令和7年2月定例会 個人質問 トピックス
高村まさとし現代社会において、ICTの進化とともに行政サービスのデジタル化が急速に進んでいます。
これにより、住民サービスの向上や業務効率化が進む一方、サイバー空間における脅威もまた拡大しており、情報セキュリティは、市民生活と行政運営の根幹を支える最重要課題の一つとなっています。
特に、自治体DXが進む中で、セキュリティ対策が不十分であれば、利便性がかえって脅威となる可能性があります。
こうした背景から、単なる「デジタル・ファースト」ではなく「セキュリティ・ファースト」へと移行する必要性も高まっている状況です。
サイバー攻撃の手口も急速に進化しており、従来型のマルウェア感染や標的型攻撃に加え、ランサムウェア攻撃、サプライチェーン攻撃、さらには経済産業省のIT政策実施機関である独立行政法人「情報処理推進機構(IPA)」が発表した「地政学的リスクに起因するサイバー攻撃」も、新たなリスクとして浮上しています。
これらは、単なるシステム障害ではなく、行政サービス全体の停止につながる可能性をはらんでいます。
また、リモートワーク環境の普及や、スマートデバイスの活用の拡大により、攻撃対象が分散・多様化し、自治体クラウドやLGWANを導入しても、常に最新のセキュリティ対策が求められる状況にあります。
市民生活においても、スマホ決済の不正利用や生成AIを悪用したフィッシング詐欺など、個人を狙った脅威が拡大しており、新たな手口が次々と生まれています。
行政としては、これらの脅威に対して「待ちの姿勢」ではなく、積極的にセキュリティ啓発とリスクマネジメントを提供する責務があると考えます。
今回、吹田市の情報セキュリティについて、テクノロジー・ガバナンス・リテラシーの3つの視点から、「ゼロトラストセキュリティ」を視野に入れ、質問いたします。
Q1-1.情報セキュリティ研修について
高村まさとしまずは、デジタル政策室さんが実施している、情報セキュリティ研修についてお聞きします。
令和5年度の研修への受講率、実施内容、令和6年度から新たに追加したもの、受講者数(率)の見込みについてお示し願います。
また、受講者が研修の内容について理解できているのか、理解度についてどのような手法で確認されているのかもお聞かせ願います。
さらに、近年のサイバー攻撃の高度化を踏まえ、「ゼロトラスト」の考え方を研修に組み込み、「全てのアクセスを疑い、本人確認を徹底する」ゼロトラストの原則に基づいた演習や、ログ分析を活用した疑似的にインシデント対応の研修を導入し、職員の実践的なリスク回避能力を向上させるべきと考えますが、ご所見をお聞かせ願います。
担当部長行政経営部長
まず、職員研修ですが、昨年度は対象2,563人全員が受講しており、今年度も引き続き100%の受講を目指し取り組んでいるところでございます。
内容としては基本的知識に加え、最新の動向を盛り込むなど具体性を持たせるよう努めており、今年度は受講後、テストを実施し、習熟度確認も行っております。
近年のサイバー攻撃の高度化に対しましては、デジタル政策室の職員を中心に、国等の主催する演習や訓練に参加し、より実務に即した能力の向上を図っているところでございます。
Q1-2.地政学的リスクに起因するサイバー攻撃への備え
高村まさとし続きまして、近年、「地政学的リスクを踏まえたサイバー攻撃」が国内の行政機関や重要インフラにも影響を及ぼす事例が報告されています。
こうした攻撃は、自治体の情報システムや、住民サービスに直接的な影響を与える可能性があると考えますが、本市ではこうした脅威への備えとして、リアルタイム監視システムの導入や、ゼロデイ攻撃・APT攻撃への防御策を検討し、ゼロトラストの概念を適用する必要があるのではないでしょうか?
