向上事業は、地方公共団体の庁内のネットワークの強じん性の向上を図る事業であり、総務省は、強化対策費補助金の実施要領及び「地方公共団体情報セキュリティ強化対策費補助金執行Q&A」において、マイナンバー利用事務系の他の領域からの分離を徹底した上で、①マイナンバー利用事務系の端末への二要素認証の導入、②マイナンバー利用事務系の端末からの情報持出し不可設定及び③LGWAN接続系とインターネット接続系の分割の情報セキュリティ対策を必須要件としており、これらの項目を実施せずに行った情報セキュリティ対策に要した経費は強化対策費補助金の交付対象とはならないとしている。セキュリティクラウド事業は、都道府県と市区町村が協力して自治体情報セキュリティクラウドを構築し、高度なセキュリティ対策を講ずる事業である。
総務省は、検討チームの報告等を踏まえて、30年9月にセキュリティポリシーガイドラインを改定しており、この改定により、自治体情報セキュリティ対策の抜本的強化に当たり、情報システム全体の強じん性の向上(以下「強じん化」という。)のための措置を講ずることについて、その方法等が具体的に記載された。
総務省は、8月報告を受けて、地方公共団体における情報セキュリティ対策向上に寄与することを目的として、ネットワークシステム上で地方公共団体の担当者が情報セキュリティの専門家から助言を受けることなどができる自治体情報セキュリティ支援プラットフォーム(以下「支援PF」という。)を事業費3780万円で構築等し、27年9月から運用を開始している。また、地方公共団体の担当者が質問を投稿して他の地方公共団体に回答を依頼することができる掲示板機能等を事業費972万円で追加整備し(上記の構築等を合わせた事業費計4752万円)、28年3月から運用している。
前記のとおり、総務省は、各地方公共団体に対し、平成27年度補正予算において強化対策費補助金を交付し、地方公共団体は、情報セキュリティ対策の強化等を行い、27年度以降順次、その運用を開始している。強化対策費補助金は、情報セキュリティ対策のうち、物理的セキュリティ及び技術的セキュリティを向上させるものであるが、情報セキュリティの体制整備等が適切に行われることにより、強化対策費補助金の交付の目的である情報セキュリティ対策の強化が実現することとなる。
そこで、本院は、強化対策費補助金等による情報連携開始前後の地方公共団体の情報セキュリティ対策の強化の状況について、合規性、経済性、効率性、有効性等の観点から、次の点に着眼して検査した。
ア 強化対策費補助金の交付状況はどのようになっているか。
イ 二要素認証等の導入、LGWAN接続系とインターネット接続系との分割及び自治体情報セキュリティクラウドの構築といった強化対策費補助金等による地方公共団体の情報セキュリティ対策の強化は、補助金の交付目的に照らして適切に実施されているか、また、補助金の交付目的を実現し、効果を持続させるための体制等は整備されているか。
ウ 総務省は、強化対策費補助金で強化された情報セキュリティ対策の実効性を確保するためどのような支援を行っているか、支援PFは有効に機能しているか。
検査に当たっては、27、28両年度に強化対策費補助金が交付された46都道府県及び1,727市区町村の計1,773地方公共団体のうち18都道府県及び管内223市区町村の計241地方公共団体に交付された強化対策費補助金計61億3920万余円、並びに支援PFの構築等に係る支払額4752万円を対象として、総務省及び241地方公共団体において、情報セキュリティ対策の実施状況について、関係資料を確認するなどして会計実地検査を行うとともに、241地方公共団体から調書を徴するなどして調査分析を行った。
18都道府県に対して交付された強化対策費補助金計27億2938万余円を補助対象事業別にみると、18都道府県の全てがセキュリティクラウド事業を実施して計22億5145万余円の交付を受け、このうち10都道府県は強じん性向上事業も実施して計4億7793万余円の交付を受けていた。また、223市区町村に対して交付された強化対策費補助金計34億0981万余円を補助対象事業別にみると、223市区町村の全てが強じん性向上事業を実施して計33億8299万余円(事業別に分離できない交付実績額計1638万余円を除く。)の交付を受け、このうち27市区町村はセキュリティクラウド事業も実施して計1043万余円(事業別に分離できない交付実績額計1638万余円を除く。)の交付を受けていた。
