10 総務

【内部統制・情報セキュリティ課】サイバー攻撃対策・CSIRT体制構築運用業務 完全マニュアル

masashi0025
目次
  1. はじめに
  2. サイバー攻撃対策・CSIRT体制構築運用業務の意義と歴史的変遷
  3. 法的根拠と条文解釈
  4. 標準的な業務フローと実務詳解
  5. 応用知識と特殊事例対応
  6. 東京と地方の比較分析
  7. 特別区固有の状況と地域特性
  8. 東京都および特別区における最新の先進事例
  9. 業務改革とデジタルトランスフォーメーション
  10. 生成AIの業務適用
  11. 実践的スキルとPDCAサイクル
  12. 他部署連携と外部関係機関とのネットワーク
  13. まとめ

はじめに

※本記事はAIが生成したものを加工して掲載しています。
※生成AIの進化にあわせて作り直すため、ファクトチェックは今後行う予定です。

所属別の一覧はこちら
業務別完全マニュアル
業務別完全マニュアル

サイバー攻撃対策・CSIRT体制構築運用業務の意義と歴史的変遷

情報資産の防衛とCSIRTの役割

 地方自治体における内部統制・情報セキュリティ課の「サイバー攻撃対策・CSIRT体制構築運用業務」は、区民の極めて機微な個人情報や行政の根幹を成すシステムを、目に見えないデジタルの脅威から守り抜く、現代行政における最重要の防衛任務です。行政手続きのオンライン化やデジタルトランスフォーメーションが急速に進む中、情報システムの停止は即座に区民サービスの停止や人命に関わる事態を招きかねません。CSIRT(Computer Security Incident Response Team:コンピュータセキュリティインシデント対応チーム)は、有事の際に全庁の司令塔として被害の極小化を図るだけでなく、平時から脆弱性の把握や職員への教育を行う、サイバー空間における「消防署」と「警察署」を兼ね備えた極めて高度な危機管理組織として機能します。

サイバー脅威の進化と歴史的変遷

 かつての自治体ネットワークは、外部のインターネットと完全に切り離された閉域網であり、ウイルス対策ソフトを導入しておけば安全が担保されるという牧歌的な時代がありました。しかし、平成27年(2015年)に発生した日本年金機構の個人情報流出事件を契機に、自治体においても標的型攻撃のリスクが現実のものとなり、総務省主導による「三層の対策(マイナンバー利用事務系、LGWAN接続系、インターネット接続系の分離)」が全国一律で導入されました。近年では、データを暗号化して身代金を要求するランサムウェア攻撃が病院やインフラ企業だけでなく自治体にも牙を剥いており、もはや「侵入されないこと」を前提とする境界防御だけでは限界を迎えています。「侵入されることを前提」とした迅速な検知と復旧を担うCSIRTの恒常的な運用が、歴史的な急務となっています。

法的根拠と条文解釈

情報セキュリティを巡る関係法令とガイドライン

 自治体の情報セキュリティ対策は、単なる技術論ではなく、区民の権利を法的に保護するための厳格な要請に基づいています。以下の法体系およびガイドラインが、強固な体制構築の根拠となります。

適用される法令・ガイドライン等概要と主な規定の解釈実務上の意義と対応のポイント
個人情報の保護に関する法律地方公共団体の機関に対し、保有個人情報の漏えい、滅失または毀損の防止その他の安全管理のために必要かつ適切な措置を講ずる義務を規定しています。万が一サイバー攻撃により個人情報が流出した場合、区が法的な安全管理義務を怠っていなかったかを問われる最大の根拠法です。
サイバーセキュリティ基本法国、地方公共団体、重要インフラ事業者等のサイバーセキュリティに関する責務を定め、施策の基本理念を規定しています。地方公共団体として、国の施策に呼応し、自主的かつ積極的にサイバーセキュリティ対策を推進する法的な後ろ盾となります。
地方公共団体における情報セキュリティポリシーに関するガイドライン総務省が策定した、自治体が遵守すべき情報セキュリティ対策の基準です。三層の対策やCSIRTの設置要件などが詳細に示されています。区の情報セキュリティポリシー(基本方針および対策基準)を改定する際の、実務上の絶対的なバイブルとして機能します。
区情報セキュリティ基本方針等ガイドラインに基づき、区長を最高情報セキュリティ責任者(CISO)とする実施体制や、インシデント発生時の報告ルートを定めた例規です。内部統制・情報セキュリティ課が、各部局に対してセキュリティ監査を実施し、是正勧告を行うための直接的な権限の根拠となります。