また、既存の自治体情報セキュリティクラウドとどのように連携し、実効性のある防御体制を確立するのか、もしも具体的な計画があればお聞かせください。
担当部長行政経営部長
地政学的リスクに起因するものも含め、サイバー攻撃への備えといたしましては、まず、外部からの攻撃への対策の基本として、業務システムについては、原則、インターネット等から分離された環境で構築しております。
今後、さらなるセキュリティー面の機能維持向上のため、どのようなアクセスも信頼せず常に検証するというゼロトラストの考え方を含め、様々な手段の検討を重ねているところでございます。
新年度実施予定の情報通信基盤の再構築などの取組におきましても、セキュリティー面を十分に考慮して進めてまいります。
防御策の全体を計画として示すことはしておりませんが、今後、具体的な取組を通じ、着実にセキュリティー強化を図ってまいりたいと考えております。
Q1-3. LGWANについて
高村まさとし続きまして、LGWAN関連でお伺いします。
行政のデジタル化が加速する中、自治体の情報セキュリティ対策は、従来の境界防御型から一歩進んだアプローチが求められています。
本市でも、全国統一の閉域ネットワークであるLGWANを活用し、行政業務の安全性を確保しています。
LGWANは外部インターネットから隔離された環境であり、一定の信頼性を持つことは疑いありません。
しかし、次期LGWANの検討が進む中で、ローカルブレイクアウトなどの新たな対策が導入される予定ではありますが、それでもなおLGWAN接続端末を狙ったマルウェア感染や、外部委託業者を経由した、サプライチェーン攻撃のリスクが指摘されています。
これらのリスクに対応するため、LGWAN接続端末にゼロトラスト認証を適用し、不正アクセスを動的に遮断する仕組みを導入すべきではないでしょうか?
また、LGWANは全国統一のネットワークであるため、システム障害やサイバー攻撃による機能停止時に影響を受ける可能性があります。
万が一LGWANがダウンした場合、業務継続を確保するため、市独自の代替通信手段を確保し、事前の訓練や運用体制を整備する必要があると考えますが、本市の対応方針をお聞かせください。
さらに、自治体の業務システムは、多くの外部委託業者によって運用・管理されています。
LGWANそのものではなく、業者側のシステムを狙ったサプライチェーン攻撃が大きなリスクとなっています。
本市として、国や総務省の方針と連携しながら、自治体独自のセキュリティ基準を設け、業者のアクセス管理・監査体制をさらに強化すべきではないかと考えますが、ご見解をお聞かせください。
担当部長行政経営部長
まず接続PCに関しては、端末管理ツールや2要素認証の導入などのセキュリティー強化策を講じてまいりました。
技術進展等に伴うさらなる対策につきましては、ゼロトラストの考え方を含め、引き続き検討を進めてまいります。
通信障がい等に対しては、市側で可能な対策として、回線の冗長構成に加え、文書管理や財務会計等の主要な業務システムにおいては専用線も併用し、リスク分散を図っております。
事業者の管理、監督については、遵守すべき基準を契約書のひな形として庁内に示すことで、ガバナンスを強化しております。
今後とも国や府による様々な対策が実施され、方向性が示される中、本市に最適なセキュリティー強化策を推進してまいりたいと考えております。
Q1-4. 市民向けサイバーセキュリティ啓発と支援体制
高村まさとし次に、市民向けサイバーセキュリティ啓発と支援体制についてお伺い致します。
市民、特に高齢者を標的とする「スマホ決済詐欺」「QRコード詐欺」「不正アプリ被害」等の状況を把握されていますでしょうか?
また、本市では既にデジタルデバイド対策として、スマートフォン講座やLINEの活用支援、特殊詐欺被害防止の啓発活動を実施されていますが、より効果的な啓発手法として、実際の被害事例をもとにした「シミュレーション型防犯講座」や、AIによるフィッシング詐欺対策支援の導入などを検討されてはいかがでしょうか?
