自治体・地方公共団体のサイバーセキュリティ|LGWAN・三層分離の見直しとガバメントクラウド移行期の実務対応
ランサムウェアによる病院・学校・自治体の業務停止事例が国内で相次ぐなか、地方公共団体のサイバーセキュリティは『従来型の三層分離だけでは守りきれない』『一方でガバメントクラウド移行は進めなければならない』という板挟みのフェーズに入っています。
2024年10月の総務省ガイドライン改訂でα’モデルが新設され、2026年4月1日までに『サイバー攻撃に対処するための基本方針』策定が義務化されるなど、制度面でも大きな変化が起きています。本記事では、自治体セキュリティの最新動向と実務上の優先課題を整理します。
自治体を取り巻くサイバー脅威の現状
地方公共団体は、住民の個人情報・税情報・マイナンバー・国保/後期高齢者医療データなど極めて機微なデータを大量に保有し、複数の法定業務を連動運用しています。被害が出た際の影響は民間企業より遥かに大きく、近年は明確に標的化されています。
自治体が狙われる5つの理由
| 理由 | 内容 |
|---|---|
| ① 機微情報の集中 | マイナンバー・税・国保・住基など、漏洩時の社会的影響が極めて大きい情報を集中保有 |
| ② 委託・指定管理が多い | 業務委託先・指定管理者・SIerなど多数の外部接続があり、サプライチェーン経由侵入のリスクが高い |
| ③ IT専任職員が少ない | 特に小規模自治体では情報システム担当が他業務と兼任で、24時間監視体制が困難 |
| ④ 業務停止インパクトが大きい | 住民票発行・税納付・福祉サービスなどが止まると住民生活に直結し、攻撃者の身代金交渉力が強い |
| ⑤ 多層構造による穴 | 三層分離の境界・自治体情報セキュリティクラウド・LGWAN間の通信経路に運用の隙が生じやすい |
近年の主な被害パターン
- パターンA:委託先SIerのVPN/RDP経路からランサムウェア侵入 → 業務システム暗号化 → 住民票発行停止
- パターンB:職員端末がフィッシング感染 → ID乗っ取り → LGWAN接続系の業務情報漏洩
- パターンC:庁内サーバの脆弱性放置 → 不正アクセス → 内部情報の窃取
- パターンD:USBメモリ等の記録媒体経由 → 個人情報の持ち出し・紛失事故
- パターンE:自治体情報セキュリティクラウドの設定不備 → 外部からの不正アクセス
三層分離モデルの基礎(α/α’/β/β’)
2015年の日本年金機構の情報漏洩事案を契機に、総務省は地方公共団体のネットワークを『マイナンバー利用事務系』『LGWAN接続系』『インターネット接続系』の3層に分離する三層分離モデルを提唱しました。現在は4つのモデルが選択肢として整理されています。
| モデル | 特徴 | 主な採用層 |
|---|---|---|
| αモデル | 従来型。三層を完全分離。インターネット接続系から無害化通信のみ取り込み | 市町村の9割以上、中核市・特別区の8割以上 |
| α’モデル | 2024年10月新設。LGWAN接続系にローカルブレイクアウトを認め、特定クラウドサービスへ直接接続を可能化 | SaaS活用を拡大したい団体(αモデルからの段階移行先) |
| βモデル | LGWAN接続系をインターネット接続系に統合し、業務利用の利便性を確保。エンドポイント/ID側でセキュリティ担保 | 業務効率化を重視する団体 |
| β’モデル | βをさらにゼロトラスト寄りに進化。クラウド/SaaSを前提とし、ID・デバイス・通信のすべてを多層的に検証 | 都道府県の約3割、政令指定都市の約4割 |
αモデルは『境界防御』を徹底することでセキュリティを担保しますが、業務でのSaaS/クラウド利用が事実上できないという制約があります。一方β/β’モデルは利便性とクラウド活用を重視するぶん、エンドポイントとID基盤の強化を前提条件にしないと逆にリスクを高めるため、移行は『道具を揃えてから』が鉄則です。
2024年10月総務省ガイドライン改訂のポイント
