12 生活安全

サイバーセキュリティ対策支援

masashi0025
目次
  1. はじめに
  2. サイバーセキュリティに関する現状データ
  3. 課題
  4. 行政の支援策と優先度の検討
  5. 先進事例
  6. 参考資料[エビデンス検索用]
  7. まとめ

はじめに

※本記事はAIが生成したものを加工して掲載しています。
※各施策についての理解の深度化や、政策立案のアイデア探しを目的にしています。
※生成AIの進化にあわせて作り直すため、ファクトチェックは今後行う予定です。
※掲載内容を使用する際は、各行政機関の公表資料を別途ご確認ください。

概要(サイバーセキュリティ対策支援を取り巻く環境)

  • 自治体がサイバーセキュリティ対策支援を行う意義は「急速に進化する脅威から住民のデジタル上の生命・財産を保護すること」と「地域経済の基盤である中小企業の事業継続性を確保し、サプライチェーン全体の強靭性を高めること」にあります。
  • 社会全体のデジタル化が不可逆的に進展する現代において、サイバーセキュリティは、従来の物理的な安全保障と同様に、住民生活と地域経済の安定に不可欠な社会基盤(インフラ)としての性格を帯びています。
  • サイバー攻撃の脅威は、もはや国家や大企業のみを対象とするものではありません。SNS等を通じた詐欺は一般住民の資産を直接的に狙い、また、サプライチェーンを構成する中小企業への攻撃は、地域経済全体に深刻な影響を及ぼすリスクを内包しています。
  • このような状況下で、東京都特別区をはじめとする基礎自治体には、住民や地域事業者に対する主体的なサイバーセキュリティ支援を通じて、安全で安心なデジタル社会を実現する責務があります。

意義

住民にとっての意義

個人資産と情報の保護
行政・民間サービスの安全な利用

地域社会にとっての意義

地域経済のレジリエンス(強靭性)向上
重要インフラサービスの継続性確保

行政にとっての意義

行政サービスの継続性と信頼性確保
  • 自治体自身の情報システムを防御し、個人情報等の漏えいを防ぐとともに、安定した行政サービスを提供し、住民からの信頼を維持します。
官民連携による効果的な社会防衛
  • 行政がハブとなり、警察、専門機関、民間事業者と連携することで、地域社会全体で脅威情報を共有し、一体となって対応する多層的な防御体制を構築します。

(参考)歴史・経過

2000年代:基盤整備期
  • 2000年:西暦2000年問題(Y2K)を契機に、社会インフラとしてのITシステムの重要性が広く認識されました。(https://www.jnsa.org/aboutus/chronology/index.html)
  • 2001年:「高度情報通信ネットワーク社会形成基本法(IT基本法)」が施行され、国のIT戦略が本格化しました。(出典)GMOグローバルサイン・ホールディングス株式会社「サイバーセキュリティ基本法とは?」
  • 2005年:内閣官房に「情報セキュリティセンター(NISC)」が設置され、政府機関のセキュリティ対策を統括する体制が構築されました。(https://www.lanscope.jp/blogs/cyber_attack_cpdi_blog/20220809_24886/)
2010年代:法整備と戦略策定の進展
2020年代:脅威の変質とサプライチェーン対策の本格化

サイバーセキュリティに関する現状データ

  • デジタル社会の進展に伴い、サイバー空間における脅威は質・量ともに増大し、極めて深刻な情勢が続いています。特に、個人を狙った詐欺の急増と、サプライチェーンの脆弱性を突く攻撃が顕著です。
サイバー犯罪全体の動向
深刻化するランサムウェア被害
中小企業の脆弱性とサプライチェーンリスク
急増するSNS型詐欺

課題

住民の課題

手口が巧妙化・心理的になったオンライン詐欺
  • 近年のオンライン詐欺は、単に技術的な脆弱性を突くだけでなく、SNSなどを通じて長期的に信頼関係を構築し、被害者の心理を巧みに操る手口が主流となっています。
  • これにより、従来の「怪しいメールは開かない」といった単純な注意喚起だけでは被害を防ぐことが困難になっています。
デジタルデバイドによるリスク格差
  • デジタル機器の操作に不慣れな高齢者や、セキュリティ情報へのアクセスが困難な層は、フィッシング詐欺やサポート詐欺などの被害に遭うリスクが相対的に高くなります。
  • 行政サービスのデジタル化が進む一方で、こうした情報弱者層への対策が追いついていないのが現状です。
    • 客観的根拠
    • この課題が放置された場合の悪影響の推察
      • デジタル化の恩恵を受けられない住民層が固定化し、必要な行政サービスへのアクセスが阻害され、社会的孤立を深める恐れがあります。