担当部長市民部長
スマホ決済やQRコード決済サービスなどを悪用し、金銭をだまし取る手口については、これまで、本市消費生活センターでの相談はございませんが、全国的には相談件数が急激に増加している状況でございます。
本事案にかかわらず、被害対策におきましては、実際の手口を知ることは非常に効果的でありますことから、高齢者を含む幅広い世代に対して、吹田警察と協力の上、様々な機会を捉えて、最新の手口を紹介するなど、効果的な注意喚起を行ってまいりたいと考えております。
高村まさとし市民部長からは、「被害の相談が無い」とのご答弁でしたが、「相談がない = 被害がない」とは限りません。
特に、サイバー犯罪は 「被害に気づかない」「少額なら泣き寝入り」「どこに相談すればいいかわからない」 といった理由で報告がされにくい特性があります。
何度も申し上げますが、デジタル社会の進展に伴い、サイバー犯罪が高度化し、市民の安全に対する重大な脅威となっています。
特に、高齢者を狙ったスマホ決済詐欺やフィッシング詐欺、個人情報の不正利用などが急増し、市民が安心してデジタル技術を活用できる環境の整備が急務であります。
しかし、現在の本市の危機管理体制は、自然災害や防犯対策を主軸としており、サイバー空間におけるリスクへの備えは十分とは言えません。
庁内のセキュリティ対策についてはデジタル政策室が担い、システムの強化や職員向けの研修が進められていますが、市民向けのサイバーセキュリティ対策については、支援体制が十分ではないのが現状です。
サイバー攻撃はもはや「特殊な犯罪」ではなく、日常的に発生し、市民生活に深刻な影響を及ぼす「新たな災害」です。
従来の危機管理の枠を超えて、市民を守る体制を構築することが不可欠ではないでしょうか。
こうした状況を踏まえ、本市のサイバー危機管理の中核として、「サイバー危機対策課」を設置し、市民を守る体制を強化すべきではないでしょうか?
そして、この部署が中心となり、 地域でデジタルに精通した人材を育成する「サイバーセキュリティリーダー制度」を創設し、市民同士が支え合うネットワークを構築することで、サイバー防災力の底上げを図ることも考えてはいかがでしょうか?
また、デジタル技術を安心・安全に活用するためには、市民一人ひとりのリテラシー向上が不可欠です。
そこで、デジタル政策室の専門的知見を活用しながら、危機管理室・市民部・福祉部が連携し、「デジタル防災ガイドブック」を作成し、市民がサイバー犯罪の手口や対策を分かりやすく学べる仕組みを整えるべきではないでしょうか?
サイバー空間の脅威から市民を守ることは、これからの自治体の重要な責務です。
本市の未来を見据えた「サイバー危機対策課」の設置と、「地域のサイバーセキュリティリーダーの養成」「デジタル防災ガイドブックの作成」について、市長の率直なご意見をお聞かせください。
担当部長行政経営部長
まずは行政経営部より事務分掌や組織体制を所管する立場から御答弁申し上げます。
サイバー犯罪から市民生活を守る上での基礎自治体の役割といたしましては、関係機関との連携協力や職員研修、市民啓発等に努めるべき立場にあるものと認識をいたしております。
市長市長
昨今のサイバー犯罪の状況を考えると、確かに、市民をその脅威から遠ざけるための何らかの取組が必要と感じております。
サイバー空間でのリスクにつきまして、市民個人に対して行政が周知を行う、それを超える行政手段には一体どのようなものがあるのか、研究が必要と考えております。
高村まさとし突拍子もない提案が飛び出したように思われたかもしれませんが、デジタル化が急速に進む現代において、市民の安全を守る手法もまたアップデートさせていく必要があります。
サイバー犯罪は、従来の犯罪とは異なり、被害が目に見えにくく、行政の対応が遅れがちです。しかし、市民がデジタル技術を安心して活用できる環境を整えることも、自治体の新たな役割ではないでしょうか。
本日の議論を一つの契機として、市民を守る体制について、引き続き前向きに検討いただければと思います。
Q1-5. 教育現場の情報セキュリティ強化
高村まさとし次に、教育現場の情報セキュリティについてお伺いいたします。
ニュースでもよく目にしますが、他市では学校での情報漏えいが相次いでいます。
本市では、教育情報セキュリティポリシーについて厳格に運用できているのか、現場レベルの事について、どのように確認を取り、把握されておりますでしょうか?