会計実地検査時点における強化対策費補助金等による地方公共団体の情報セキュリティ対策の強化の実施状況を、三層の構えの対策ごとに着目するなどしてみると、次のとおりとなっていた。
総務省は、強化対策費補助金の実施要領等において、マイナンバー利用事務系の端末への二要素認証の導入を強じん性向上事業の必須要件としており、一方、二要素認証の導入が必須となるのはマイナンバー利用事務で使用する端末(以下「マイナンバー利用端末」という。)であるとしていた。
そこで、223市区町村のうちマイナンバー利用事務系の端末を配置している219市区町村における二要素認証の導入状況をみたところ、会計実地検査時点において、二要素認証を導入していたのは217市区町村となっていた。なお、残りの2市区町村は、令和元年5月末現在において、他の事業により導入済みとなっている。
そして、上記217市区町村のうち、マイナンバー利用端末の一部の端末に導入していないのが12市区町村となっており、これらのうち、10市区町村は、マイナンバー利用端末の全てに導入する予定があるとしていなかった。なお、平成31年3月末現在において、10市区町村は、導入していたり、導入する予定であるとしていたりなどしていた。上記の10市区町村においては、正規の権限を持つ職員になりすましてログインして、特定個人情報に不正にアクセスすることが、二要素認証を導入した端末に比べて容易な状況となっていた。
しかし、総務省は、このような市区町村があることを十分に把握していなかった。
217市区町村の二要素認証の運用等の状況については、次のとおりとなっていた。
二要素認証の種類のうち、ICカード等の「所持」や指紋等の「存在」が認証エラーとなった際等の代替手段となるパスワードがあらかじめ設定されるなどしている場合、当該パスワードを不正に取得すれば、正規の権限を持つ職員になりすまして、二要素認証を回避して「知識」の一要素のみによる認証でログインし、特定個人情報に不正にアクセスすることが、二要素認証でログインする場合に比べて容易となる。
そこで、「所持」又は「存在」による認証がエラーとなった際等の代替手段の状況をみたところ、27市区町村は、認証の代替手段となるパスワードをあらかじめ設定するなどして、通常の操作のみで当該パスワード入力画面に遷移することができる状況となっていた。
職員の間で共有している認証の手段のみで端末及び業務システムにログインが可能な場合には、業務システムを通じて特定個人情報に不正アクセスを行った者等の特定が困難になるおそれがある。
そこで、端末及び業務システムにログインするために必要となる認証の手段を職員の間で共有しているかをみたところ、7市区町村は、一部のアカウントについて、共有している認証の手段のみで端末及び業務システムにログインが可能な状況となっていた。
特定個人情報を端末のローカルドライブ及び複数の端末からアクセスできるファイルサーバ等の共有フォルダ(以下、これらを合わせて「端末のローカルドライブ等」という。)に保存している場合で、①共有している認証の手段のみで端末にログインできたり、②端末に一要素による認証でログインし、その後、マイナンバー利用事務に係る業務システムにログインする際に別の一要素又は二要素で認証する方法(以下「段階的な認証方法」という。)を採用していたりする場合には、導入した二要素認証の効果が十分に発現しないおそれがある。また、同様に、③ファイルサーバ等へのアクセス制御の設定により、正規の権限を持たない職員でもファイルサーバ等の共有フォルダにアクセスできる場合にも、導入した二要素認証の効果が十分に発現しないおそれがある。
そこで、217市区町村について、特定個人情報を端末のローカルドライブ等に保存しているかをみたところ、59市区町村ではマイナンバー利用端末へログインすることによりアクセスできる当該端末のローカルドライブに、113市区町村ではログインした複数のマイナンバー利用端末からそれぞれアクセスできるファイルサーバ等の共有フォルダに、それぞれ特定個人情報を保存していた。そして、①これらの純計122市区町村のうち15市区町村では、全部又は一部のアカウントについて共有している認証の手段のみで端末にログインできる状況となっていた。また、②122市区町村のうち16市区町村では、段階的な認証方法を採用していて、正規の権限を持つ職員になりすまして、一要素による認証で端末にログインできる状況となっていた。また、③上記の特定個人情報を共有フォルダに保存している113市区町村のうち7市区町村は、課室単位でアクセス制御しているが、特定個人情報を含むデータにパスワードを設定するなどはしておらず、同じ課室内に所属する正規の権限を持たない職員でも共有フォルダに保存されている特定個人情報にアクセスできる状況となっていた。そして、これらの①の15市区町村、②の16市区町村及び③の7市区町村の純計である29市区町村のうち19市区町村では、端末のローカルドライブ等への特定個人情報の保存期間が1年以上の長期にわたっていたり、8市区町村では、保存期間が不明であるとしたりしていた。
