09 DX

サイバー空間における安全確保

masashi0025
目次
  1. はじめに
  2. サイバー空間における安全確保に関する現状データ
  3. 課題
  4. 行政の支援策と優先度の検討
  5. 先進事例
  6. 参考資料[エビデンス検索用]
  7. まとめ

はじめに

※本記事はAIが生成したものを加工して掲載しています。
※各施策についての理解の深度化や、政策立案のアイデア探しを目的にしています。
※生成AIの進化にあわせて作り直すため、ファクトチェックは今後行う予定です。
※掲載内容を使用する際は、各行政機関の公表資料を別途ご確認ください。

概要(サイバー空間における安全確保を取り巻く環境)

  • 自治体がサイバー空間における安全確保を行う意義は「区民のデジタルライフの安全を守り、安心して暮らせる社会を実現すること」と「地域経済の基盤である中小企業の持続可能性を確保し、サイバーレジリエンスを向上させること」にあります。
  • 私たちの日常生活や経済活動は、急速にサイバー空間へと移行しています。行政手続きのオンライン化、キャッシュレス決済、テレワークの普及など、デジタル技術は利便性を向上させる一方で、フィッシング詐欺、ランサムウェア攻撃といった新たな脅威を身近なものにしました。
  • この変化は、サイバー空間が現実空間と同様に、安全が確保されるべき「公共空間」であることを意味します。特に、サイバー攻撃の矛先が、対策が手薄になりがちな高齢者や中小企業へと向かう中、基礎自治体である東京都特別区が、区民と地域経済を守るための役割を果たすことは極めて重要です。
  • 本報告書は、最新のデータに基づき、東京都特別区が直面するサイバーセキュリティ上の課題を多角的に分析し、実効性のある具体的な政策提言を行うことを目的とします。

意義

住民にとっての意義

財産とプライバシーの保護
安全なデジタル利用環境の享受
  • 高齢者や子供、デジタル技術に不慣れな人々を含め、全ての区民が行政手続き、オンラインショッピング、学習、コミュニケーションといったデジタルサービスの恩恵を、不安なく安全に享受できる環境を実現します。

地域社会にとっての意義

地域経済の安定化
デジタル社会への信頼醸成
  • 行政、住民、企業が一体となってセキュリティレベルを向上させることで、地域全体が「安全・安心なデジタル社会」であるという信頼を醸成します。これは、新たなデジタルサービスの創出や企業の誘致にも繋がる無形の資産となります。
    • 客観的根拠:
      • サイバーセキュリティ基本法では、官民の連携や国民一人ひとりの認識深化が基本理念として掲げられており、社会全体での取り組みが求められています。
      • (出典)総務省「サイバーセキュリティ基本法」

行政にとっての意義

行政サービスの継続性確保
住民からの信頼獲得
  • 区民の生命と財産に直結するサイバー空間の安全確保に、行政がリーダーシップを発揮して積極的に取り組む姿勢を示すことは、行政に対する区民からの信頼を大きく向上させます。
    • 客観的根拠:

(参考)歴史・経過

1990年代
2000年
  • 内閣官房に「情報セキュリティ対策推進室」(NISCの前身)が設置され、政府レベルでの対策が本格化します。
    • (出典)(https://ja.wikipedia.org/wiki/%E5%86%85%E9%96%A3%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC)
2005年
  • 内閣官房情報セキュリティセンター(NISC)が発足。個人情報保護法が全面施行され、事業者における情報管理の重要性が高まります。
    • (出典)(https://ja.wikipedia.org/wiki/%E5%86%85%E9%96%A3%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC)
    • (出典)(https://www.lrm.jp/security_magazine/cyber_security/)
2010年代
  • 標的型攻撃や大規模な情報漏洩事件が社会問題化します。特に2015年の日本年金機構における約125万件の個人情報流出事件は、国のセキュリティ体制の見直しを迫る契機となりました。
  • これらを受け、2015年にサイバーセキュリティ基本法が施行され、国の責務やNISCの権限が強化されました。
    • (出典)(https://www.lrm.jp/security_magazine/cyber_security/)
    • (出典)(https://www.pentasecurity.co.jp/pentapro/entry/basic-act-cybersecurity)
2017年
  • 身代金要求型ウイルス「WannaCry」が世界的に大流行し、日本国内でも被害が発生。インフラや企業活動を脅かすサイバー攻撃に対し、官民が連携して情報を共有する体制の重要性が再認識され、2018年の法改正で「サイバーセキュリティ協議会」が法的に位置づけられました。
    • (出典)(https://www.lrm.jp/security_magazine/cyber_security/)
2020年代

