g03 Security Ledger
セキュリティ
総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和 7 年 3 月版)」との差異と対応状況
参照: 第2編 第2章 対策基準 9 カテゴリ / 第4編 クラウド利用等に関する特則
全体準拠率
68%
準拠
17/25
要求項目のうち完全準拠
部分準拠
7
差異あり・計画的対応中
不適合
1
要是正
AI セキュリティサマリ
本市のセキュリティ体制は令和 7 年 3 月版ガイドラインの対策基準 25 項目中 17 項目を準拠、 7 項目が部分準拠、1 項目が不適合(準拠率 68%)。 「第2編第2章 3 情報システム全体の強靭性の向上」= 三層分離(αモデル)は物理分離で達成済み。 一方、「第2編第2章 6(7) 暗号鍵の管理」での 暗号鍵ローテーション未実施と、 「第2編第2章 7(2) ログ取得と分析」での SIEM 未導入が不適合として残存。 最優先是正項目は:(1) 暗号鍵ローテーション(2026-06 期限)、 (2) 委託先監査の遅延 9 社(2026-06 期限)、 (3) 特権アカウント MFA の全面適用(2026-09 期限)。 第4編「クラウド利用等に関する特則」については、マイナンバー系は GovCloud 配置で要件準拠、 公式サイトの AWS (非 GovCloud) での CMK 未適用が部分準拠に該当する。
※ このサマリは Claude Opus 4.7 により生成、情報政策統括 (CIO) のレビューが必要です。
分類別 準拠率
組織体制
2/2
情報資産の分類と管理
2/2
情報システム全体の強靭性の向上
1/2
物理的セキュリティ
2/2
人的セキュリティ
2/2
技術的セキュリティ
2/5
運用
2/4
業務委託・クラウド利用
2/4
評価・見直し
2/2
対応予定アクション
技術的セキュリティ 期限 2026-06-30
鍵管理台帳整備 → 2026-06 末までに全鍵ローテーション実施
業務委託・クラウド利用 期限 2026-06-30
2026 Q2 中に全委託先監査を完了 (外部監査法人併用)
技術的セキュリティ 期限 2026-09-30
2026 年 Q3 までに全特権アカウントを MFA 化 (Azure AD / Duo)
情報システム全体の強靭性の向上 期限 2026-12-31
2026 年度下期に全経路を無害化対象に統合
運用 期限 2026-12-31
2026 年度下期に机上 + 実動訓練を並行実施
業務委託・クラウド利用 期限 2026-12-31
次期契約更改時に CMK 化を評価
総務省ガイドラインとの差異
| 組織体制 | 第2編第2章 1(1) 最高情報セキュリティ責任者 | CISO を首長直下に位置づけ、情報セキュリティポリシーの策定・運用責任を担わせる | 副市長を CISO に指名、情報政策課長が実務責任者。年 2 回のポリシーレビュー実施。 | 準拠 | — | — | — |
| 組織体制 | 第2編第2章 1(5) CSIRT の設置 | インシデント対応体制 (CSIRT) を設置し、外部組織 (NISC/J-LIS/都道府県 CSIRT) との連携経路を明確化 | 情報政策課内に CSIRT 設置、NISC と都道府県 CSIRT との連絡体制は文書化済。 | 準拠 | — | — | — |
| 情報資産の分類と管理 | 第2編第2章 2(1) 情報資産の格付け | 情報資産を重要性と機密性に応じて分類し、格付け基準を定める | 4 段階 (極秘/秘/部内限り/公開) で全情報資産台帳に登録。年 1 回見直し。 | 準拠 | — | — | — |
| 情報資産の分類と管理 | 第2編第2章 2(3) 特定個人情報等の取扱 | マイナンバーを含む特定個人情報の取扱範囲を明確化し、他の個人情報と区別した管理を行う | マイナンバー系システムを物理的に分離、アクセスログ別保管。 | 準拠 | — | — | — |