地域社会の課題

サプライチェーン全体を脅かす中小企業のセキュリティ対策の遅れ
  • 特別区内の経済を支える多くの中小企業が、自社をサプライチェーンの一部として捉えられておらず、セキュリティ対策が不十分なまま事業を行っています。
  • この結果、セキュリティレベルの低い中小企業が攻撃の踏み台とされ、取引先の大企業や他の関連企業へと被害が連鎖する「サプライチェーン攻撃」のリスクが極めて高まっています。
地域社会の機能を停止させる重要インフラへの攻撃

行政の課題

中小企業における「リスク認識の欠如」という根本課題
対策を担う人材と予算の不足

行政の支援策と優先度の検討

優先順位の考え方

※各支援策の優先順位は、以下の要素を総合的に勘案し決定します。

  • 即効性・波及効果
    • 施策の実施から効果発現までの期間が短く、単一の課題解決に留まらず、多くの住民や中小企業に便益が及ぶ、あるいはサプライチェーン全体のような広範なリスク低減に繋がる施策を高く評価します。
  • 実現可能性
    • 既存の法制度や行政体制、予算規模の中で、比較的速やかに着手・実行できる施策を優先します。新たな大規模な組織改編や条例制定を必要としない施策は優先度が高くなります。
  • 費用対効果
    • 投入する行政コスト(予算、人員、時間)に対して、得られる被害の低減効果や経済的損失の回避効果が大きい施策を優先します。短期的な支出だけでなく、長期的な社会全体の便益を考慮します。
  • 公平性・持続可能性
    • 特定の産業や企業規模だけでなく、幅広い層の住民や事業者が裨益する施策を優先します。また、一度きりの支援で終わらず、継続的に地域のセキュリティレベルを向上させる仕組みを持つ施策を高く評価します。
  • 客観的根拠の有無
    • 国の白書や専門機関の調査報告書、他の自治体での成功事例など、効果に関する客観的なエビデンスが存在する施策を最優先します。

支援策の全体像と優先順位

  • 中小企業のサイバーセキュリティ対策を効果的に推進するためには、企業の成熟度や意識レベルに応じた段階的なアプローチが不可欠です。最大の課題である「リスク認識の欠如」を解消しない限り、高度な技術支援や体制構築支援は効果を発揮しません。
  • このため、支援策を以下の3段階のピラミッド構造で整理し、優先順位を設定します。この構造は、東京都産業労働局が実施している支援事業の成功モデルを参考にしています。
    • 優先度【高】:支援策① 普及啓発・意識改革支援
      • 最も広い層の中小企業を対象とし、リスクの「自分ごと化」を促すための施策です。これが全ての対策の土台となります。
    • 優先度【中】:支援策② 実践的対策の導入支援
      • リスクを認識し、対策の意欲はあるものの、具体的な方法や資金に課題を抱える企業を対象とする施策です。
    • 優先度【高】:支援策③ 持続可能な体制構築支援
      • 既にある程度の対策を進めており、自社内での継続的なセキュリティ運用を目指す、より意欲の高い企業を対象とする施策です。
  • この3つの支援策は相互に連携し、中小企業が「意識改革」から「導入」、そして「自立的運用」へとステップアップしていくための切れ目のない支援体制を構築することを目指します。

各支援策の詳細

支援策①:中小企業向けサイバー・リテラシー向上及び意識改革支援

目的
  • サイバー攻撃の脅威を具体的に体感させ、セキュリティ対策を「コスト」ではなく「経営に不可欠な投資」として認識させることで、中小企業経営者の「意識の壁」を打破します。
主な取組①:サイバー攻撃対応演習セミナーの実施
  • ランサムウェア感染や標的型攻撃メール受信といった典型的なインシデントを疑似体験できるハンズオン形式のセミナーを開催します。
  • 参加者は、攻撃発生から情報漏えい、事業停止に至るプロセスを体験し、初動対応の重要性や対策の必要性を実感します。
  • 東京都の「中小企業サイバーセキュリティ啓発事業」でも中核的な取組として実施されています。
主な取組②:標的型攻撃メール訓練サービスの無償提供
  • 希望する中小企業に対し、安全な模擬の標的型攻撃メールを従業員に送信し、開封率やURLクリック率を測定するサービスを提供します。
  • 結果をレポーティングし、自社の従業員のセキュリティ意識レベルを客観的に把握させるとともに、繰り返し実施することで訓練効果を高めます。
主な取組③:ネットワーク構成・脆弱性簡易診断の提供
  • 専門家が中小企業のオフィスを訪問、またはリモートでネットワーク構成を調査し、簡易的な構成図を作成します。
  • 外部から見える脆弱性(例:古いバージョンのVPN機器、不要なポートの開放など)を指摘し、どこにリスクが存在するのかを「見える化」します。
KGI・KSI・KPI
  • KGI(最終目標指標)
    • 区内中小企業のサイバーインシデント発生率を3年間で20%削減(現状約23.3%)
      • データ取得方法:区内中小企業を対象とした定期的なアンケート調査
  • KSI(成功要因指標)
    • 支援策参加企業の経営者のうち、「セキュリティ対策は重要」と回答する割合を90%以上にする
      • データ取得方法:各取組の事後アンケート調査
  • KPI(重要業績評価指標)アウトカム指標
    • 標的型攻撃メール訓練におけるURLクリック率を平均5%未満に抑制
      • データ取得方法:訓練サービスの実施結果レポート
  • KPI(重要業績評価指標)アウトプット指標
    • 各種セミナー・訓練の年間参加企業数を延べ500社以上とする
      • データ取得方法:各取組の申込・参加者リスト