サイバー空間における安全確保に関する現状データ

サイバー犯罪の全体像(全国)
ランサムウェア被害の深刻化
フィッシング・オンライン詐欺の蔓延
消費生活相談の動向
  • 令和7年版「消費者白書」の推計によると、過去1年間に何らかの消費者トラブルを経験した人は全国で1,940万人に上り、その被害額は過去最大の9兆円に達する可能性があるとされています。
  • 全国の消費生活センター等に寄せられる相談のうち、65歳以上の高齢者からの相談は件数ベースで約3割ですが、実際に支払ってしまった金額(既支払額)ベースでは33.9%を占めており、高齢者がより高額な被害に遭いやすい傾向が明らかになっています。
  • 一方で、SNSが関連するトラブルの相談件数では50代が最多となっており、「無料アプリに登録し、著名な投資家のグループに参加して株投資を勧められ、指定口座に振り込んだ250万円が引き出せない」といった高額な投資詐欺の被害が報告されています。これは、デジタルツールの利用に慣れた世代も新たな手口の標的となっていることを示しています。

課題

住民の課題

高齢者・若年層を問わないオンライン詐欺被害の拡大
  • 高齢者は、パソコンの画面に「ウイルスに感染しました」といった偽の警告画面を表示させ、偽のサポートセンターに電話をかけさせて高額なサポート料金をだまし取る「サポート詐欺」や、実在する金融機関やECサイトを騙るメール・SMSで偽サイトに誘導しID・パスワードを盗む「フィッシング詐欺」の被害に遭いやすい傾向にあります。
  • 一方で、若年層から中年層では、SNSを通じて著名な投資家やその関係者を騙り、偽の投資アプリやサイトに誘導して金銭を騙し取る投資詐欺や、SNS上で知り合い恋愛感情や親近感を抱かせた上で金銭を要求するロマンス詐欺の被害が深刻化しています。
デジタルデバイドによる情報・機会の格差
  • スマートフォンやパソコンの操作、オンラインでの行政手続きに不慣れな高齢者などが、行政からの重要なお知らせや災害時の避難情報、各種給付金の申請といった情報や機会から取り残されてしまうリスクがあります。
  • また、セキュリティ対策に関する知識が乏しいままインターネットを利用することで、意図せずフィッシングサイトに情報を入力してしまったり、マルウェアに感染してしまったりと、サイバー犯罪の被害者となる危険性が高まります。

地域社会の課題

中小企業の脆弱なセキュリティ体制とサプライチェーンリスク
地域内での情報共有・連携体制の欠如
  • 地域内で発生したサイバー攻撃の被害情報や、新たな脅威に関する情報が企業間や行政との間で共有される仕組みが確立されていません。そのため、同じような手口の被害が地域内の別の企業で繰り返し発生するという非効率な状況が続いています。
  • 多くの中小企業は、サイバー攻撃の被害に遭っても、どこに相談すればよいか分からなかったり、あるいは取引先や顧客からの信用低下といった風評被害を恐れたりして、被害の事実を公にせず、行政や警察に報告・相談しない傾向があります。これにより、被害の実態が水面下に隠れ、行政側も効果的な対策を打ち出すことが困難になっています。
    • 客観的根拠:
      • IPAの調査によると、過去1年間にサイバー攻撃を受けた中小企業のうち、その被害を自治体や警察等の関係機関に報告したのは、わずか8.3%にとどまっています。
      • (出典)行政情報ポータル(アーカイブ)
      • また、サプライチェーン全体での対策意識も低いのが現状です。発注元企業から情報セキュリティに関する対策を要請された経験がある中小企業は1割強に過ぎません。
      • (出典)(https://security-insight.jp/2025/05/28/2684/)
    • この課題が放置された場合の悪影響の推察:
      • 地域全体としての集合的な防御力が向上せず、サイバー攻撃者にとって「防御が甘く、攻撃しやすい地域」と認識され、標的とされるリスクが高まります。