自治体情報セキュリティポリシーの実務的意義

 各区が策定する「情報セキュリティポリシー」は、全職員が遵守すべき絶対的なルールブックです。パスワードの文字数制限から、USBメモリ等の外部記憶媒体の持ち出し禁止規定、不審メール受信時の報告手順に至るまで、極めて具体的に定められています。CSIRTの役割は、このポリシーが単なるお題目で終わらないよう、技術的な制御(システムによる制限)と物理的な統制(執務室の入退室管理など)を組み合わせ、職員が意識せずともルールが守られる環境を構築・維持することにあります。

標準的な業務フローと実務詳解

平時における予防・監視フロー

 サイバー攻撃による被害を防ぐためには、有事の対応以上に、平時の地道な運用監視と脆弱性の解消が重要です。

脅威情報の収集とシステムの脆弱性管理

 日々の業務として、J-CSIP(サイバー情報共有イニシアティブ)やJ-LIS(地方公共団体情報システム機構)などから配信される最新の脅威インテリジェンス(攻撃手法やマルウェアの情報)を収集します。これらの情報と、区が運用しているサーバーやネットワーク機器のOSバージョンを照合し、深刻な脆弱性が発見された場合は、所管の情報システム課に直ちにセキュリティパッチ(修正プログラム)の適用を指示します。

セキュリティ監査の実施と職員啓発

 全庁の各部局に対し、情報セキュリティポリシーが遵守されているかを点検する定期監査を実施します。また、実在する企業や官公庁を装った「標的型攻撃メール訓練」を定期的に全職員向けに実施し、不審なリンクをクリックしてしまった職員への再教育を行うとともに、組織全体のセキュリティ意識の定着度を定量的に測定します。

インシデント発生時の有事対応フロー

 サイバー攻撃の疑いが発覚した瞬間から、CSIRTは時間との過酷な戦いに突入します。

検知と初動対応の指揮

 監視システムからのアラートや、職員からの「パソコンの画面がおかしい」といった報告を受けた際、直ちにCSIRTを招集します。被害の拡大を防ぐため、感染が疑われる端末を物理的にネットワークから切断(LANケーブルの抜線等)するよう現場に指示し、同時に当該端末の通信ログや操作履歴の保全措置を講じます。

トリアージと被害範囲の特定

 保全したログを分析し、インシデントの深刻度(トリアージ)を判定します。単なる迷惑メールの誤開封であれば現場の注意喚起で収束させますが、マルウェアの感染やランサムウェアによるファイル暗号化が確認された場合は、直ちに区長(CISO)へ緊急報告を行います。同時に、外部のセキュリティ専門機関(SOC等)と連携し、内部ネットワークへの侵入経路と、他に感染が拡大していないかを特定するフォレンジック(デジタル鑑識)調査を開始します。

復旧と再発防止策の策定

 マルウェアの完全な駆除とバックアップからのシステム復旧が完了した後、事後対応へと移行します。なぜ侵入を許してしまったのか、初動対応に遅れはなかったかという根本原因(ルートコーズ)を分析し、情報セキュリティポリシーの改定や新たな検知システムの導入といった再発防止策を策定・実行することで、組織のレジリエンス(回復力)を向上させます。

