自治体サイバーセキュリティの今 — 改正地方自治法・α’モデル・サプライチェーン攻撃の3つで何が変わるか

国内セキュリティインシデント年121件、政府予算は5年で2.6倍の2,128億円。三層分離にα’モデル追加、2026年4月施行の改正地方自治法で自治体に対策義務、イセトー事案で顕在化したサプライチェーン攻撃。NISC・総務省データを5枚のSVGで整理する。

更新:2026年5月16日
この記事をシェア:
目次 クリックで開く

2024年6月の改正地方自治法(令和6年法律第65号)で、地方自治体には「サイバーセキュリティを確保するための方針を定め、必要な措置を講じる」義務が明文化された。施行は2026年4月1日。同年5月に発生した株式会社イセトーへのランサムウェア攻撃では、同社に印刷業務を委託していた複数自治体で住民個人情報が流出し、「自治体自身は守れていても、委託先経由で攻撃される」サプライチェーン型リスクが一気に顕在化した。本記事では、自治体サイバーセキュリティの最新動向を5枚のグラフで整理する。

セキュリティインシデントは「3日に1回」のペース

国内 セキュリティインシデント公表件数(企業・自治体合算)2024年は121件、約3日に1回ペース。個人情報漏えい年間2,164万件(株式会社サイバーセキュリティクラウド集計)0408012046202068202189202210320231212024出典: 株式会社サイバーセキュリティクラウド「企業のセキュリティインシデントに関する調査レポート2024」

株式会社サイバーセキュリティクラウドの集計では、2024年の国内セキュリティインシデント公表件数は121件、つまり約3日に1回のペース。個人情報漏えい総数は年間2,164万件で、近年継続して増加傾向にある。自治体だけに絞った統計は公表されていないが、業務委託先経由の二次被害を含めれば自治体関連のインシデントは年20〜30件規模で発生している(当社推計)。

三層分離アーキテクチャに「α’モデル」が追加された

自治体ネットワーク三層分離 — 2024年に「α’モデル」追加マイナンバー利用事務系物理分離・USB持ち出し禁止・最厳格LGWAN接続系総合行政ネットワーク経由のみ・α’モデルでクラウド直結可(2024〜)インターネット接続系Web閲覧・メール・無害化通信特定クラウドローカルブレイクアウトα’出典: 総務省「地方公共団体情報セキュリティポリシーに関するガイドライン」

自治体ネットワークは①マイナンバー利用事務系(最厳格、物理分離)、②LGWAN接続系(総合行政ネットワーク経由)、③インターネット接続系の三層分離で構成される。2024年10月に「α’モデル」と呼ばれるローカルブレイクアウト方式が正式に位置づけられ、LGWAN接続系から特定クラウド(ガバメントクラウドやSaaS)へ直結する経路が認められた。

これは「クラウド活用の利便性 vs セキュリティ確保」の長年の対立に対する一定の答えだが、運用上は「どのSaaSがα’対応か」「ローカルブレイクアウトの監視をどう実装するか」が新しい運用負担として現場に乗ってきている

政府サイバーセキュリティ予算は5年で2.6倍

政府サイバーセキュリティ予算(億円)— R6で+749.7億円R6年度 2,128.6億円。改正地方自治法(2026年4月施行)で自治体側にも対策義務が明文化0億500億1000億1500億2000億2500億820R2年度920R3年度1090R4年度1380R5年度2128R6年度出典: NISC サイバーセキュリティ戦略本部 資料

政府のサイバーセキュリティ関連予算は令和2年度の820億円から令和6年度の2,128.6億円へと、5年で2.6倍に拡大した。R5→R6だけで+749.7億円という大幅増額で、これは能動的サイバー防御(ACD)の制度化、自治体への支援拡充、重要インフラ対策の強化といった複数施策の合算だ。

自治体個別では、総務省「自治体情報セキュリティ強靭化向上モデル」や「自治体情報セキュリティクラウド」への補助が継続しているが、運用維持費の自前負担分は確実に増えている。中小自治体ほどこれが財政負担として顕在化する。

攻撃の6割はランサムウェア

公表されたインシデントの攻撃手法別構成(2024年)ランサムウェアが約6割。委託先・取引先経由の「サプライチェーン攻撃」も増加(イセトー事例ほか)ランサムウェア(暗号化+身代金)業務停止・データ復旧不能58%EMOTET系マルウェアメール経由感染・横展開18%Webサイト改ざん住民への二次被害・信頼失墜12%不正アクセス(VPN・RDP)内部侵入・情報窃取8%内部不正・誤送信設定ミス・USB紛失4%出典: トレンドマイクロ「2024年年間セキュリティインシデント振り返り」等