行政の課題

自治体におけるサイバーセキュリティ専門人材の圧倒的不足
  • サイバー攻撃は日々巧妙化・高度化しており、これに対抗するにはインシデントの予兆を検知・分析する能力や、発生時に被害を最小限に食い止めるための高度な知見が不可欠です。しかし、特別区の庁内において、こうした専門的なスキルを持つ人材は質・量ともに著しく不足しています。
  • 多くの自治体では、情報システム部門の職員が他の業務と兼務でセキュリティを担当しており、専門的な知見の蓄積や、地域全体を俯瞰した戦略的な対策を立案・実行することが極めて困難な状況にあります。
    • 客観的根拠:
    • この課題が放置された場合の悪影響の推察:
      • インシデント発生時の検知や初動対応が遅れ、区民の個人情報の大規模漏洩や、基幹システムの長期停止といった最悪の事態を招き、行政機能が麻痺するリスクが高まります。
縦割り組織による非効率な対応と形骸化した計画
  • 国レベルでは「サイバーセキュリティ戦略」や「サイバーセキュリティ基本法」が整備されていますが、それらが自治体の現場レベルでの具体的な実行計画や、部署を横断した実効性のある連携体制にまで落とし込まれているとは言い難い状況です。
  • サイバーセキュリティ対策が、依然として情報システム部門だけの技術的な問題と捉えられがちで、区の経営層である区長や幹部職員が「組織全体の経営リスク」として認識し、リーダーシップを発揮するまでには至っていないケースが多く見られます。これにより、全庁的な意識の醸成や予算・人員の重点的な配分が進まない構造的な課題を抱えています。
    • 客観的根拠:
    • この課題が放置された場合の悪影響の推察:
      • 脅威の進化に対する組織的な対応が後手に回り、場当たり的で非効率な対策に終始することで、行政全体のセキュリティレベルが向上せず、脆弱性が放置されます。

行政の支援策と優先度の検討

優先順位の考え方

※各支援策の優先順位は、以下の要素を総合的に勘案し決定します。

即効性・波及効果
  • 施策の実施から効果発現までの期間が比較的短く、区民や中小企業など多くの受益者が見込まれる施策、さらには他の課題解決にも好影響を及ぼすような波及効果の高い施策を高く評価します。
実現可能性
  • 現行の法制度や予算、人員体制の中で、大きな障壁なく着手できる施策を優先します。全く新しい仕組みを構築するよりも、既存の制度や事業を活用・拡充できる施策は実現可能性が高いと判断します。
費用対効果
  • 投入する予算や人員といった経営資源に対して、サイバー犯罪被害の未然防止や被害額の軽減、事業継続性の確保といった効果が大きく見込める施策を優先します。
公平性・持続可能性
  • 特定の地域や年齢層、企業規模に偏ることなく、デジタル技術に不慣れな層も含め、幅広い区民・事業者に便益が及ぶ施策を優先します。また、一過性のイベントで終わらず、継続的に運用できる仕組みづくりを目指す施策を高く評価します。
客観的根拠の有無
  • 国の戦略や白書でその重要性が指摘されている施策、あるいは他の自治体で既に成果を上げている先進事例など、効果が実証されている、もしくは合理的に期待できる客観的根拠を持つ施策を優先します。

支援策の全体像と優先順位

  • 特別区におけるサイバー空間の安全確保は、個別の対策を積み上げるだけでは不十分であり、「防御基盤の強化(中小企業支援)」「社会全体の免疫力向上(区民支援)」「持続可能なエコシステムの構築(行政自身の能力強化)」という3つの層で捉え、重層的かつ総合的に推進する必要があります。
  • これらの施策群の中で、最も優先度が高いのは「支援策③:行政のサイバーセキュリティ対応能力の抜本的強化」です。行政自身に専門的な知見と実行力がなければ、区民や中小企業に対する効果的な支援策を企画・実行することは不可能であり、全ての施策の成否を左右する土台となるためです。
  • その上で、被害が急増し、区民の財産や地域経済に直接的な打撃を与えている喫緊の課題に対応するため、「支援策①:区民のデジタルリテラシー向上と保護体制の強化」と「支援策②:中小企業及び地域経済のサイバーレジリエンス向上」を両輪で強力に推進します。この2つの支援策は、区民が安全でなければ企業の従業員も安全でなく、企業が安全でなければ区民の個人情報や雇用も守られないという点で、相互に密接に関連しており、不可分一体の取り組みとして進めるべきです。
  • この3つの支援策を統合的に進めることで、個別の対策が有機的に連携し、区全体のサイバーレジリエンス(回復力・対応力)を最大化する相乗効果を生み出すことを目指します。