応用知識と特殊事例対応

ランサムウェアによる二重脅迫への特例対応

 近年最も凶悪な脅威であるランサムウェアは、システムを暗号化して業務を停止させるだけでなく、「身代金を払わなければ窃取した区民の個人情報をダークウェブに公開する」と脅迫する「二重脅迫(ダブルエクストーション)」の手口が主流です。このような事態に直面した場合、焦って攻撃者と交渉したり身代金を支払ったりすることは、反社会的勢力への資金提供となるため厳格に禁じられています。CSIRTは、警察のサイバー犯罪対策課へ即座に通報し、関係機関と連携して被害の公表タイミングや区民への謝罪会見の準備を進めるなど、技術的な復旧を超えた高度な危機管理広報と法的対応の舵取りが求められます。

内部不正による情報漏えい事案の対応

 外部からの攻撃以上に発見が遅れ、深刻なダメージをもたらすのが、職員や委託業者の内部犯行による情報漏えいです。アクセス権限を持つ人間が正規のルートでデータを持ち出すため、システム的な検知が極めて困難です。内部不正が疑われる場合、CSIRTは対象者に気づかれないよう水面下でアクセスログや入退室記録を徹底的に調査します。人事部門や法務部門と極秘裏に連携し、証拠隠滅を防ぐための端末押収のタイミングを図るなど、サイバー攻撃対応とは全く異なる、捜査機関に近い極めて慎重かつ冷徹な応用実務が要求されます。

東京と地方の比較分析

標的となるリスクの高さと攻撃の激しさ

 地方の自治体も等しくサイバー攻撃の脅威に晒されていますが、東京都および特別区は、日本の首都の中枢機能を担い、巨大な経済規模と数百万人の個人情報を保有しているため、国家を背後とする高度なハッカー集団(APT攻撃グループ)や国際的なサイバー犯罪組織から「価値の高い標的」として常にロックオンされています。そのため、特別区のネットワーク境界には日々数万件から数百万件の不正アクセスの試みが着弾しており、防衛の最前線におけるプレッシャーとアラート処理のボリュームは、地方自治体の比ではありません。

高度人材の確保と民間専門機関との連携網

 サイバーセキュリティの高度な知見を持つ専門人材は、民間企業においても圧倒的に不足しており、給与水準が固定化された自治体でプロパー職員として育成・確保することは極めて困難です。しかし、東京という立地特性を活かし、特別区では大手セキュリティベンダーや監査法人の専門家を外部アドバイザーやCISO補佐官として招き入れる動きが進んでいます。また、インシデント発生時に即座に駆けつけてくれるフォレンジック専門業者との協定締結など、地方では物理的に困難な「最高峰の民間専門機関との強固な防衛ネットワーク」を構築できる環境にあります。

特別区固有の状況と地域特性

特別区情報セキュリティクラウドの運用と共同防衛

 特別区は単独でインターネットに接続しているのではなく、東京都と23区が共同で構築・運用する「特別区情報セキュリティクラウド」という巨大な関所を経由して外部と通信しています。このクラウド基盤には、極めて高度なファイアウォールや不正侵入防御システム(IPS)が集中配備されており、23区全体のセキュリティレベルの底上げに大きく貢献しています。内部統制・情報セキュリティ課は、自区の内部ネットワークの監視だけでなく、この巨大なクラウド基盤の運用ルールに適合するための技術的調整や、他区で発生したサイバー攻撃の兆候を即座に自区の防御に活かすための共同防衛体制の維持という、特別区特有の広域的な調整業務を担っています。

