取組紹介・コラム

AI悪用サイバー攻撃に備える自治体システム総点検|脆弱性診断と対応管理の進め方

AI悪用サイバー攻撃に備える自治体システム総点検

政府は、人工知能(AI)を悪用したサイバー攻撃への対策として、自治体に情報システムの脆弱性を総点検するよう求める方針です。
報道によれば、自治体は保有する情報システムを洗い出し、必要に応じてシステム会社に脆弱性点検を依頼し、修復用パッチを適用することが想定されています。

重要なのは「診断して終わり」にしないことです。
どのシステムにリスクがあり、誰が、いつまでに、どのように対応するのかを管理する仕組みが求められます。

今回の動きで自治体に求められること

自治体では、住民情報、税、福祉、子育て、防災、施設予約、各種申請など、多くの業務で情報システムが使われています。
AIの活用が進む一方で、攻撃者側もAIを使って脆弱性の探索や攻撃の高度化を進める可能性があります。

そのため、今後はシステムの導入・運用だけでなく、保有システムの把握、脆弱性点検、修正対応、再診断、継続的な管理までを一体で進めることが重要になります。

図解:自治体に求められる対応の流れ

1

棚卸し

システム・外部サイト・委託先を把握

2

診断

Webサイト・フォーム・CMSを点検

3

修正

パッチ適用・設定変更・改修

4

再診断

修正結果を確認し証跡を保管

5

継続管理

期限管理・庁内報告・定期点検

点検対象になりやすい自治体システム

最初に必要になるのは、庁内で利用している情報システムの棚卸しです。
特に、住民が利用する外部公開システムや、委託事業者が運用するサイトは点検対象になりやすい領域です。

図解:優先的に確認したいシステム例

住民接点系

  • 申請フォーム
  • 予約システム
  • 問い合わせフォーム
  • アンケートフォーム

Web・広報系

  • 自治体公式サイト
  • CMS・WordPress
  • 特設サイト
  • 過去事業ページ

業務受付系

  • 給付金受付
  • 補助金・助成金受付
  • 福祉・子育て関連受付
  • 介護関連受付

外部サービス系

  • 委託事業者の運用サイト
  • クラウドサービス
  • 外部公開DB
  • 管理画面

自治体で想定される主な実務

1. 情報システムの棚卸し

まず、庁内システム、外部公開サイト、申請フォーム、CMS、委託先、保守事業者などを洗い出します。
あわせて、所管部署、利用目的、外部公開の有無、個人情報の有無、脆弱性診断の実施状況も整理します。

単なる一覧表ではなく、リスクの有無や対応優先度を判断できる台帳として整備することが重要です。

2. 脆弱性診断・外部公開資産の確認

次に、Webアプリケーション、CMS、サーバ、ミドルウェア、SSL/TLS設定、認証・権限設定などを確認します。
診断は、問題を見つけるだけでなく、どのリスクを優先して直すべきか、どの部署・委託先が対応すべきかを判断する材料になります。

3. パッチ適用・改修・再診断

脆弱性が見つかった場合は、保守事業者やシステム会社と連携し、パッチ適用、設定変更、プログラム修正、本番反映、再診断、証跡保管まで進める必要があります。

注意点:
診断レポートを受け取っただけでは対策は完了しません。
修正が進んでいるか、期限内に対応できるか、どのリスクが残っているかを継続的に管理する必要があります。

「診断後の管理」が自治体の課題になる

自治体では、複数の部署、委託先、保守事業者が関係するため、脆弱性対応の進捗管理が複雑になりがちです。
Excelやメールだけで管理すると、担当者異動や委託先変更の際に引き継ぎが難しくなることがあります。

図解:診断後に管理すべき情報

対象システム

どのシステムに指摘があるか

危険度

優先して対応すべきリスクは何か

担当者・委託先

誰が修正対応を行うか

対応期限

いつまでに対応するか

対応状況

未着手・対応中・完了を管理

証跡・報告書

監査・庁内報告に備えて保管

SPIRALによる支援イメージ

SPIRALでは、自治体の業務フローに合わせて、フォーム、データベース、ワークフロー、通知、帳票出力などを組み合わせた業務アプリを構築できます。
自治体システム総点検では、診断そのものだけでなく、診断結果や修正対応を管理する基盤として活用できます。

図解:SPIRALで支援できる領域

システム資産台帳

庁内システム、外部公開サイト、委託先、個人情報の有無を一元管理

診断結果管理

危険度、指摘内容、対象URL、対応期限を管理

修正対応ワークフロー

部署・保守事業者・診断会社間の対応依頼と進捗確認

証跡・報告書管理

診断報告書、修正証跡、庁内報告資料を保管

定期点検・アラート

期限超過や未対応項目を可視化し、必要に応じて通知

スパイラルグループとしての支援領域

スパイラルグループでは、WebアプリケーションやWebサイトの脆弱性診断を行うスパイラルアイギスと、業務アプリ構築基盤であるSPIRALを組み合わせることで、
診断から対応管理までを一体で支援できます。

支援メニュー例

  • 住民向けWebサイト・申請フォームの脆弱性診断
  • 診断結果の整理
  • 修正対応の進捗管理
  • 再診断の実施
  • 庁内報告用の一覧化
  • 継続的なセキュリティ点検

まとめ

AIの進化は、自治体業務の効率化に大きな可能性をもたらします。
一方で、攻撃者がAIを悪用することで、脆弱性の探索や攻撃が高度化・高速化するリスクも高まります。

今後、自治体には、情報システムを導入するだけでなく、
システムを把握し、脆弱性を点検し、修正状況を管理し、継続的に見直す体制が求められます。

まずは、自団体が保有する情報システムや外部公開サイトを洗い出し、個人情報を扱うシステム、外部からアクセス可能なシステム、古いCMSや未更新のプラグインを利用しているサイトなどから優先的に確認することが重要です。

自治体システムの棚卸し・脆弱性対応にお困りですか?

自治体システムの棚卸しや、申請フォーム・Webサイトの脆弱性診断、診断後の対応管理にお困りの方は、お気軽にご相談ください。
SPIRALを活用した管理台帳や進捗管理の仕組みづくりもご支援できます。