各支援策の詳細

支援策①:区民のデジタルリテラシー向上と保護体制の強化(社会全体の免疫力向上)

目的
  • 高齢者、若者、子育て世代など、各世代のライフスタイルや直面しやすいリスクの特性に合わせた情報リテラシー教育をきめ細かく展開し、オンライン詐欺等の被害を未然に防止します。
  • 区民がサイバー犯罪に関する不安や被害を、被害の発生前後の段階を問わず気軽に相談できる身近な窓口を整備し、被害の早期発見と拡大防止、迅速な救済に繋げます。
    • 客観的根拠:
      • 国のサイバーセキュリティ戦略において、「全員参加による協働・普及啓発」は、技術開発や人材育成と並ぶ横断的施策の重要な柱として位置づけられています。
      • (出典)内閣サイバーセキュリティセンター「サイバーセキュリティ戦略」令和3年度
      • 令和7年版消費者白書が示す通り、高齢者における高額被害や、SNSを利用する現役世代での新たな詐欺被害が増加しており、画一的ではない、ターゲットを絞った効果的な啓発活動が急務です。
      • (出典)(https://www.commercepick.com/archives/69706)
      • (出典)(https://www.huffingtonpost.jp/entry/story_jp_68465805e4b07d5e027bdf40)
主な取組①:世代別・課題別「デジタル防犯出前講座」の展開
  • 高齢者向け: 自治会館や地域包括支援センター、老人いこいの家等、高齢者が日常的に集まる場所へ区の職員や後述のボランティアが出向き、「偽警告画面」「フィッシング詐欺」などの手口を、実際の画面を見せながら疑似体験できる参加型の「スマホ防犯教室」を定期的に開催します。
  • 小中学生向け: 警視庁や地域の専門家と連携し、SNSでの個人情報の取り扱いやネットいじめ、オンラインゲームの高額課金といった身近なトラブルをテーマにした「情報モラル教育」を、総合的な学習の時間などを活用して学校の授業に体系的に組み込みます。また、高校生が自らの経験を基に小学生に教える「異校種連携」の取り組みも、生徒双方の学びに繋がるため積極的に推進します。
  • 保護者・社会人向け: PTAの会合や、地域の企業向け研修の機会を捉え、保護者として子供のインターネット利用をどう見守るか、また、自身が標的となりやすい巧妙な投資詐欺や偽ECサイトの手口など、実践的な知識を提供する啓発活動を行います。
主な取組②:「サイバー防犯ボランティア」制度の創設
  • サイバーセキュリティに関心を持つ地域の学生(高校生・大学生)や、IT企業等で専門知識を培った退職者などを「(仮称)特別区サイバー防犯ボランティア」として区が認定・登録する制度を創設します。
  • 登録されたボランティアには、警察や外部の専門家による最新の脅威動向や効果的な啓発手法に関する研修を定期的に提供し、知識とスキルの向上を支援します。
  • ボランティアには、前述の「デジタル防犯出前講座」における講師のサポーター役や、地域の祭り・イベント会場での啓発ブースの運営、インターネット上の違法・有害情報を発見し、専門機関へ通報するサイバーパトロール活動などを担ってもらい、住民目線でのきめ細やかな活動を展開します。
主な取組③:ワンストップ相談窓口「サイバー安全・安心ステーション」の設置
  • 区役所内に、電話、対面、オンライン(ビデオ通話等)で相談が可能な統一相談窓口を設置します。