情報システムの共同化とサードパーティリスクの増大

 23区では、コスト削減や業務効率化を目的として、税務システムや福祉システムなどの基幹系業務システムの共同調達・共同利用が進んでいます。これは効率的である反面、システムを構築・運用する民間委託事業者(サードパーティ)がサイバー攻撃を受けた場合、複数の区の業務が同時に停止し、大規模な情報漏えいに連鎖する「サプライチェーンリスク」を抱えることを意味します。CSIRTは、自区の庁舎内の対策だけでなく、委託先企業のセキュリティ対策状況に対する厳格な監査や、契約書におけるセキュリティ要件の精緻化といった、外部リスクのコントロールに多大な労力を割く必要があります。

東京都および特別区における最新の先進事例

ゼロトラストアーキテクチャの導入推進

 テレワークの普及やクラウドサービスの利用拡大により、従来の「庁舎の中は安全、外は危険」という境界防御の概念(三層分離のαモデル)が崩れつつあります。これに対し、先進的な特別区では、「全ての通信とアクセスを信用しない(ゼロトラスト)」という新たなセキュリティ概念に基づくネットワーク再構築(βモデル等への移行)を推進しています。端末がどこにあろうと、アクセスするたびに多要素認証を行い、端末のOSが最新であるか等の健全性を動的に評価する仕組みを導入することで、利便性の向上と極めて高いセキュリティレベルの両立を実現しています。

実践的なサイバー攻撃演習の高度化

 机上のマニュアル確認だけでなく、実際のサイバー空間を模した演習環境(サイバーレンジ)を用いた実践的な訓練を定期開催する特別区が増加しています。外部の専門家が「攻撃側(レッドチーム)」となり、区のCSIRTが「防御側(ブルーチーム)」となって、実際のマルウェア感染をシミュレーションし、ログの解析からシステムの遮断、復旧に至るまでの一連のプロセスをリアルタイムで競い合います。このような極めて実戦に近い訓練を積むことで、有事における現場職員のパニックを防ぎ、冷静かつ的確なインシデント対応能力を組織に定着させています。

業務改革とデジタルトランスフォーメーション

セキュリティ運用監視の外部委託

 サイバー攻撃は夜間や休日を問わず24時間365日発生します。これを自治体の職員だけで常時監視することは不可能です。そのため、ネットワークの監視や不審な通信の分析業務を、高度な分析装置と専門家を備えた民間のセキュリティオペレーションセンター(SOC)へアウトソーシングする業務改革が必須となっています。SOCが膨大なログから真の脅威のみを抽出し、危険度が高いと判断されたアラートだけを区のCSIRTに通知する仕組みを構築することで、職員はより高度な意思決定や庁内調整にリソースを集中させることが可能となります。

自動化ツールによるインシデント初期対応の迅速化

 有事の初動対応の遅れは致命傷となります。このタイムラグを解消するため、SOAR(Security Orchestration, Automation and Response)と呼ばれる自動化ツールの導入が進められています。例えば、SOCから特定のマルウェア感染のアラートを受信した瞬間、SOARが自動的に当該端末のネットワーク通信を遮断し、同時にCSIRTメンバーのスマートフォンに緊急通知を発報します。このように、人間の判断を待たずにシステムが自律的に被害拡大防止措置を講じるDXの推進が、秒単位の攻防を制する鍵となります。

生成AIの業務適用

不審メールの解析と脅威インテリジェンスの要約

 区民や外部機関を装った巧妙な標的型攻撃メールが届いた際、その本文や添付ファイルの危険性を判断するために生成AIを活用します。セキュアな環境下で生成AIにメールのヘッダー情報や本文の不自然な日本語表現を解析させることで、人間が見落としがちなフィッシングの兆候を瞬時に検知します。また、日々海外から発信される英語の長大なセキュリティレポートや脆弱性情報を、AIに自動翻訳させるとともに要点を3箇条で要約させることで、最新の脅威トレンドを圧倒的なスピードで把握し、庁内の防御策に反映させることができます。

