2026年5月7日公開
本コラムでは、地方公共団体のセキュリティ対策である「三層の対策」の今後について、ゼロトラストアーキテクチャ検討など、政府の検討状況のポイントを解説します。

INDEX

1　はじめに

昨今、ランサムウェア等サイバー攻撃に関する報道をよく目にします。最近ではサプライチェーンの末端である中小企業を狙った攻撃も多く、セキュリティ人材不足で、サイバーセキュリティ対策にも十分な投資が難しい「弱いポイント」を狙ってきているようです。
一方で、地方公共団体がサイバー攻撃を受け、マイナンバー等の個人情報が漏洩したという報道はさほど聞きません。中小企業と同様に、地方公共団体においても小規模な町村ではセキュリティ人材不足で、セキュリティ対策にも多大な経費もかけられないはずなのですが。

なぜ、地方公共団体ではサイバー攻撃による情報漏洩被害が少ないのか？　この要因の1つとして、総務省主導で整備が進められてきた「三層の対策」が挙げられます。「三層の対策」は、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」に規定されているセキュティ対策の枠組みであり、地方公共団体のネットワークを「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の三層に論理的に分離するものです。マイナンバーを含む個人情報を格納しているデータベースとインターネットを分離していることから、インターネットを経由して情報端末に不正にアクセスするサイバー攻撃では、マイナンバー等の個人情報にアクセスできない仕組みになっています。

ただし、「三層の対策」は万能ではありません。1人の職員が業務によって複数台の端末を使い分けなくてはならない利便性の悪さや、USBメモリを利用した各ネットワーク間のデータ移入にリスクがあること等、運用面での課題も指摘されています。たとえば、新型コロナウィルス感染症対策時の「ワクチン接種記録システム（VRS）」では、「マイナンバー利用事務系」の住民基本台帳システムと健康管理システムから、VRSに異動情報を送信するために「LGWAN接続系」の端末にUSBメモリでマイナンバーを含む個人情報を毎日手動で移すというオペレーションが発生していました。当時、職員の方々は、このUSBメモリの扱いにかなり気を遣ったという話も聞きます。もし、ゼロトラストアーキテクチャが採用され庁内ネットワークが分離されていない状況であれば、USBメモリ不要で情報連携が可能であったと想定されます。

この「三層の対策」ですが、現在、国では、これらの課題解決策も含め、ゼロトラストアーキテクチャの採用等、複数の方式を比較・検証しながら、国・地方ネットワークの将来像について議論が進められています。この検討状況について、ポイントを見ていきたいと思います。

2　デジタル庁「国・地方ネットワークの将来像及び実現シナリオに関する検討会」

デジタル庁では、「デジタル社会の実現に向けた重点計画」（2023年6月9日閣議決定）を踏まえ、国・地方を通じたデジタル基盤に関して、全体最適かつ効率的なネットワーク構成を検討するため「国・地方ネットワークの将来像及び実現シナリオに関する検討会」（※1）が開催されています。

2024年5月31日には「検討会報告書」が公開されました。この報告書からは以下の点がわかります。

【現状】

【今後の方向性】

【国・地方共通のデジタル基盤の整備に向けて】

以下の検討を進めていく

【今後の進め方】

このように「国・地方共通のデジタル基盤」としてのネットワークの将来像を描くために、地方公共団体を募り、課題や考慮点等について検証する方向となったのです。

3　デジタル庁「令和7年度　国・地方ネットワークの将来像の実現に向けた検証事業」

そして、2024年12月27日にデジタル庁では、国・地方ネットワーク検討事業の自治体公募を実施し、GSS利用方式3件（7団体）、自治体提案方式4件（18団体）の参加のもとで2025年度に検証が実施されました。（※2）

本検証の目的は、GSSを地方公共団体で利用した場合、地方公共団体が独自でゼロトラストアーキテクチャを構築した場合、それぞれの課題や考慮点を抽出することです。

なお、GSSについては、NECのコラムでその概要を説明していますので、併せてご覧ください。
「GSSとは？ガバメントクラウドとGSSネットワークについて」
https://jpn.nec.com/government/solution04/col_g.4/index.html


次回は、この検証結果について、デジタル庁の公表資料を見ていきたいと思います。