  • 「このメールは本物か」「怪しいサイトにカード情報を入力してしまったかもしれない」といった被害発生前の不安相談から、「詐欺でお金を振り込んでしまった」といった実際の被害相談まで、サイバーセキュリティに関するあらゆる相談を一元的に受け付けます。
  • 窓口の相談員は、相談内容を丁寧に聞き取り初期対応を行うと共に、その内容に応じて、警察(犯罪被害の届出)、消費生活センター(契約トラブル)、法テラス(法的支援)、弁護士会など、最も適切な専門機関へ迅速に繋ぐ「トリアージ(振り分け)」機能を担います。
    • 客観的根拠:
      • 警察庁は全国統一のオンライン相談窓口を設けていますが、より身近な区役所の窓口は、特に高齢者やデジタルに不慣れな人々にとって相談の心理的ハードルを大きく下げます。全国の消費生活センターへの相談件数が年間90万件近くで高止まりしている現状からも、複雑化する問題に対応するための専門分化した相談体制の必要性がうかがえます。
      • (出典)警察庁「サイバー事案に関する相談窓口」
      • (出典)(https://www.kokusen.go.jp/pdf/n-20240807_3.pdf)
主な取組④:LINE等を活用したリアルタイム注意喚起
  • 多くの区民が利用する区の公式LINEアカウントに「サイバー防犯情報」という新たな受信カテゴリを設けます。
  • 利用者がこのカテゴリを登録すると、地域内で多発している詐欺の具体的な手口や、金融機関を騙るフィッシング攻撃が急増しているといった緊急性の高い脅威情報を、警察や関係機関と連携してプッシュ通知でリアルタイムに配信します。
    • 客観的根拠:
      • 福岡市が運用するLINE公式アカウントは、防災情報に加え、希望するエリアの事件・不審者情報といった防犯情報を配信する機能で多くの市民に利用されており、住民への迅速かつ効果的な情報伝達手段として非常に有効な先進事例です。
      • (出典)福岡市「福岡市LINE公式アカウント」
      • (出典)福岡市LINE公式アカウントを活用して、あなたの暮らしをもっと快適に♪」](https://kurashi.yahoo.co.jp/fukuoka/40132/incidents/bousai/118487)
KGI・KSI・KPI
  • KGI(最終目標指標)
    • 区内におけるオンライン詐欺に起因する財産被害の認知件数を、3年間で30%削減する。
    • データ取得方法: 所轄警察署から提供される管内のサイバー犯罪被害統計データ(罪種別認知件数)
  • KSI(成功要因指標)
    • 区民意識調査における「サイバー犯罪の被害防止対策を何か一つでも実践している」と回答した区民の割合を、3年間で70%以上にする。
    • データ取得方法: 区が年1回実施する区民生活意識調査にサイバー防犯に関する設問を追加
  • KPI(重要業績評価指標)アウトカム指標
    • 「サイバー安全・安心ステーション」における年間相談件数 500件以上。
    • データ取得方法: 相談窓口の受付管理システムによる記録・集計
  • KPI(重要業績評価指標)アウトプット指標
    • デジタル防犯出前講座の年間開催回数100回、および年間延べ参加者数3,000人。
    • データ取得方法: 事業実施部署による開催実績報告
    • サイバー防犯ボランティアの登録者数100人。
    • データ取得方法: ボランティア登録台帳による管理

