令和7年(2025年)3月定例会 一般質問「本市のサイバーセキュリティ、偽情報等への対策について」レポート
令和7年3月定例会では、デジタル化が進む一方で高度化・巧妙化するサイバー攻撃や偽情報、闇バイトへの対策を正面から問いました。
- サイバーインシデントの実態:令和3年から令和6年末までに発生したセキュリティインシデントの件数と内容を明らかにし、委託業者を介した攻撃という新たなリスクを問いただした
- 情報セキュリティポリシーの改定:昨年10月の総務省ガイドライン改定を受けた本市の対応と、業務委託先管理強化の実効性を確認した
- セキュリティ人材の育成:実践的サイバー防衛演習への参加状況を確認しつつ、全庁的なセキュリティ人材育成の拡充を求めた
- 庁内ネットワークの抜本的見直し:三層分離からゼロトラスト型への移行をDX推進の土台として位置づけ、優先的に検討するよう求めた
- 偽情報・闇バイト対策:ディープフェイクを含む偽情報への対策技術と、こどもたちへの闇バイト防止教育の強化を提言した
はじめに:デジタル社会の「影」に、備えられているか
2024年は、デジタル社会の脆弱性を改めて突きつけられた1年でした。能登半島地震では偽情報がSNSで拡散し、救助活動に支障が出ました。闇バイトによる凶悪犯罪が相次ぎ、若者が被害者にも加害者にもなりました。そして行政へのサイバー攻撃は、委託業者を経由した新たな手口で忍び込んでいます。
デジタル化を進めれば進めるほど、その「影」への備えも同時に強化しなければなりません。令和7年3月定例会では、小平市が直面するデジタル社会の新たな脅威への対応を、具体的な数字と事実をもとに問いただしました。
質問①:小平市で、何が起きていたか
まず、令和3年から令和6年末までのセキュリティインシデントの実態を明らかにしました。
答弁で示された件数は、サイバー攻撃によるものが1件、内部不正によるものが1件、ヒューマンエラー等によるものが16件、合計18件です。
特に注目すべきは、サイバー攻撃の1件の内容です。市の庁内システムが直接攻撃されたのではなく、私立保育園の委託先サーバーがランサムウェアに攻撃され、業務に影響が出たというものでした。市のシステムの外側、委託業者のところで被害が起きているという事実は、今後のDX推進において重大なリスクを示しています。
また、セキュリティクラウドによって実際に防いでいる攻撃の数は「数多くある」と認識しているとのことでしたが、具体的なデータは把握されていませんでした。見えていない脅威の方が、実ははるかに多い可能性があります。
質問②:ポリシー改定で、委託業者まで守れるか
昨年10月、総務省の情報セキュリティポリシーに関するガイドラインが改定されました。改定の4つの柱は、クラウドサービスの利用、機密性分類基準の見直し、サイバー攻撃を受けることを念頭に置いた対策強化、そして業務委託先管理の強化です。
小平市でも令和7年4月から改定版を運用開始するとのことでした。特に業務委託先管理については、委託事業者に実施させるセキュリティ対策の定期的な確認、契約時・実施中・終了後それぞれで市が講じる措置を規定するとのことです。
今回のランサムウェア被害のような、委託先を経由した攻撃を未然に防ぐ対策として、この改定は一定の効果が期待できます。しかし規定するだけで終わらず、実際に委託先のセキュリティ対策が機能しているか継続的に確認する仕組みが重要です。
質問③:セキュリティ人材は、足りているか
情報政策課職員の専門研修への参加状況を確認しました。実践的サイバー防衛演習には今年度4人(中級3人・初級1人)、インシデント対応訓練には情報政策課2人・総務課2人が参加しています。
しかし、これは情報政策課を中心とした専門職への研修にとどまっています。今後DXが進むにつれ、各課でシステムを活用する職員全員がセキュリティリスクを理解する必要があります。現状は新任・管理職・一般職向けの基礎研修と自己点検が中心で、「専門的な研修をどの範囲で実施すべきか検討が必要」との答弁でした。
提言したのは2点です。IPAが実施するITパスポートやネットワークスペシャリストなどの資格取得を市として奨励・支援すること、そして総務省が進めるペネトレーションテスト(侵入テスト)を本市でも積極的に活用すること——これらによって、研修効果を定量的に評価できる仕組みをつくることを求めました。
質問④:庁内ネットワークを、DX時代に作り直す
現在の小平市の庁内ネットワークは「三層分離」と呼ばれるセキュリティ重視の構造です。しかしこれは業務効率が制限される面があり、クラウド活用や職員の働き方改革の大きな障壁にもなっています。
注目すべきは、本市のデジタル政策参与が三重県CDO時代に、自治体として初めてこの三層分離を見直し、ゼロトラスト型ネットワークへの移行を実現した実績を持つ人物だということです。答弁でも参与から「庁内のデジタル環境が変わらないと、職員の意欲がそがれる。現在のモデルから別のモデルへの転換には強い期待を寄せている」という助言があったことが示されました。
この知見を活かさない手はありません。DXの土台となる庁内ネットワークの見直しを、費用対効果を考慮しながら優先的に進めることを求めました。
質問⑤:偽情報と闇バイトから、こどもたちを守る
偽情報・ディープフェイク対策については、鳥取県が全国初の行政機関として「オリジネーター・プロファイル」という対策技術を試験導入していることを紹介し、その動向を注視しながら研究を進めるよう求めました。AIが生成するディープフェイク動画の脅威は、行政の公式SNS発信にも及びます。近隣大学・研究機関との連携による情報収集も提案しました。
闇バイト対策については、チラシ配布やホームページ掲載といった従来の啓発にとどまらず、より踏み込んだ手法を提言しました。慶應義塾大学の学生が開発した「レイの失踪」というゲーム形式の教材は、闇バイトに引き込まれる過程を疑似体験できるもので、こどもたちが「自分ごと」として考えられる教材として紹介しました。答弁では「情報リテラシーを高めることができる教材であると認識している。費用面も含めて研究を進めたい」との前向きな姿勢が示されました。
この質問のその後
| 論点(2025年3月時点) | 状況 |
|---|---|
| 情報セキュリティポリシーの改定 | 令和7年4月より改定版を運用開始 |
| セキュリティ人材育成の拡充 | 令和8年度より全庁的なサイバーセキュリティ研修をスタート |
| 庁内ネットワークの見直し | 更改時期・費用対効果を考慮しながら検討中 |
| 闇バイト対策教材の活用 | 研究中 |
| ペネトレーションテストの実施 | 要望段階 |
デジタル化を進めることと、その「影」への備えを強化することは表裏一体です。令和8年度からサイバーセキュリティ研修が全庁的にスタートすることは、一歩前進です。しかしネットワークの抜本的な見直しや、委託業者を含めた実効性あるセキュリティ体制の構築はまだ道半ばです。利便性を高めながら安全を守る——その両立を、これからも議会から追い続けます。