| 情報システム全体の強靭性の向上 | 第2編第2章 3(1) 三層分離(αモデル) | マイナンバー利用事務系・LGWAN 接続系・インターネット接続系の論理または物理分離を行い、層間通信は原則禁止または無害化経由とする | 3 層の物理分離完了。層間通信は境界ゲートウェイ + 無害化 + 自治体情報セキュリティクラウド (都道府県) 経由に限定。 | 準拠 | — | — | — |
| 情報システム全体の強靭性の向上 | 第2編第2章 3(2) 無害化通信 | インターネット接続系から LGWAN 接続系へのメール・ファイルは無害化処理を実施する | メール本文・添付ファイルは自治体情報セキュリティクラウド経由で無害化実施。統計用データの一部経路が未対応。 | 部分準拠 | 研究機関との統計データ授受 2 経路で無害化未実施(年 12 回程度) | 2026 年度下期に全経路を無害化対象に統合 | 2026-12-31 |
| 物理的セキュリティ | 第2編第2章 4(2) サーバ室等への入退室管理 | サーバ室・通信機器室への入退室を IC カード等で記録し、1 年以上保管する | IC カード + 生体認証 (静脈) でログ保存、3 年保管。 | 準拠 | — | — | — |
| 物理的セキュリティ | 第2編第2章 4(5) 端末の盗難・紛失対策 | 可搬型端末にハードディスク暗号化と紛失時のリモート消去機能を実装する | 業務 PC は BitLocker 暗号化済、タブレットは MDM でリモート消去可。 | 準拠 | — | — | — |
| 人的セキュリティ | 第2編第2章 5(1) 職員等の遵守義務と研修 | 職員および委託事業者に対し年 1 回以上の情報セキュリティ研修を実施する | 全職員 e-learning 完了率 98%。標的型メール訓練を年 2 回実施。 | 準拠 | — | — | — |
| 人的セキュリティ | 第2編第2章 5(3) 事故・違反時の対応と通報 | ヒヤリハット報告窓口を設置し、職員から匿名で報告できる仕組みを整備する | 窓口設置済。2025 年度の報告件数 23 件 (前年比 +8 件、通報文化浸透)。 | 準拠 | — | — | — |
| 技術的セキュリティ | 第2編第2章 6(2) 主体認証 (多要素認証) | 特権アカウントおよびマイナンバー系システムへのアクセスに多要素認証を適用する | 住民記録・税務・介護の管理者 MFA 適用済。文書管理・財務会計の特権は ID+PW のみ。 | 部分準拠 | 文書管理・財務会計システム管理者アカウントの MFA 未適用 | 2026 年 Q3 までに全特権アカウントを MFA 化 (Azure AD / Duo) | 2026-09-30 |
| 技術的セキュリティ | 第2編第2章 6(4) アクセス権の管理 | 退職・異動時にアカウントを速やかに無効化・権限変更する | 人事システムとの自動連携が未整備、運用で 3 営業日以内に無効化。 | 部分準拠 | 人事システムと認証基盤の自動連携未実装 (即日無効化できていない) | 人事システム刷新 (2027 年度) と同時に自動連携実装 | 2027-04-30 |
| 技術的セキュリティ | 第2編第2章 6(7) 暗号化 | 保管時・通信時の機微情報は国際標準 (AES-256 / TLS 1.2 以上) で暗号化する | 全 DB で保管時暗号化、通信は TLS 1.2 以上強制。 | 準拠 | — | — | — |
| 技術的セキュリティ | 第2編第2章 6(7) 暗号鍵の管理 | 暗号鍵はアクセス制限された環境で管理し、定期的に更新する | 鍵管理台帳の整備遅延でここ 2 年ローテーションが停止。 | 不適合 | 鍵ローテーション未実施、鍵管理台帳不完全 | 鍵管理台帳整備 → 2026-06 末までに全鍵ローテーション実施 | 2026-06-30 |
| 技術的セキュリティ | 第2編第2章 6(9) 不正プログラム対策 | EDR/EPP 等により全端末の不正プログラム検知・対処を行う | 全 1,200 台に Trend Micro Apex One (EDR) 導入、中央監視。 | 準拠 | — | — | — |