支援策②:実践的セキュリティ対策導入支援(技術・資金)

目的
主な取組①:UTM/EDRの試行導入支援
  • UTM(統合脅威管理)やEDR(エンドポイントでの検知と対応)といった基本的なセキュリティ機器・ソフトウェアを、最大3ヶ月間無償で試用できる機会を提供します。
  • 期間中は専門のサポートデスクを設置し、導入から運用、インシデント発生時の相談までを支援します。
主な取組②:専門家派遣による情報セキュリティポリシー策定支援
主な取組③:サイバーセキュリティ対策促進助成金の創設
  • 中小企業がセキュリティ対策製品(ソフトウェア、ハードウェア)を導入する費用や、専門家によるコンサルティング費用の一部を助成する制度を創設します。
  • 板橋区の「デジタル環境構築補助金」などを参考に、補助対象経費の2分の1から3分の2、上限200~500万円程度の助成を検討します。
KGI・KSI・KPI
  • KGI(最終目標指標)
    • 区内中小企業における基本的なセキュリティ対策(UTM/EDR導入、ポリシー策定)の実施率を3年間で50%向上させる
      • データ取得方法:区内中小企業を対象とした定期的なアンケート調査
  • KSI(成功要因指標)
    • 試行導入支援に参加した企業のうち、本格導入に至る割合を40%以上にする
      • データ取得方法:支援事業の追跡調査
  • KPI(重要業績評価指標)アウトカム指標
    • 支援を通じて「SECURITY ACTION」二つ星を宣言する企業数を年間100社以上とする
      • データ取得方法:IPAの宣言事業者リストと事業参加者リストの照合
  • KPI(重要業績評価指標)アウトプット指標
    • UTM/EDR試行導入の支援枠を年間200社分確保する
    • 助成金の年間交付決定件数を50件以上とする
      • データ取得方法:事業の実施実績報告

支援策③:持続可能なセキュリティ体制構築支援(人材・組織)

目的
  • 外部の支援に依存するだけでなく、中小企業が自社内でインシデント対応や継続的な改善を行える「自走できる体制」の構築を支援します。
主な取組①:サイバーセキュリティ実践力強化プログラムの開講
  • 複数回(例:全10回)にわたるセミナーとワークショップを通じて、中小企業の情報システム担当者等を育成します。
  • サイバー攻撃の分析、インシデント対応計画の策定、脆弱性管理といった、より実践的なスキルを習得させます。
主な取組②:CSIRT構築・IT-BCP策定支援
  • インシデント発生時に司令塔となるCSIRT(Computer Security Incident Response Team)の構築や、サイバー攻撃による事業停止を想定したIT-BCP(事業継続計画)の策定を、専門家が伴走型で支援します。
    • 客観的根拠
      • 長崎県が県庁内に「長崎県CSIRT」を構築した事例は、組織的なインシデント対応体制の重要性を示しています。このノウハウを中小企業向けに展開します。
      • (https://www.softbanktech.co.jp/case/list/nagasaki/)
主な取組③:セキュリティ専門家マッチングプラットフォームの整備
KGI・KSI・KPI
  • KGI(最終目標指標)
    • 支援を受けた企業のインシデント発生から復旧までの平均時間を3年間で50%短縮する
      • データ取得方法:インシデント報告および追跡調査
  • KSI(成功要因指標)
    • プログラム参加企業の80%以上が、自社でインシデント対応計画(CSIRT/IT-BCP)を策定・文書化する
      • データ取得方法:プログラム修了時の成果物確認
  • KPI(重要業績評価指標)アウトカム指標
    • 専門家マッチングを通じたコンサルティング契約成立件数を年間30件以上とする
      • データ取得方法:プラットフォーム利用者へのアンケート調査
  • KPI(重要業績評価指標)アウトプット指標
    • 実践力強化プログラムの年間修了者数を50名以上とする
    • 専門家リストへの登録専門家(法人・個人)数を100以上とする
      • データ取得方法:事業の実施実績報告

