サイバー防御能力向上へ自治体に「ペネトレーションテスト」…総務省、来春にも
総務省は、地方自治体のサイバー防御能力向上のため、自治体の情報システムに疑似的な攻撃を仕掛ける「ペネトレーションテスト(侵入テスト)」を来春にも行う。人口規模別に全国6程度のモデル自治体を選定し、結果や対応策を全国で共有する。
侵入テストは、個人情報の流出などで甚大な影響が予想される人口規模として、都道府県や政令市、中核市などを念頭に置いたモデル自治体で行う。対象自治体は、同省が意向を確認した上で抽出する方針で、政府が年内の成立を目指す2024年度補正予算案に関連経費を計上する方向で調整が進んでいる。
テストで判明したシステムの脆弱(ぜいじゃく)性などの知見は、報告書や事例集などにまとめることを想定しており、小規模自治体を含めた全国の自治体の対応力の底上げを図りたい考えだ。
情報システムの強化には、組織内部での自己診断や、外部による侵入テストなどの点検を繰り返すことが不可欠だが、地方自治体では人材や予算が慢性的に不足している。同省によると、昨年4月時点で情報セキュリティーに関する内部・外部の審査を実施した自治体の割合は、都道府県でも59・6%にとどまり、市区町村では7・6%だった。
今年5月には、情報処理サービス会社が身代金要求型ウイルスによるサイバー攻撃を受け、同社に印刷業務などを委託していた徳島県や和歌山市、愛知県豊田市などの個人情報計150万件以上が流出。10月には、名古屋市のホームページが断続的に閲覧しづらくなり、親ロシア派とみられるハッカー集団が犯行声明を出した事案もあった。
自治体や、自治体が業務委託する事業者を狙ったサイバー攻撃が相次ぐ中、国が主導して自治体の備えを促す狙いもある。
◆ペネトレーションテスト=システムの弱点をあぶり出すため、セキュリティー事業者がハッカー役となり、外部からシステムへの侵入を試みる取り組み。サイバー攻撃への実践的な対応力を向上させる目的で政府機関や企業では広く実施されており、従業員に知らせず抜き打ちで行われることもある。