以上のように、二要素認証の運用等の状況によっては、その効果が十分に発現しないおそれがある状況が見受けられた。
しかし、総務省は、このような状況について十分に把握していなかった。
総務省は、強化対策費補助金の実施要領等において、マイナンバー利用事務系の端末からの情報持出し不可設定の導入を強じん性向上事業の必須要件としており、一方、情報持出し不可設定の導入が必須となるのはマイナンバー利用端末であるとしていた。
そこで、223市区町村のうちマイナンバー利用事務系の端末を配置している219市区町村における情報持出し不可設定の導入状況をみたところ、会計実地検査時点において、情報持出し不可設定を導入していたのは218市区町村となっていた。なお、残りの1市区町村は、31年3月末現在において、他の事業により導入済みとなっている。
そして、上記218市区町村のうち、マイナンバー利用端末の一部に導入していないのが13市区町村となっており、このうち、12市区町村は、マイナンバー利用端末の全てに導入する予定があるとしていなかった。なお、31年3月末現在において、12市区町村は、導入していたり、導入する予定であるとしていたりなどしていた。上記の12市区町村においては、情報持出し不可設定を導入していない端末から不正に特定個人情報を持ち出すことが、情報持出し不可設定を導入した端末に比べて容易な状況となっていた。
しかし、総務省は、このような市区町村があることについて十分に把握していなかった。
218市区町村の情報持出し不可設定の運用等の状況については、次のとおりとなっていた。
情報持出し不可設定における例外的な取扱いとして、長期間又は期間を設けることなく情報持出し不可設定を解除する運用を行い、かつ、情報を持ち出す際に情報セキュリティ管理者による許可がなくても情報を持ち出すシステム操作ができたり、許可を得る運用をしていなかったりする場合には、内部不正等による情報漏えいのリスクが高まり、情報持出し不可設定の効果が十分に発現しないおそれがある。
そこで、例外的な情報持出しの運用状況をみたところ、203市区町村では端末からの例外的な情報持出しを認めており、このうち160市区町村では管理者権限を持つ職員等が職員からの申請に基づいて情報持出し不可設定を解除する運用を行っていた。そして、このうち、期限を設けることなく情報持出し不可設定を解除する運用をしているものが62市区町村、一度の申請における解除期間を1か月以上としているものが27市区町村となっていた。
さらに、上記62市区町村及び27市区町村の純計87市区町村の全てにおいて情報セキュリティ管理者による許可がなくても情報を持ち出すシステム操作ができるようになっており、このうち29市区町村では情報セキュリティ管理者に許可を得る運用もしていない状況となっていた。
情報を持ち出す際に、情報持出しに係るログを保存したり、台帳等により記録したりするなどしていない場合には、情報持出しによる情報漏えいや内部不正等のリスクが高まることとなる。
情報持出しに係るログの保存については、44市区町村では全部又は一部の媒体についてログを保存していないとしており、情報を持ち出す際の氏名、日時、持出物等の台帳等への記録については、77市区町村(ログを保存していない44市区町村のうち19市区町村を含む。)が記録していないとしていた。
データ暗号化機能を備える外部記憶媒体の使用等の状況については、81市区町村は暗号化の実施を職員が選択でき、任意で行っている状況となっており、56市区町村は、そもそも暗号化機能を備える外部記憶媒体を使用するなどしていなかった。
以上のように、情報持出し不可設定の運用等の状況によっては、その効果が十分に発現しないおそれがある状況が見受けられた。
しかし、総務省は、このような状況を十分に把握していなかった。