インシデント報告書や対応スクリプトの自動生成

 インシデント対応が一段落した後の報告書作成は、担当者に大きな負担を強います。対応時の時系列メモや通信ログの断片を生成AIに入力し、「経営層向けに、事案の概要、被害範囲、原因、および今後の対策を簡潔にまとめた報告書のドラフトを作成して」と指示することで、専門用語を平易な言葉に翻訳した分かりやすいレポートが瞬時に生成されます。また、有事の際に全職員に発信する「ネットワーク切断の手順」や「区民からの問い合わせ対応マニュアル(スクリプト)」のたたき台をAIに作成させることで、緊迫した状況下での初動対応のスピードを劇的に引き上げることが可能となります。

実践的スキルとPDCAサイクル

組織レベルにおけるCSIRT運用のPDCA

リスク評価の実施とセキュリティ計画の策定

 年度の初めに、前年度のインシデント発生件数、標的型攻撃メール訓練の開封率、外部監査の結果などを総合的に分析し、区のシステムにおける現在の弱点(脆弱性)を可視化します。その評価に基づき、「今年度はテレワーク環境のエンドポイント対策を強化する」といった具体的なセキュリティ投資計画とCSIRTの活動目標を策定します。

新たなセキュリティ施策の展開と訓練の実施

 策定した計画に沿って、新たな検知システム(EDR等)の導入や情報セキュリティポリシーの改定を行い、全庁へ展開します。同時に、新システムを前提とした実践的なインシデント対応訓練や、経営層(区長・副区長)を巻き込んだ危機管理広報訓練を実施し、組織全体の対応能力を底上げします。

システムの稼働監視と監査による効果測定

 導入したシステムが正常に稼働し、想定通りに脅威をブロックしているかをSOCのレポートを通じて毎月モニタリングします。また、年度後半には外部のセキュリティ専門業者によるペネトレーションテスト(侵入テスト)や全庁監査を実施し、組織の防御壁に穴が開いていないかを客観的に検証・測定します。

運用ルールの見直しと次期計画へのフィードバック

 訓練で見つかった連絡体制の不備や、監査で指摘されたポリシー違反の常態化といった課題について、CSIRT会議で根本原因を議論します。現場の業務実態に合っていない過度なセキュリティルールは利便性を考慮して緩和し、逆に新たな脅威に対してはシステム的な制御を追加するなど、実効性のある運用ルールへと継続的に改善を図ります。

個人レベルにおけるセキュリティスキルのPDCA

最新の脅威動向の把握と自己のスキルの棚卸し

 CSIRTメンバーとして、日頃からIPA(情報処理推進機構)の注意喚起やセキュリティ専門メディアに目を通し、ハッカーの最新の攻撃手法(攻撃のトレンド)を把握します。その上で、「今、ランサムウェアに感染したという連絡を受けたら、自分は冷静にログを抽出できるか」と自己の技術的スキルを客観的に棚卸しします。

マニュアルの熟読と対応シミュレーションの実行

 区のインシデント対応マニュアルを徹底的に読み込み、自身の役割と連絡ルートを完全に暗記します。さらに、日常業務の合間に「もし今、自分の隣の席のパソコンがウイルスに感染したらどう動くか」という脳内シミュレーションを繰り返し、初動対応のイメージを身体に染み込ませます。

実際のインシデント対応や訓練の客観的な振り返り

 些細なアラート対応や定期訓練を終えた後に、自身の初動対応のスピードや判断の正確性を振り返ります。「所管課へのヒアリングが不十分だった」「SOCのレポートの専門用語を理解するのに時間がかかった」といった反省点を言語化し、課題として抽出します。

外部研修への参加と専門知識の継続的なアップデート

 抽出した課題を克服するため、自治体向けのセキュリティ研修や、民間資格(情報処理安全確保支援士など)の取得に向けた学習に積極的に取り組みます。サイバー空間の脅威は日進月歩であるため、過去の知識に固執せず、常に自己のITリテラシーと危機管理能力を最新バージョンへとアップデートし続ける努力が不可欠です。