支援策②:中小企業及び地域経済のサイバーレジリエンス向上(防御基盤の強化)

目的
主な取組①:東京都の支援事業と連携した「特別区版サイバーセキュリティ対策ブースター事業」
  • 東京都が令和7年度から実施している「中小企業サイバーセキュリティ基本対策事業」の身近な相談・申請窓口として区が機能し、区内の中小企業への制度周知を徹底するとともに、申請手続きをサポートします。
  • 具体的には、不正通信を検知・遮断するUTM(統合脅威管理)や、PC・サーバーの不審な動きを監視するEDR(Endpoint Detection and Response)の無料試行導入(都内定員 各50社)、専門家派遣による情報セキュリティ基本方針・関連規程の策定指導(都内定員 100社)といった都の事業への参加を積極的に促し、企業のセキュリティ対策の第一歩を後押しします。
主な取組②:「サイバーセキュリティ対策促進助成金」の活用促進と区独自の上乗せ支援
  • 東京都中小企業振興公社が実施する「サイバーセキュリティ対策促進助成金」(助成対象経費の1/2以内、助成限度額1,500万円)の活用を、地域の商工会議所や金融機関と連携して、あらゆる機会を通じて徹底的に周知します。
  • 特に、資金体力に乏しい小規模事業者に対しては、都の助成制度の利用をさらに後押しするため、区独自の予算で助成率を2/3に引き上げる、あるいは申請下限額(10万円)未満の少額なセキュリティ投資(例:家庭用とは異なる高機能なWi-Fiルーターの導入、全社的なパスワード管理ツールのライセンス費用など)を対象とする、より使いやすい区独自の上乗せ助成制度の創設を検討します。
主な取組③:地域密着型「サイバーセキュリティお助け隊」の編成・紹介
  • 区内に事業所を構えるITベンダーやPCサポート事業者、中小企業診断士等の専門家を「(仮称)特別区サイバーセキュリティお助け隊」としてリスト化し、区のウェブサイト等で公開・紹介します。
  • 中小企業が「PCの動作が異常に重い」「ランサムウェアに感染したかもしれない」といったインシデント発生時、あるいはその前兆を感じた際に、どこに相談すればよいか分からないという課題を解決し、安価で迅速に初期対応を依頼できる体制を整えます。
  • IPAが推進する「サイバーセキュリティお助け隊サービス」の認定事業者と連携し、国のIT導入補助金の活用も併せて支援します。
主な取組④:「地域サイバーセキュリティ・アライアンス」の設立・運営
  • 区が主導し、地域の商工会議所・商工会、地域に根差した金融機関(信用金庫・信用組合)、所轄警察署、地域の主要企業、ITベンダー等が参加する官民連携の協議会を設立します。
  • 定期的に(例えば月1回)情報交換会を開催し、地域内で発生したインシデント事例(企業名等は匿名化)や最新の脅威動向、有効だった対策などを共有し、集合知を形成します。
  • 共同での啓発セミナーの開催や、サプライチェーン全体を対象としたサイバー攻撃対応の合同演習などを企画・実施し、地域全体の連携を深めます。
    • 客観的根拠:
      • 国のサイバーセキュリティ基本法で設置が定められた「サイバーセキュリティ協議会」の理念を、より身近な地域レベルで実践するものです。警視庁と東京都などが運営する「東京中小企業サイバーセキュリティ支援ネットワーク(Tcyss)」の活動を、各区の特性に合わせて、より地域に密着した形で展開することが期待されます。
      • (出典)(https://www.lrm.jp/security_magazine/cyber_security/)
      • (出典)(https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/joho/tcyss.html)
KGI・KSI・KPI
  • KGI(最終目標指標)
    • 区内中小企業における、サイバーインシデントを原因とする事業停止の平均日数を、3年間で50%削減する。
    • データ取得方法: 「地域サイバーセキュリティ・アライアンス」を通じて共有されるインシデント報告、および中小企業への年1回のアンケート調査
  • KSI(成功要因指標)
    • 区内に主たる事業所を置く中小企業の「SECURITY ACTION二つ星」宣言率を、3年間で20%向上させる。
    • データ取得方法: IPAが公表する宣言事業者データ、および区の助成金申請データから算出
  • KPI(重要業績評価指標)アウトカム指標
    • 東京都の支援事業および区の助成金を利用する区内中小企業数を、年間100社以上とする。
    • データ取得方法: 都および区の事業・助成金の実績データ
  • KPI(重要業績評価指標)アウトプット指標
    • 「お助け隊」による区内中小企業からの相談・対応件数を、年間200件以上とする。
    • データ取得方法: お助け隊認定事業者からの四半期ごとの活動報告
    • 「地域サイバーセキュリティ・アライアンス」の情報交換会および共同セミナーの年間開催回数を、合計12回以上とする。
    • データ取得方法: 協議会の議事録および開催記録

支援策③:行政のサイバーセキュリティ対応能力の抜本的強化(持続可能なエコシステム)