223市区町村における領域間の分離及び分割の状況をみたところ、マイナンバー利用事務系と他の領域の分離及びLGWAN接続系とインターネット接続系の分割については、31年3月末現在において全ての市区町村で分離及び分割を行っていた。
総務省は、マイナンバー利用事務系、LGWAN接続系及びインターネット接続系との間で通信を行う場合には、通信経路の限定、通信プロトコルの限定(注6)等を行うことで通信を制限することとしている。また、マイナンバー利用事務系と他の領域との間で特定の通信に限定する際は、通信経路の限定に加えて、アプリケーションプロトコルのレベルでの限定(注7)も行うこととしている。
そこで、223市区町村において、領域間で行われている通信(以下「領域間通信」という。)について、通信内容の種類別及び領域別にみたところ、217市区町村において延べ1,672件の領域間通信が行われていた。そして、マイナンバー利用事務系と他の領域との間の領域間通信の通信制御の状況をみたところ、59市区町村の延べ247件において、通信経路の限定又は通信プロトコルの限定のうち少なくともいずれか一つが行われていない状態で領域間通信が行われており、このうち3市区町村の延べ4件は、マイナンバー利用事務系とインターネット接続系との間の領域間通信となっていた。
会計実地検査時点においてLGWAN接続系とインターネット接続系の分割が行われている222市区町村について、メール本文及び添付ファイルその他の業務上必要なファイル(以下、これらを合わせて「添付ファイル等」という。)の転送又は収受に当たり、強じん性向上事業により整備した機器等により無害化が行われているか確認したところ、インターネット接続系からLGWAN接続系へメール本文を無害化することなく転送しているのが4市区町村等、添付ファイル等を無害化することなく転送又は収受しているのが49市区町村等となっていた。
上記の222市区町村について、LGWAN接続系とインターネット接続系の分割前後におけるLGWAN接続系に配置された端末等への更新プログラム等の適用状況を確認したところ、LGWAN接続系とインターネット接続系の分割後である30年5月末時点において、更新プログラムを適用していないのが、分割前の26市区町村から54市区町村へ、ウイルス対策ソフトの更新データを適用していないのが、分割前の9市区町村から14市区町村へと増加していた。そして、これら54市区町村及び14市区町村の分割前における更新プログラム等の適用頻度についてみると、それぞれ29市区町村及び9市区町村は、分割前には1か月以内の頻度で適用していたのに、分割後に適用を行わなくなっていた。
18都道府県が構築した自治体情報セキュリティクラウドについて、241地方公共団体の自治体情報セキュリティクラウドへの接続状況をみたところ、会計実地検査時点において、237地方公共団体が接続していた。
自治体情報セキュリティクラウドについて、監視対象機器等の集約化のための設備の整備状況をみたところ、監視対象機器等のうち外部DNSサーバ(注8)については18都道府県のうち1都道府県、LGWAN接続ファイアウォール(注9)のログについては18都道府県のうち8都道府県の自治体情報セキュリティクラウドにおいてそれぞれ集約化のための設備を整備していないなどして、監視対象から除かれていた。
そして、集約化のための設備が整備されていても、接続している地方公共団体がこの設備を利用した集約をしていないなどして、前記237地方公共団体のうち、Webサーバについては26地方公共団体、外部DNSサーバについては44地方公共団体、LGWAN接続ファイアウォールのログについては116地方公共団体において、集約及び監視が行われていなかった。さらに、各地方公共団体において別途管理されている上記の機器等についての監視の状況をみたところ、「情報セキュリティ専門人材による監視・分析を行っていない地方公共団体」、「情報セキュリティ専門人材による監視・分析が行われているかを把握していない地方公共団体」がそれぞれ、Webサーバで6地方公共団体、3地方公共団体、外部DNSサーバで11地方公共団体、3地方公共団体、LGWAN接続ファイウォールのログで63地方公共団体、5地方公共団体等となっていた。
