AIがシステムの弱点を暴き、AIが攻撃する時代へ 自治体サイバー防衛の「新・生存戦略」（3/3 ページ）

[川口弘行，ITmedia]

サイバー攻撃を「業務継続リスク」として捉える

　データのバックアップについてもあらためて考える必要があります。

　自治体における情報セキュリティ被害というと、真っ先に「住民情報の漏えい」というワードが出てきます。サイバー攻撃の被害を受けた際も、個人情報流出の有無が一番の関心事になります。

　しかし、サイバー攻撃をする側は自動で攻撃を実行するため、個人情報を含むかどうかを区別して攻撃しているわけではないと考えます。とにかく「弱いから破った」「破ったから被害を与えた」「被害を与えたので対価を要求した」という論理だと思います。

情報の保管や取り扱いにはどのような注意を払う必要があるのか

　もちろん、住民への説明責任があるため、住民情報を適切に保護することは言うまでもありません。そのために三層分離の仕組みでは、住民情報を本来は専用のネットワークに分離して管理しています。

　それだけではなく、業務を継続するために必要なデータのバックアップやリカバリの重要性にも、より一層目を向けるべきではないでしょうか。業務継続という観点で考えれば、サイバー攻撃によるシステム・データの破壊も、自然災害などによる破壊も、同じリスクとして捉えることができるはずです。

　つまり、セキュリティ対策は「機密性」に加え「可用性」や「完全性」の重要性も高まっていると言えるでしょう。

　カジュアル化したサイバー攻撃が災害の一種であると考えるのならば、業務継続計画の一環として対策を検討する必要があります。

「人」と「仕組み」の両輪でAI時代の脅威に備える

　では、自治体職員はどう対策すべきなのでしょうか。

　この問いに向き合う時、単に「もっと能力を高めましょう」「意識を変えましょう」と現場に努力を求めるだけになりがちですが、それが機能していないことは筆者も分かっています。

　AIによる新種の攻撃は増え続け、現場には未知のリスクに対応する柔軟さや学び続ける姿勢が今まで以上に求められます。しかし、それだけを強調しても、全ての職員が高いITリテラシーを持つことは難しいのが実情です。

　重要なのは「現場の能力や意識」と「仕組み・制度面でのサポート」が、無理のないバランスを保ちながら機能する体制をいかにつくるかという視点です。

　例えば、最低限必要なセキュリティ対策や運用のポイントを“仕組み”として組み込み、属人的な判断に依存しない基盤を整えることが重要です。加えて、現場が変化や異常を検知した際には、外部の専門家や他自治体と柔軟に連携できる仕組みも用意しておくべきでしょう。

　つまり「全てを現場で頑張ろう」から「仕組みで守り、現場がより良く動けるための土台を用意する」に変化することが現実解だと考えます。

　次のような仕組みとマインドの“両輪”が重要です。

• 必須のセキュリティ設定やログ監視、バックアップなどをルール化・自動化し、現場への過度な負担を回避する
• 現場で気付いた小さな異変や疑問も気軽に共有・相談できるチャネル（横連携・外部協力の窓口）を設ける
• 事件や事故、インシデントの事例を全庁でリアルタイムに学び・展開し、現場の「なぜこの対策が必要か」を、職員が腑に落ちる形で伝える
• 最新の技術やサービスを小規模から試し、現場の声とともに導入可否を定期的に見直せる柔軟な制度を運用する
• 「人」への過度な期待や責任集中を避けるため、ローテーションや負担分散の仕組みを組織的に設計する

　こうした仕組みとマインドの両方を組み合わせることで、進化するAI時代のセキュリティ対策を、自分たちの組織に「無理なく」「持続的に」根付かせていくことができるのではないでしょうか。

　「意識改革」か「仕組み」か、どちらか一方に偏るのではなく、双方が支え合う設計を今こそ探るべきだと考えます。

　ぜひ「自分ごと」として、自組織の仕組みや現場の環境を今一度見直し、次の一歩に役立てていただければと思います。