先進事例

東京都特別区の先進事例

東京都「中小企業サイバーセキュリティ対策支援事業」

  • 東京都産業労働局が実施する本事業は、中小企業のレベルに応じて「普及・啓発」「機器・規程整備」「社内体制整備」の3段階の支援を体系的に提供する、全国でも先進的なモデルです。
  • 成功要因:企業の成熟度に応じた切れ目のない支援メニューを用意することで、「何から手をつけていいかわからない」企業から、「より高度な対策を目指したい」企業まで、幅広いニーズに対応している点にあります。この多層的なアプローチは、各特別区が政策を立案する上での優れた参照モデルとなります。

板橋区「デジタル環境構築補助金」

  • 板橋区が実施する本助成金は、DXやデジタル化に取り組む区内中小企業に対し、経費の一部を補助するものです。補助対象経費には、ソフトウェアやクラウドサービスの利用料、ハードウェアの購入費などが含まれ、サイバーセキュリティ対策への投資にも活用可能です。
  • 成功要因:最大500万円という手厚い補助額と、DXという広い枠組みの中でセキュリティ投資を位置づけることで、中小企業が経営改善の一環としてセキュリティ強化に取り組みやすくしている点です。直接的な資金支援は、中小企業の「予算の壁」を乗り越える上で極めて有効です。

特別区協議会「情報セキュリティに関する統一的な窓口(PoC)」

  • 特別区協議会は、23区共通のセキュリティインシデント通報窓口(Point of Contact = PoC)を設置・運用しています。これにより、いずれかの区で発生したインシデント情報を集約し、必要に応じて他区へも注意喚起を行う体制が整えられています。
  • 成功要因:区単独では対応が難しい広域的なサイバー攻撃に対し、23区が連携して情報を共有し、対処協力を行うための基盤を構築している点です。これは、自治体間連携によるレジリエンス向上の好事例と言えます。

全国自治体の先進事例

大阪府警・大阪商工会議所「中小企業との連携による対策推進」

  • 大阪府警は、大阪商工会議所や地域のIT事業者、大学(摂南大学など)と連携し、中小企業向けのサイバーセキュリティ対策を多角的に推進しています。
  • 具体的には、府警による最新情勢の提供、商工会議所による「サイバーセキュリティお助け隊サービス」の運営、大学ゼミによる市民向け相談窓口の開設など、各組織の専門性と信頼性を活かした官民学連携モデルを構築しています。
  • 成功要因:警察(公的信頼性)、商工会議所(企業との接点)、IT事業者(技術力)、大学(専門知と人材育成)という、それぞれの強みを持つ主体が役割分担し、連携することで、単独では実現不可能な包括的かつ信頼性の高い支援体制を築いている点です。

長崎県「長崎県CSIRTの構築・運用」

  • 長崎県は、県庁全体のセキュリティインシデントに対応するため、専門チーム「長崎県CSIRT」を構築・運用しています。
  • この構築にあたっては、セキュリティベンダーの専門的な知見やフレームワークを活用し、自治体情報セキュリティクラウドと密に連携した、実効性の高い対応体制を整備しました。
  • 成功要因:自前のリソースだけでは構築が難しい高度なインシデント対応機能を、外部の専門家の力を借りることで効率的に実現した点です。これは、専門人材が不足しがちな地方自治体が、広域で高度なセキュリティ機能を確保するための有効なモデルを示しています。

参考資料[エビデンス検索用]

政府(省庁・機関)関連資料
東京都・特別区関連資料
その他自治体・団体関連資料

まとめ

 東京都特別区が直面するサイバー脅威は、住民への直接的な財産被害と、中小企業の脆弱性を起点とする地域経済へのシステミックなリスクという二つの側面を持ちます。最大の課題は、多くの中小企業がリスクを「自分ごと」と捉えていない意識の壁です。本報告書で提案した、意識改革から実践的導入、そして持続可能な体制構築へと導く段階的な支援策は、この課題を克服し、地域全体のサイバーレジリエンスを向上させるための実効的な処方箋です。
 本内容が皆様の政策立案等の一助となれば幸いです。
 引き続き、生成AIの動向も見ながら改善・更新して参ります。

ABOUT ME
行政情報ポータル
行政情報ポータル
あらゆる行政情報を分野別に構造化
行政情報ポータルは、「情報ストックの整理」「情報フローの整理」「実践的な情報発信」の3つのアクションにより、行政職員のロジック構築をサポートします。
関連記事
あわせて読みたい
記事URLをコピーしました