| 運用 | 第2編第2章 7(2) ログ取得と分析 | 主要システムのアクセスログを 1 年以上保存し、異常の有無を定期的に分析する | 全システムで 1 年以上保存、マイナンバー系は 3 年保存。分析は月次手動レビュー。 | 部分準拠 | SIEM 未導入のため、リアルタイム監視および相関分析が未実施 | 2026 年度 SIEM 調達 RFP → 2027 年度導入 | 2027-09-30 |
| 運用 | 第2編第2章 7(3) 脆弱性対策・パッチ適用 | 公表された脆弱性情報を収集し、重要度に応じたパッチ適用を行う | JPCERT/CC 情報を日次受信、Critical は 14 日以内・High は 30 日以内適用。 | 準拠 | — | — | — |
| 運用 | 第2編第2章 7(5) バックアップ | 重要業務データの定期バックアップと遠隔地保管 (3-2-1 ルール相当) を行う | 庁内 + オフサイト + クラウドの 3 系統バックアップ運用中、月次リストア試験実施。 | 準拠 | — | — | — |
| 運用 | 第2編第2章 7(6) インシデント訓練 | 年 1 回以上のインシデント対応訓練を実施する (机上または実動) | 2025 年度机上訓練実施済、ランサムウェア想定の実動訓練は未実施。 | 部分準拠 | 実動訓練 (ネットワーク遮断シミュレーションを含む) が未実施 | 2026 年度下期に机上 + 実動訓練を並行実施 | 2026-12-31 |
| 業務委託・クラウド利用 | 第2編第2章 8(2) 委託先の評価と監査 | 委託先のセキュリティ対策状況を事前評価し、年 1 回以上の監査を実施する | 主要 3 社は年 1 回監査実施、中小規模委託先 (27 社中 9 社) は 18 ヶ月以上監査なし。 | 部分準拠 | 中小規模委託先の監査遅延、9 社が期限超過 | 2026 Q2 中に全委託先監査を完了 (外部監査法人併用) | 2026-06-30 |
| 業務委託・クラウド利用 | 第4編第4章 2(1) クラウドサービス利用時の情報資産の分類 | クラウドサービス上で扱う情報資産を格付けし、機密性レベルに応じた配置先(オンプレ/GovCloud/パブリック)を定める | マイナンバー系は GovCloud、公開系は AWS (非 GovCloud) という配置基準を運用中。 | 準拠 | — | — | — |
| 業務委託・クラウド利用 | 第4編第4章 6(2) クラウド利用時の暗号化 | クラウド上の機微情報は保管時暗号化 + 顧客管理鍵 (CMK) または暗号化前処理を施す | 介護保険 (AWS) では RDS CMK 使用。公式サイト (AWS) は保管時暗号化のみ、CMK 未使用。 | 部分準拠 | 公式サイト CMS の CMK 未導入(利用者個人情報を含まないためリスクは限定的) | 次期契約更改時に CMK 化を評価 | 2026-12-31 |
| 業務委託・クラウド利用 | 第4編第4章 7(3) クラウド事業者の監視 | クラウド事業者の障害・セキュリティインシデントを常時監視し、早期検知できる体制を整備する | AWS Health Dashboard、CloudWatch アラームを庁内チャットに連携。 | 準拠 | — | — | — |
| 評価・見直し | 第2編第2章 9(1) 情報セキュリティ監査 | 内部監査および外部監査を組み合わせ、年 1 回以上の情報セキュリティ監査を実施する | 内部監査 年 1 回 + 外部監査 2 年に 1 回。 | 準拠 | — | — | — |
| 評価・見直し | 第2編第2章 9(2) 自己点検 | 全職員が年 1 回以上の自己点検を実施し、結果を情報政策課に報告する | 実施率 94%、未実施者にはフォローアップ研修を受講させる運用。 | 準拠 | — | — | — |
平成 13 年 3 月 30 日 策定 / 令和 7 年 3 月 28 日 改定