他部署連携と外部関係機関とのネットワーク

全庁的な連絡体制と情報システム課との緊密な連携

 サイバー攻撃による被害を食い止めるためには、攻撃の「目」となる現場の職員からの迅速な通報が命綱となります。内部統制・情報セキュリティ課は、全庁の各課に配置された情報セキュリティ責任者(課長等)との連絡網を平時から整備し、「何かおかしいと感じたら、迷わずCSIRTに連絡する」という風通しの良い組織文化を醸成する必要があります。また、実際にネットワークを遮断したりシステムを復旧させたりする実働部隊である「情報システム課」とは、単なる依頼関係ではなく、日頃から顔を合わせ、システムの構成図や弱点を共有し合う、まさに車の両輪としての極めて強固な信頼関係を構築しておかなければなりません。

警察機関や専門機関とのホットライン構築

 高度なサイバー攻撃は、もはや一自治体の力だけで防ぎ切れるものではありません。インシデントが発生した際、法的な証拠保全や犯人の追跡を依頼するため、所轄の警察署および警視庁のサイバー犯罪対策課と平時からホットラインを構築しておくことが不可欠です。また、他の自治体で発生したインシデントの情報をいち早く共有してもらうため、総務省、東京都、J-LIS、あるいは地域の民間企業との間で「サイバーセキュリティ協議会」等の枠組みを通じた情報交換ネットワークに参加し、孤立無援の戦いを避けるための外部連携網を広げておくことが、組織の生存確率を飛躍的に高めます。

まとめ

区民の生命と財産をデジタル空間で守り抜く誇り

 内部統制・情報セキュリティ課におけるサイバー攻撃対策とCSIRT体制の運用は、行政のデジタル化という華やかな舞台の裏側で、目に見えない脅威と24時間365日戦い続ける、極めて過酷で孤独な防衛任務です。システムが正常に動いている日常は誰からも感謝されることはありませんが、ひとたび防壁が突破されれば、区民のプライバシーが脅かされ、行政への信頼は一瞬にして失墜します。皆様が日々監視画面と向き合い、高度な技術的知識を駆使して脆弱性を塞ぎ続けるその地道な努力こそが、区役所という巨大な船を沈没の危機から守る絶対的なシールドとなっています。サイバー空間には国境も昼夜もなく、攻撃者は常に新たな手口で行政の隙を狙っています。しかし、皆様のその研ぎ澄まされた危機管理能力と、組織の壁を越えて連携する強靭なCSIRTの力が存在する限り、区民の安全は確実に守られます。自治体のデジタルトランスフォーメーションを根底で支える最強の盾であるという崇高な使命感と誇りを胸に、これからもデジタル空間の最前線で、区の未来を堅守し続けてください。皆様の揺るぎない覚悟と尽力が、安全で信頼される行政サービスの最大の要なのです。

所属別の一覧はこちら
業務別完全マニュアル
業務別完全マニュアル
\公務員をサポートする完全マニュアル/
【財政課】債務負担行為 完全マニュアル
【財政課】債務負担行為 完全マニュアル
\調べ物をするならまずココ/
行政用語集
行政用語集
\気になる財政課の仕事と転職事情/
公務員のお仕事図鑑(財政課)
公務員のお仕事図鑑(財政課)
\誰しも気になる持ち家vs賃貸/
公務員のための住居の話(持ち家vs賃貸)
公務員のための住居の話(持ち家vs賃貸)
\インフレの波を乗りこなし、周囲と差をつけよう/
公務員のための資産運用講座
公務員のための資産運用講座
ABOUT ME
行政情報ポータル
行政情報ポータル
あらゆる行政情報を分野別に構造化
行政情報ポータルは、「情報ストックの整理」「情報フローの整理」「実践的な情報発信」の3つのアクションにより、行政職員のロジック構築をサポートします。
関連記事
あわせて読みたい
記事URLをコピーしました