総務省は2024年10月に『地方公共団体における情報セキュリティポリシーに関するガイドライン』を改訂し、現実的なクラウド活用を支援するための新たな枠組みを示しました。
α’モデル(ローカルブレイクアウト)の新設
- 従来のαモデルでは、業務でクラウドSaaSを使うにはインターネット接続系から無害化通信を経由する必要があり、現実的にはほぼ不可能だった
- α’モデルではLGWAN接続系から特定クラウドサービス(自治体業務SaaS、Microsoft 365、Google Workspace等のうち承認されたもの)へ直接接続を許可
- 業務効率化と運用コスト削減が期待できる一方、エンドポイント保護とID保護をαモデルより強化することが前提になる
『サイバー攻撃に対処するための基本方針』の義務化
2026年4月1日までに、すべての地方公共団体は『サイバー攻撃に対処するための基本方針』の策定が義務付けられています。
- 平時の体制(CSIRT・CIO等)の明文化
- 攻撃検知時の指揮命令系統と判断基準
- 業務継続計画(BCP)との整合
- 外部支援機関(J-LIS、JC3、警察、外部SOC事業者など)との連携手順
- 首長の関与のあり方と意思決定権限
- 訓練・見直しの定期的実施
形式的な文書策定にとどまらず、定期的な机上演習・実機演習・改訂サイクルまで含めた継続運用までが求められる点が、従来のセキュリティポリシーとの違いです。
ガバメントクラウド移行の実情
20業務の標準化と移行期限
『地方公共団体情報システムの標準化に関する法律』に基づき、住民基本台帳・税務・国民健康保険・後期高齢者医療・介護保険・生活保護など20の基幹業務について、各自治体は標準仕様に準拠したシステムへ移行することが義務付けられました。
- 当初の期限:2025年度末(2026年3月)
- 2026年4月時点の進捗:20業務すべての移行完了は約3.7%と低水準
- 救済策:2024年12月に『特定移行支援システム』制度が導入され、期限後も支援が継続
認定ガバメントクラウド事業者
デジタル庁が2025年時点で認定しているガバメントクラウドサービスは以下の5社です。
- Amazon Web Services(AWS)
- Google Cloud
- Microsoft Azure
- Oracle Cloud Infrastructure
- さくらインターネット『さくらのクラウド』(国産・経済安全保障観点で重要)
これらはISMAP(政府情報システムのためのセキュリティ評価制度)登録に加え、デジタル庁が定める追加技術要件を満たした事業者群で、自治体個別の調達よりも高いセキュリティ水準が担保される設計になっています。
運用経費の課題
中核市市長会の調査によれば、ガバメントクラウド移行後の運用経費は平均2.3倍に増加する見込みで、5割以上の自治体で2倍超の増加が見込まれています。財政措置の議論が継続中であり、移行戦略は『総務省ガイドライン適合』『コスト』『運用負荷』のバランスで決める必要があります。
自治体セキュリティ実務の優先課題
① エンドポイント保護(EDR)の強化
αモデルから α’/β/β’ へ移行するほど、境界防御への依存度は下がり、エンドポイント側で侵害を検知・封じ込める能力が重要になります。
- NGAV(次世代マルウェア対策)+EDR(検知・対応)の組合せが必須
- 委託事業者・指定管理者の端末も含めた統一的な可視化
- サーバー(Active Directory・ファイルサーバ・業務サーバ)への保護も同時に必要
② ID/認証基盤のゼロトラスト化
職員アカウントのフィッシング被害は、自治体被害の主要パターンの一つです。多要素認証(MFA)からパスキー(FIDO2)への段階的移行が、もっとも費用対効果の高い対策の一つになります。
- ID基盤(Microsoft Entra ID等)と職員端末/LGWAN接続系の連携設計
- SMS/TOTPベースのMFAからフィッシング耐性のあるパスキー認証へ移行