また、自治体情報セキュリティクラウドに接続する地方公共団体におけるインシデントの発生を検知した際の対応体制の状況を、前記の237地方公共団体についてみたところ、不正な通信を行っている端末等の特定については、「端末等を特定するために事業者等の支援等が必要」とする77地方公共団体のうち11地方公共団体で、支援等を行う事業者等との間で役割の確認を行っていなかったり、役割の確認を踏まえた内容で契約を締結していなかったり、必要な内容で契約が締結されているかの確認を行っていなかったりしていた。また、自らにおいてネットワークの遮断を実施するために事業者等の支援等を必要とする129地方公共団体のうち23地方公共団体で、支援等に係る役割の確認及びそれを踏まえた契約の締結等を行っていなかった。さらに、接続している地方公共団体側において遮断を判断することとしている160地方公共団体のうち76地方公共団体及び判断主体が決まっていない7地方公共団体のうち5地方公共団体は、遮断の判断に至る手順を策定等していなかった。このような地方公共団体においては、インシデント発生時の対応に漏れや誤りが生じたり、判断等を迅速に行えなかったりするなどの事態により、自治体情報セキュリティクラウドによる通報等を十分にいかせないこととなるおそれがある。
前記241地方公共団体の会計実地検査時点における対策基準の策定及び強じん化を踏まえた改定等の取組の状況をみたところ、3地方公共団体は対策基準を策定しておらず、また、178地方公共団体は強じん化を踏まえた規定がないとしており、このうち40地方公共団体は30年11月末時点においても対策基準の改定の予定を未定としていた。
241地方公共団体のインシデント発生時における対応体制の整備等の状況をみたところ、CSIRT(注10)を設置していたのは130地方公共団体にとどまっており、このうち16地方公共団体ではその要員及び機能について文書化していなかったり、49地方公共団体では国及び庁内の最高情報セキュリティ責任者(CISO)等へ一斉同報する連絡ルートを構築していなかったりなどしており、インシデント発生時にCSIRTが迅速かつ的確に機能しないおそれがある。
さらに、緊急時対応計画において標的型攻撃に対応した内容を規定しているとしたのは66地方公共団体、緊急時対応訓練を実施したのは54地方公共団体となっていて、上記のいずれも実施したものは28地方公共団体にとどまっていた。
27年9月から30年5月までの2年9か月に、支援PFに登録された情報セキュリティに関する情報等について、主な機能ごとに確認したところ、情報の登録件数については、インシデント関連掲示板機能は45件、情報セキュリティ専門家に問合せ等ができるQ&A機能は32件で、29年2月以降は3件にとどまっており、各種マニュアルを参照できるワーキンググループ機能は27年10月に3件掲載されたのみとなっており、その他自治体情報セキュリティの関連情報等を参照できる機能は41件で、29年6月以降の登録はなく、他の地方公共団体に質問して回答を依頼することができる掲示板機能は当該機能が追加された28年3月以降、質問の投稿が全くなかった。支援PFの利用等の状況について、支援PFにアクセスしたユーザーの数を確認したところ、同年11月以降は毎月100ユーザー未満となっていて、運用当初に比べて相当少数にとどまっていた。
241地方公共団体に支援PFの利用等の状況を確認したところ、68地方公共団体は、会計実地検査の時点まで「支援PFの存在を知らなかった」としており、全く利用していなかった。また、「支援PFの存在を知っていた」とする173地方公共団体の利用状況を確認したところ、「ほとんど利用していない」(利用頻度が3か月に1回程度未満)とするものが49地方公共団体、「ログインが初回実績のみ」とするものが37地方公共団体、「全く利用したことがない」とするものが74地方公共団体となっていた。そして、ほとんど利用していない地方公共団体にその理由を確認したところ、「別の方法で情報を得ているため」、「情報の更新が少ないため」などとなっていた。
以上のことから、支援PFは、地方公共団体の情報セキュリティ対策向上のために十分に利活用されているとはいえない状況となっており、総務省における支援の需要の把握や、支援PFが提供する情報や機能の見直しなどの検討も行われていない状況となっていた。
18都道府県に対して交付された強化対策費補助金を補助対象事業別にみると、18都道府県の全てがセキュリティクラウド事業を実施しており、このうち10都道府県は強じん性向上事業にも交付を受けていた。223市区町村に対して交付された強化対策費補助金を補助対象事業別にみると、223市区町村の全てが強じん性向上事業を実施しており、このうち27市区町村はセキュリティクラウド事業にも交付を受けていた。