他市で起きている情報漏洩の事件について、本市では「起こり得ない」と言えるような厳格な運用体制を構築すべきと考えますが、本市のセキュリティ意識や現状についてお聞かせください。
また、教職員へのセキュリティ研修において、「フィッシングメール」や「標的型攻撃」を疑似体験できる実地演習の導入を強化し、教職員の対応力を高めることが必要ではないかと考えますが、教育委員会としてのお考えをお聞かせください。
担当部長教育監
まず、教育情報セキュリティーポリシーにつきましては、同ポリシーに基づく情報セキュリティー対策実施手順書を策定し、セキュリティー対策を各校へ具体的に周知し、厳格に運用しております。
同手順書では、情報漏えい防止のため、個人のパソコン、モバイル端末及び電磁的記録媒体等の校内持込みを禁じ、情報の取り出しや取り込みは、管理職の端末のみに制限しております。
遵守状況につきましては、管理職への確認を含め、全教職員を対象としたアンケートにより把握しております。
次に、情報漏えいの防止に係るセキュリティー対策の現状につきましては、パスワード設定と顔認証を必須とする閉域網を使用した教職員専用ネットワーク環境を整備するとともに、クラウドサービスのアクセス管理やアクセスログの監視、異常検知を専門業者に委託し、常時、監視を実施しております。
次に、教職員の対応力を高めることを目的とした研修といたしましては、情報教育担当教職員及び管理職を含めた全教職員を対象とした情報セキュリティー研修を実施しております。
本研修は、児童、生徒や、教職員の個人情報や機密情報を適切に管理し、情報漏えいを防ぎながら、公務や授業でICT機器を安全に使用するためのセキュリティー対策を学ぶ内容となっており、身近な事例を通して考える場を毎年計画的に設けることで、教職員一人一人の意識の向上を図っています。
来年度に向けましても、実情を踏まえた実践的な研修の準備を進めているところでございます。
Q1-6.公共インフラを守るセキュリティ対策
高村まさとし続いて、公共インフラを守るセキュリティについてお伺いいたします。
水道システムにおけるサイバーインシデントの実例は、日本ではまだありませんが、海外では様々な要因で複数確認されています。
上水道のシステムは、ライフラインにおける重要なインフラであるため、サイバー攻撃の格好の標的となっている事が指摘されております。
本市の水道施設では、遠隔監視・制御システム等が運用されておりますが、これらのシステムは、ランサムウェア攻撃や遠隔侵入の標的となる可能性があるため、サイバーセキュリティの強化が不可欠ではないでしょうか?
本市の状況と対応方針をお聞かせください。
担当部長水道部長
本市水道施設の監視制御システムは、閉域ネットワークで構成されており、インターネットやLGWAN等のネットワークとは物理的に接続していないため、外部からサイバー攻撃を受ける可能性は極めて低いものと考えております。
万が一、ネットワークに支障を来した場合でも、配水場内の設備で自動制御する仕組みになっております。
また、令和4年度(2022年度)に実施された内閣官房主催のサイバーセキュリティーに係る訓練に参加し、本市の対応フローやチェックシートの運用について確認しております。
なお、現在施工中の場外系電算システム更新工事において、監視制御操作室への入退室者を記録するための監視カメラを設置するなど、機会を捉えて、さらなるセキュリティー強化を図っているところでございます。
最後の意見
高村まさとしネットワークのセキュリティについては、ご答弁で高い水準で意識をもって運用されていることが示されました。
となると、LGWANもそうですが、閉域ネットワークについての最大の脅威は、技術的な脆弱性ではなく「人的要因」、つまり誤操作や内部不正にあると言えます。
どれだけ厳重な防御を施しても、内部の運用が適切でなければ、インシデントを完全に防ぐことはできません。
セキュリティ対策は、教える側も学ぶ側も膨大な労力を要する取り組みですが、本市の行政運営を支えるすべての職員の皆様の、意識と責任ある行動こそが、何よりの防御策となるはずです。
引き続き、より強固なセキュリティ体制の構築をお願い申し上げます。
