サイバー攻撃

庁内の住民情報システムが一夜にして使えなくなり、住民票も交付できない——こうした事態を引き起こすのがサイバー攻撃である。不正アクセスや情報漏えい、ランサムウェアによる業務停止はいずれもこの総称の下にある具体的な攻撃手法であり、手口が標的型メールから脆弱性悪用、サプライチェーン経由へと広がるにつれ、単一の防御策では守り切れなくなった。自治体は住民の個人情報を大量に保有し、停止すれば住民生活に直結する基幹業務を担うため、攻撃者にとって価値の高い標的である。小規模な町村が単独で高度な攻撃を検知・防御し続けるのは人材・予算の面で難しく、都道府県単位の自治体情報セキュリティクラウドへの集約や三層の構えといった共同防御の枠組みが整えられてきた。攻撃は完全には防げない前提で、検知・対応・復旧を担う自治体CSIRTの体制づくりへと重心が移っている。

自治体が直面する代表的な攻撃手法

サイバー攻撃は手口ごとに性質が異なり、対策の組み合わせ方も変わる。職員を狙ってマルウェアを送り込む標的型メール攻撃、データを暗号化して身代金を要求するランサムウェア、Webサイトを過負荷で停止させるDDoS攻撃、入力欄を悪用してデータベースを操作するSQLインジェクションなどが代表である。近年はソフトウェアの脆弱性を狙う攻撃や、委託先・利用製品を踏み台にするサプライチェーン攻撃が増え、自前のシステムだけを固めても防ぎ切れない構図になっている。総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、これらを想定した多層的な対策を求めている。

「防ぎ切る」から「検知して対応する」へ

かつての対策はファイアウォールやネットワーク分離で外部からの侵入を遮断する「防御」に重点があった。しかし攻撃が巧妙化し内部に侵入される前提が現実的になったため、考え方は侵入を検知し被害を最小化する方向へ移っている。総務省の三層の構えはマイナンバー利用事務系・LGWAN接続系・インターネット接続系を分離して被害の波及を抑える設計であり、都道府県と市区町村が共同利用する自治体情報セキュリティクラウドがインターネット接続系を集約して監視する。さらにインシデント発生時に初動・調査・復旧を担う自治体CSIRTの設置が進み、平時の脆弱性管理と有事の対応を一体で回す運用が標準になりつつある。