マイナンバー利用事務系の端末を配置し、全部又は一部の端末に二要素認証を導入していた217市区町村における導入した端末の範囲や運用等の状況をみたところ、マイナンバー利用端末の一部に導入しておらず、マイナンバー利用端末の全てに導入する予定があるとしていないものが10市区町村となっていた。
上記の217市区町村における、「所持」又は「存在」による認証がエラーとなった際等の代替手段の状況をみたところ、27市区町村は、認証の代替手段となるパスワードをあらかじめ設定する運用を行うなどしていた。また、7市区町村は、一部のアカウントについて、共有している認証の手段のみで端末及び業務システムにログインが可能な状況となっていた。さらに、特定個人情報を端末のローカルドライブ等に保存していた122市区町村のうち、15市区町村では、共有している認証の手段のみで端末にログインできる状況となっており、16市区町村では、段階的な認証方法を採用しているため、一要素による認証で端末にログインし、特定個人情報に不正にアクセスできる状況となっていた。そして、7市区町村では、同じ課室内に所属する正規の権限を持たない職員でも共有フォルダに保存されている特定個人情報にアクセスできる状況となっていた。
マイナンバー利用事務系の端末を配置し、全部又は一部の端末に情報持出し不可設定を導入していた218市区町村における導入した端末の範囲等をみたところ、マイナンバー利用端末の一部に導入しておらず、マイナンバー利用端末の全てに導入する予定があるとしていないものが12市区町村となっていた。
218市区町村における例外的な情報持出しの運用状況をみたところ、端末からの例外的な情報持出しを認めている203市区町村のうち、160市区町村では管理者権限を持つ職員等が職員からの申請に基づいて情報持出し不可設定を解除する運用を行っており、このうち、期限を設けることなく解除する運用をしているものが62市区町村、解除期間を1か月以上としているものが27市区町村となっていた。上記の62市区町村及び27市区町村の純計87市区町村について、情報を持ち出す場合の情報セキュリティ管理者の許可の実施状況をみたところ、全ての市区町村において情報セキュリティ管理者による許可がなくても情報を持ち出すシステム操作ができるようになっており、このうち29市区町村では、情報セキュリティ管理者に許可を得る運用もしていない状況となっていた。
また、情報持出しに係る記録等の実施状況をみたところ、44市区町村では全部又は一部の媒体についてログを保存していないとしており、情報を持ち出す際の持出物等の記録については、77市区町村が記録していないとしていた。さらに、データ暗号化機能を備える外部記憶媒体の使用等についてみたところ、81市区町村は暗号化の実施を職員が任意で行っており、56市区町村は、そもそも暗号化機能を備える外部記憶媒体を使用するなどしていなかった。
223市区町村の領域間通信についてみたところ、217市区町村において延べ1,672件の領域間通信が行われていた。そして、マイナンバー利用事務系と他の領域との間の領域間通信の通信制御の状況をみたところ、59市区町村の延べ247件において、通信経路の限定又は通信プロトコルの限定のうち少なくともいずれか一つが行われていない状態で領域間通信が行われており、このうち3市区町村の延べ4件はマイナンバー利用事務系とインターネット接続系との間の領域間通信となっていた。
223市区町村のうち、会計実地検査時点において、LGWAN接続系とインターネット接続系の分割が行われている222市区町村について、メール本文及び添付ファイル等の転送又は収受に当たり、強じん性向上事業により整備した機器等により無害化が行われているか確認したところ、メール本文を無害化することなく転送しているのが4市区町村等、添付ファイル等を無害化することなく転送又は収受しているのが49市区町村等となっていた。
上記の222市区町村について、LGWAN接続系に配置された端末等への更新プログラム等の適用状況を確認したところ、30年5月末時点において、更新プログラムを適用していないのが26市区町村から54市区町村へ、更新データを適用していないのが9市区町村から14市区町村へと増加していた。そして、これら54市区町村及び14市区町村の分割前における更新プログラム等の適用頻度についてみると、それぞれ29市区町村及び9市区町村は、分割前には1か月以内の頻度で適用していたのに、分割後に適用を行わなくなっていた。