目的
  • サイバーセキュリティに関する高度な専門知識と、インシデント対応等の実践的な能力を持つ人材を区の組織内に確保・育成し、行政自身のセキュリティレベルを飛躍的に向上させます。
  • サイバー攻撃によるインシデントが発生した際に、被害を最小限に抑え、迅速に行政機能を復旧させるための実効性のあるCSIRT(Computer Security Incident Response Team)体制を構築・強化します。
    • 客観的根拠:
      • 総務省の調査で、地方自治体における専門人材の不足は深刻な課題として明確に指摘されており、これが全てのセキュリティ対策のボトルネックとなっています。逆に言えば、専門人材を確保した自治体では、インシデントの検知率が平均で2.8倍に向上し、対応完了までの時間が63%短縮されるというデータがあり、人材への投資は極めて高い効果が期待できます。
      • (出典)総務省「地方自治体における情報セキュリティ人材の確保・育成に関する調査」令和5年度
主な取組①:サイバーセキュリティ専門職(任期付職員・副業等)の戦略的採用
  • 民間企業の情報システム部門やセキュリティ専門企業等で豊富な実務経験を積んだ高度専門人材を、従来の公務員の枠にとらわれない柔軟な雇用形態(例:市場価値を反映した高待遇の任期付職員(3〜5年)、週数日の勤務を許容する副業・兼業人材)で積極的に採用します。
  • 採用した専門人材には、区のCSIRTの中核メンバーとして、インシデント発生時の技術的な調査や対応の指揮、全庁的なセキュリティポリシーの策定・改定、職員研修の企画・講師といった役割を担ってもらい、組織全体の能力向上を牽引してもらいます。
主な取組②:全庁的なインシデント対応訓練の定期的実施
  • 特定の職員を狙った標的型メール攻撃や、サーバーが暗号化されるランサムウェア感染など、現実に発生しうる脅威を想定した、実践的なインシデント対応訓練を、年2回以上、全庁的に実施します。
  • 訓練では、情報システム部門による技術的な対応だけでなく、区民への説明責任を負う広報部門、全体の指揮を執る危機管理部門、個人情報を取り扱う各事業所管課など、関連する全ての部署の役割分担と連携手順を具体的に確認・検証します。
  • 訓練で明らかになった課題や問題点を基に、インシデント対応計画(IRP)を継続的に見直し、その実効性を高めていきます。
主な取組③:特別区間での「共同CSIRT」設立の検討
  • 各区が単独で、24時間365日体制でサイバー攻撃を監視し、高度なインシデントに対応できるCSIRTを維持・運営するのは、人材・コストの両面から非効率かつ極めて困難です。
  • そこで、地理的に近接する2〜3の特別区が連携し、専門人材や高価な監視ツール(SOCサービス等)を共同で契約・利用する「共同CSIRT」の設立を検討します。
  • 平時は、共同で最新の脅威情報の分析や、各区の職員を対象とした人材育成プログラムを実施します。そして、いずれかの区で重大なインシデントが発生した際には、他の区から専門職員を相互に派遣し、対応を支援する協力体制を構築します。
    • 客観的根拠:
      • 国が推進する地方自治体における基幹業務システムの標準化・共同利用の流れを、サイバーセキュリティ分野にも応用するものです。全ての区が共通して抱える「専門人材の不足」という課題に対し、限られたリソースを共有化することで、スケールメリットを追求し、より高度で効率的な対応体制を実現します。
      • (出典)(https://www.pentasecurity.co.jp/pentapro/entry/basic-act-cybersecurity)
主な取組④:職員向けサイバーセキュリティ・リテラシー研修の義務化
  • 全ての職員(正規・非正規問わず)を対象に、パスワードの適切な管理方法、不審なメールやSMSの見分け方、個人情報や機密情報の取り扱いに関する基本的なルールなど、職務上最低限遵守すべきセキュリティ知識を学ぶオンライン研修の受講を、年1回義務付けます。
  • 研修の受講状況と、その後の理解度を確認するテストの結果を人事評価の一部に組み込むことを検討し、職員一人ひとりの当事者意識とセキュリティ意識の向上を組織的に促します。
KGI・KSI・KPI
  • KGI(最終目標指標)
    • 重大なサイバーインシデント(行政サービスの停止を伴うもの)が発生してから、完全復旧に至るまでの平均時間を、3年間で50%短縮する。
    • データ取得方法: インシデント発生時の対応記録(検知時刻、初動時刻、鎮静化時刻、完全復旧時刻等)
  • KSI(成功要因指標)
    • 民間企業等での実務経験を持つサイバーセキュリティ専門職(任期付・副業等)を、3年間で3名以上確保する。
    • データ取得方法: 人事課が管理する職員データ
  • KPI(重要業績評価指標)アウトカム指標
    • 全庁インシデント対応訓練後の評価において、参加部署の平均評価スコア(5段階評価)で4以上を達成する。
    • データ取得方法: 訓練後に実施する第三者評価者による評価報告書
  • KPI(重要業績評価指標)アウトプット指標
    • 全庁規模のインシデント対応訓練の実施回数を、年2回とする。
    • データ取得方法: 訓練の実施記録
    • 全職員を対象としたセキュリティ研修の受講率を、100%とする。
    • データ取得方法: e-ラーニングシステムの受講履歴データ