公表されたインシデントの攻撃手法別構成では、ランサムウェアが約58%と最多。EMOTET系マルウェア、Webサイト改ざん、VPN・RDP経由の不正アクセスがそれに続く。注目すべきは、「内部不正・誤送信」は4%と少ないが、これは公表案件ベースの数字で、軽微な事案を含めると実際はもっと多い。

ランサムウェアは2020〜2022年の徳島県つるぎ町立半田病院、大阪急性期総合医療センター、奈良県宇陀市立病院など医療系を皮切りに、いまでは行政全般に標的が広がっている。復旧期間は平均1〜3ヶ月、業務停止による住民サービス影響が長期化するのが特徴だ。

サプライチェーン攻撃 — 委託先経由で自治体が被害

サプライチェーン攻撃の典型経路 — 委託先経由で自治体が被害外部委託先(印刷・コールセンター等)委託先システム侵入・暗号化委託元自治体A業務停止委託元自治体B業務停止攻撃情報流出情報流出2024年5月 イセトー社ランサムウェア事案:同社に印刷・封入封緘を委託していた複数自治体(徳島県、和歌山市など)で個人情報流出が発覚

2024年5月の株式会社イセトー(印刷・封入封緘大手)へのランサムウェア攻撃では、同社に業務を委託していた徳島県、和歌山市、神奈川県、岡山市など複数自治体で住民個人情報の流出が発覚した。自治体自身のネットワークは無傷でも、委託先経由で実質的な被害を受けるのがこのモデルの怖さだ。

同様の構造は印刷業界に限らず、自治体BPO(住民窓口・コールセンター)、SaaS(給与計算・グループウェア)、データセンター事業者まで広く存在する。「委託先のセキュリティ管理状況を発注者として継続的に評価する仕組み」が、2026年4月の改正地方自治法施行と合わせて、各自治体に求められる。

解決の方向性 — 委託先セキュリティKPIをBIで監視する

当社が自治体のセキュリティ運用支援に入る際は、内部対策(三層分離・EDR・SOC)に加えて「委託先セキュリティ管理ダッシュボード」の構築を推奨している。委託先ごとのSOC2/ISMS取得状況、脆弱性対応状況、インシデント報告履歴、再委託の有無を月次で可視化し、契約更新時のリスク評価に使う。

これは予実管理BIダッシュボードと同じデータ基盤上に構築できるため、財務的なBPO委託費の推移とセキュリティリスクの推移を1つの画面で見られる。詳細は下記のサービスページで紹介している。

SERVICE / 関連ページ

自治体向け 委託先セキュリティ × 予実管理 統合ダッシュボード

サプライチェーン全体のセキュリティ評価と、BPO委託費の予実をひとつのデータ基盤で可視化。改正地方自治法(2026年4月施行)対応の伴走支援込み。

サービス詳細・導入事例を見る →

関連する調査・解説記事

参照した一次資料

  • NISC「サイバーセキュリティ2024(2023年度年次報告)」
  • NISC「政府のサイバーセキュリティに関する予算」(令和6年度2,128.6億円)
  • 総務省「地方公共団体情報セキュリティポリシーに関するガイドライン」(α’モデル含む)
  • 株式会社サイバーセキュリティクラウド「企業のセキュリティインシデントに関する調査レポート2024」
  • 改正地方自治法(令和6年法律第65号)— サイバーセキュリティ確保義務(2026年4月施行)

AI×データ統合 無料相談

AI・データ統合・システムの最適な組み合わせを、企業ごとに設計・構築します。「何から始めるべきか分からない」という段階からでも、まずはお気軽にご相談ください。

無料相談はこちら まず無料相談する
AT
aurant technologies 編集

上場企業からスタートアップまで、数多くのデータ分析基盤構築・AI導入プロジェクトを主導。単なる技術提供にとどまらず、MA/CRM(Salesforce, Hubspot, kintone, LINE)導入によるマーケティング最適化やバックオフィス業務の自動化など、常に「事業数値(売上・利益)」に直結する改善実績多数。

この記事が役に立ったらシェア:
Xでシェア はてブ
← ブログ一覧へ戻る
RELATED

関連記事