自治体情報セキュリティクラウドへの接続状況をみたところ、会計実地検査時点において、237地方公共団体が接続していた。自治体情報セキュリティクラウドにおける監視対象機器等の集約化のための設備の整備状況をみたところ、外部DNSサーバについては1都道府県、LGWAN接続ファイアウォールのログについては8都道府県が、それぞれ集約化のための設備を整備していないなどして、監視対象から除かれていた。また、接続している237地方公共団体のうち、Webサーバについては26地方公共団体、外部DNSサーバについては44地方公共団体、LGWAN接続ファイアウォールのログについては116地方公共団体において、集約及び監視が行われていなかった。そして、各地方公共団体において別途管理されている上記の機器等についての監視の状況をみたところ、「情報セキュリティ専門人材による監視・分析を行っていない」とするのがWebサーバについては6地方公共団体等となっていた。
また、自治体情報セキュリティクラウドに接続する地方公共団体におけるインシデントの発生を検知した際の対応体制の状況についてみたところ、「端末等を特定するために事業者等の支援等が必要」とする77地方公共団体のうち11地方公共団体は支援等を行う事業者等との間で役割の確認を行っていなかったり、役割の確認を踏まえた内容で契約を締結していなかったりなどしていた。接続している地方公共団体側において遮断を判断することとしている160地方公共団体のうち76地方公共団体及び判断主体が決まっていない7地方公共団体のうち5地方公共団体は、遮断の判断に至る手順を策定していないなどしていた。
241地方公共団体の対策基準の策定及び強じん化を踏まえた改定等の取組の状況をみたところ、対策基準を策定していなかったものが3地方公共団体となっていた。また、30年11月末時点の対策基準の改定の予定については、40地方公共団体が未定としていた。
241地方公共団体のインシデント発生時における対応体制の整備等の状況をみたところ、CSIRTを設置していた130地方公共団体のうち16地方公共団体はCSIRTの要員及び機能について文書化していないなどしていた。また、緊急時対応計画において標的型攻撃に対応した内容を規定しているとしたのは66地方公共団体、緊急時対応訓練を実施したのは54地方公共団体、いずれも実施していたのは28地方公共団体にとどまっていた。
27年9月から30年5月までに支援PFに登録された情報の登録件数は、インシデント関連掲示板機能が45件、自治体の掲示板機能が全くないなどとなっていた。また、支援PFの利用等の状況を確認したところ、28年11月以降は毎月100ユーザー未満にとどまっており、241地方公共団体のうち68地方公共団体は、会計実地検査の時点まで「支援PFの存在を知らなかった」として全く利用しておらず、「支援PFの存在を知っていた」地方公共団体でも「全く利用したことがない」ものが74地方公共団体となっていた。
サイバーセキュリティ基本法において、国は、サイバーセキュリティに対する脅威の深刻化等に伴い、サイバーセキュリティの確保に関する総合的な施策を策定し、及び実施する責務を有するとされており、地方公共団体は、国との適切な役割分担を踏まえて、サイバーセキュリティに関する自主的な施策を策定し、及び実施する責務を有するとされている。
また、マイナンバー制度の施行に伴い、国と地方公共団体等の各機関の特定個人情報等を取り扱う情報システムが相互に接続されたことで、マイナンバー利用事務を行う地方公共団体の情報セキュリティ対策は、公的機関全体にとってますます重要な課題となっており、政府としても必要な支援を実施していくことになっている。
ついては、総務省において、地方公共団体における情報セキュリティ対策について、今後、次の点に留意して取り組んでいく必要がある。
支援PFが地方公共団体における情報セキュリティ対策向上に寄与するよう、支援PFの機能及び利活用の方法等について地方公共団体へ重ねて周知するとともに、支援の需要を把握して、支援PFが提供する情報や機能の見直しなどについて検討すること
本院としては、サイバーセキュリティに対する脅威が深刻化する中で、マイナンバー制度において情報連携が行われている情報システムの情報セキュリティ対策の実施状況等について、今後とも引き続き注視していくこととする。