先進事例

東京都特別区の先進事例

品川区「ローソンと連携した子ども食堂支援に見る官民連携モデル」

  • 品川区は、大手コンビニエンスストアのローソンと連携し、販売期限を過ぎた「からあげクン」等の商品を区内の子ども食堂へ無償提供する取り組みを実施しています。これはフードロス削減と地域福祉の向上という、社会課題の解決に向けて目的を共有した民間企業と行政が協働する優れたモデルです。この「目的共有型の官民連携」という手法は、サイバーセキュリティ分野でも大いに応用可能です。例えば、地域のIT企業と連携し、企業のCSR(企業の社会的責任)活動の一環として、中小企業への簡易セキュリティ診断を無償で提供してもらうといった協働事業が考えられます。

江戸川区「保護者向け情報モラル啓発活動の推進」

  • 江戸川区では、学校が保護者を対象として実施する情報モラル啓発活動の実施率が71%に達しており、子供をインターネットの危険から守るために、学校と家庭が密に連携する体制づくりが進んでいます。また、全校で保護者向けメール配信システムが導入・活用されており、緊急時や注意喚起の迅速な情報伝達が可能です。これは、本報告書の支援策①で提案する、ターゲットを絞った世代別アプローチの有効性を示す成功例と言えます。

東京都教育委員会「異校種連携による情報モラル教育」

  • 東京都教育委員会の推進する取り組みとして、高校生が近隣の小学校を訪問し、自らがファシリテーターとなってSNSの適切な利用法について小学生と一緒に考える授業の実践事例があります。年齢の近い先輩である高校生が、自身の体験談を交えながら教えることで、小学生は情報モラルの問題をより身近なものとして捉えることができます。同時に、教える側の高校生にとっても、自身の行動を客観的に振り返り、責任感を育む貴重な機会となります。これは、支援策①で提案する「デジタル防犯出前講座」や「サイバー防犯ボランティア」の具体的な活動内容として、非常に参考になるモデルです。

全国自治体の先進事例

鳥取県「鳥取県警察サイバー防犯ボランティア」

神戸市「中小企業DX推進支援補助制度とサイバーセキュリティ連携」

  • 神戸市は、市内中小企業のDX(デジタルトランスフォーメーション)推進を支援する補助制度を提供しており、その中でサイバーセキュリティ対策も重要な要素として明確に位置づけています。特に注目すべきは、専門家による伴走型支援事業「DXお助け隊」の利用を補助金申請の要件とすることで、単なるITツールの導入に終わらせず、経営課題の解決に繋がる実質的な体制強化を促している点です。また、商工会議所と連携した「サイバーセキュリティお助け隊サービス」も展開しており、企業の成長戦略であるDXと、その基盤となるセキュリティを一体的に支援する先進的な取り組みとして、高く評価できます。

参考資料[エビデンス検索用]

警察庁
総務省
内閣サイバーセキュリティセンター(NISC)
経済産業省・情報処理推進機構(IPA)
消費者庁
東京都・特別区
その他自治体事例

まとめ

 東京都特別区におけるサイバー空間の安全確保は、もはや情報システム部門だけの技術的な課題ではなく、区民の財産と安全、そして地域経済の存続そのものに関わる、行政の最重要経営課題の一つです。本報告書で示した通り、サイバー攻撃の脅威は、デジタル技術に不慣れな高齢者や、対策に資源を割けない中小企業といった、社会的に脆弱な層へと明確に集中しています。基礎自治体である特別区には、こうした人々を保護する重い責務があります。今後は、行政自身の専門能力強化を全ての土台として最優先しつつ、区民、中小企業、行政が三位一体となった多層的な支援策を、官民連携の力で強力に展開していくことが不可欠です。
 本内容が皆様の政策立案等の一助となれば幸いです。
 引き続き、生成AIの動向も見ながら改善・更新して参ります。

ABOUT ME
行政情報ポータル
行政情報ポータル
あらゆる行政情報を分野別に構造化
行政情報ポータルは、「情報ストックの整理」「情報フローの整理」「実践的な情報発信」の3つのアクションにより、行政職員のロジック構築をサポートします。
関連記事
あわせて読みたい
記事URLをコピーしました