- 特権管理者・首長・首長部局などハイリスク役職から優先導入
▶ 関連記事:パスワードレス認証(パスキー/FIDO2)完全ガイド|中小企業がいま導入すべき理由とMicrosoft Authenticator・GMOトラスト・ログインの活用
③ 委託事業者・サプライチェーン管理
自治体は数多くの委託事業者・SIer・指定管理者と接続しているため、取引先経由の侵入リスクが民間以上に高くなります。
- 委託契約書にセキュリティ要件を明記(多要素認証必須、EDR導入要件、定期報告義務など)
- 委託事業者のリモート保守経路(VPN/RDP)を厳格管理。常時接続を廃し、必要時のみ有効化
- 『サプライチェーン強化に向けたセキュリティ対策評価制度』を委託先選定の基準に活用
▶ 関連記事:サプライチェーン強化に向けたセキュリティ対策評価制度とは?詳細をわかりやすく徹底解説
④ メール/フィッシング対策
- 標的型メール訓練を年4回以上の頻度で繰り返し実施し、職員のフィッシング耐性を底上げ
- SPF/DKIM/DMARC を全送信ドメインで設定し、なりすましメールを構造的にブロック
- クラウドメールセキュリティでサンドボックス/URLリライトを導入
⑤ インシデント対応体制(CSIRT)の整備
- 2026年4月までの『基本方針』策定にあわせて、平時/攻撃検知時の役割分担を明文化
- 外部SOC事業者・MDRサービス・J-LIS/JC3/警察等との連絡フローを事前整備
- 机上演習を年2回以上実施し、首長・部長級の意思決定訓練まで含める
- ランサム被害時の『身代金支払い禁止方針』を明記しておく
⑥ 自治体情報セキュリティクラウドの最適化
- 都道府県単位で運用される『自治体情報セキュリティクラウド』の更新時には、最新のEDR連携/脅威インテリジェンス機能を盛り込む
- α’モデル化を見据えてローカルブレイクアウト経路の監査ログ取得を必須化
移行期に意識すべき優先順位
αモデルからα’/β/β’モデルへ、そしてガバメントクラウドへの移行という二重の変化が同時並行で進む現在、『先に道具と体制を揃えてから境界を緩める』が原則です。
| 優先度 | 取り組み |
|---|---|
| 最優先(〜2026年4月) | 『サイバー攻撃に対処するための基本方針』策定/首長関与の体制整備/机上演習の実施 |
| 高(〜2026年度内) | 職員端末のEDR導入/ID基盤の多要素認証必須化/委託契約のセキュリティ条項見直し |
| 中(〜2027年度) | パスキー認証導入/β’モデル移行検討/自治体情報セキュリティクラウド更新 |
| 継続 | 標的型メール訓練/脆弱性管理/インシデント演習/ガバメントクラウド移行 |
まとめ:『境界』から『多層』へ、自治体セキュリティの転換期
自治体セキュリティは、αモデルの境界防御に依存する時代から、エンドポイント・ID・クラウド・サプライチェーンを多層で守る時代へ確実に移行しています。
2026年4月の基本方針策定義務、2025年度末のガバメントクラウド移行期限、α’モデル新設、ランサムウェア被害の常態化――これらが同時に進行する現在、自治体に求められるのは『道具・体制・運用ルールを揃えてから、段階的にモデル移行する』という現実的な進め方です。
- 『基本方針』を形式策定で終わらせず、訓練・改訂サイクルまで運用化
- EDR・ID・パスキー・MDM・MDR等の道具を計画的に整備
- 委託先・指定管理者まで含めたサプライチェーン全体を可視化
- ガバメントクラウド移行は『標準化対応+セキュリティ要件強化』をセットで設計
c-compe.comでは、自治体・指定管理者・委託事業者向けに、EDR(Defender for Business/Sophos/CrowdStrike等)・MDR・IDaaS(GMOトラスト・ログイン/PassLogic)・標的型メール訓練(MudFix/Sophos Phish Threat等)の調達と構成支援を承っています。具体的なご相談はお気軽にお問い合わせください。