「先を見なければ未来はない」 横浜市CISO補佐監が挑むAI時代の新セキュリティ戦略：セキュリティ先進企業へのショートカット（2/2 ページ）

日本最大規模の基礎自治体である横浜市はDXやセキュリティ戦略をどのように進めているのか。システムやCSIRT体制の整備から、AI時代のリスクとそれに向けた備えまで、自治体DX・セキュリティ戦略の最前線が明らかになった。

[鈴木恭子，ITmedia]

倍増する脅威と限られた専門人材の育成戦略

――サイバー攻撃は年々巧妙化・増加しています。「巨大グループ企業に近い存在の組織体」である横浜市は、どのような脅威にさらされているのでしょうか。

福田氏：　ポートスキャンやフィッシングメールといった攻撃的アプローチは、横浜市でも日常的に受けています。例えば2021〜2022年にかけて、1日に届く不審な電子メールの数は5951件から13864件へと倍増しました。こうしたアプローチは近年さらに増加しており、フィッシングメールを防ぎ、機器やシステムの脆弱性をいかにふさぐかが現場の大きな課題になっています。

　一方で、国家レベルの事情を背景としたリスクも無視できません。政治的メッセージを表示する攻撃や、特定国からのアクセス集中によるWebサイト障害といった事象も散見され、今後はこうした動きへの備えも重要になってきます。

　なお横浜市には交通局や水道局といった重要インフラも含まれますが、現時点では米国などで見られるような深刻な侵害は少ないのが実情です。その背景には、専用の通信網のように外部との直接接続がほとんどなく、外部から干渉を受けにくい設計であることが考えられます。ただし、今後はインターネットを活用したサービスを増やす計画もありますから引き続き注意が必要です。

――ちなみにランサムウェア攻撃は横浜市にとってどの程度現実的な脅威でしょうか。

福田氏：　当然、不審メールの増加に比例してランサムウェア攻撃のリスクも高まっています。ただし自治体にランサムウェア攻撃を仕掛けても、攻撃者は金銭的な利益を得られません。なぜなら、何億円もの身代金を支払うには議会の承認が必要であり、実際に承認されることはまずないからです。攻撃者には「自治体を攻撃しても金にはならない」と伝えておきます。

――サイバーセキュリティ人材についてお聞きします。セキュリティ人材が圧倒的に不足している状況下、どのように人材を確保・育成していますか。

福田氏：　横浜市では高度なセキュリティ知識の習得を目的に、職員を市内にある情報セキュリティ大学院大学に派遣しています。仕事を終えた後に授業を受け、約1年かけて修士課程を取得できる仕組みです。学費は市が負担し、これまでに11人の職員が修了しました。修了後はセキュリティ担当部署やシステム開発・運用管理部門に配属され、知識を生かしています。

　また、人材確保の面では「デジタル職」という専門職枠を設け、外部からの採用も進めています。民間企業から転職してくる方も一定数おり、専門性の高い人材を組織に取り込む努力を続けています。

――人材配置で工夫していることはありますか。

福田氏：　CSIRTの管理者には、全庁のネットワーク基盤担当など、もともとネットワークやインフラの運用管理を担っていた職員を戦略的に配置しています。全くの素人ではなく、関連する知識を持つ人材を循環させることで、専門性の維持と人材育成を両立させています。

　ただし課題もあります。セキュリティ分野は地味で負担が大きいという印象から積極的な希望者は少なく、さらに公務員の3年程度のローテーションにより、せっかく育成した人材の知識や経験が継承されにくいのが実情です。このため、専門性を持つ人材を戦略的に配置・循環させながら、少しずつ層を厚くしていけるよう取組んでいます。

――組織全体に対するセキュリティ教育はいかがでしょうか。

福田氏：　全職員を対象に、毎月、朝礼などを活用して「情報セキュリティ・個人情報保護月次研修」を実施しています。さらに年1回は標的型メール訓練を実施し、不審なメールに対応する力を養っています。余談ですが「先生」と呼ばれる職種の方々は業務上あらゆる連絡に応答する必要があるためか、訓練メールを開封してしまう割合が高い傾向にあります。不審なメールの開封率を0％にすることは不可能ですが、地道な訓練を繰り返すことで、少しでも減らして事故の発生確率を減らし、また本人のセキュリティ意識を高める上でも重要だと考えています。

――将来の行政サービスを支える上で、どのようなスキルや資質を持つ人材が求められるのでしょうか。

福田氏：　横浜市には700近い課がありますが、将来的には各課長が最低限のITリテラシーを持つ必要があります。今後は新たなサービスをデザインしたり、そのシステム導入が業務の中心になったりするため、「ITは分かりません」では通用しません。特に若手職員には、単なるルーチンワークにとどまらず、サービス設計ができる人材に育ってほしいと期待しています。

――セキュリティやITにかける予算についてどのように考えているのでしょうか。

福田氏：　セキュリティ専用の予算を設けているというより、業務システムごと予算の中で対応しているのが実態です。これまでも相応の投資はしてきましたが、課題は「お金の使い方」にあると考えています。

　現在は所管がそれぞれの業務システムに責任を持ち、導入から運用まで担っています。そのためセキュリティ対策にかける費用も所管ごとに分散しており、最適化や横断的な統合の余地がまだまだ残されています。

　もちろん、新しいシステムを導入する際にはデジタル統括本部のセキュリティ担当が調達協議をし、そのリスクを確認しています。ただ、運用段階に入ると責任は所管局に移り、セキュリティ水準が継続して保たれているかというと疑問が残ります。局ごとの対応力や人員配置によって、運用の厚みに差が出てしまうからです。

　「予算の配分や使い方」には、まだ改善の余地があるでしょう。全庁的に横串で見える化し、統合的に最適化していくことが、今後の課題だと考えています。

AIと倫理性　4要素で捉える新時代のセキュリティ

――最後に今後の展望についてお聞きします。DXや新技術の導入が進めば、守るべき対象も多岐にわたるようになると拝察します。この点についてはどのように捉えていますか。

福田氏：　従来のセキュリティは機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）の3要素で構成されていましたが、デジタル化の進展により「倫理性（Ethicality）」を加えた4要素で考える必要があります。この4番目の要素である「コンプライアンスリスク」には順法性や社会的許容、ビジネスロジックが含まれます。

　私が個人的に重要だと考えているのは「コンダクトリスク」です。これは「法律上は問題ないが、社会規範的には問題がある」というケースです。最近の例を挙げると、繁華街に「個人名は特定しないものの『いつ』『どの人が』『どの店に入った』を追跡できるAIカメラが設置される」といったことが話題となったことがあります。違法性はないとしても、社会的には問題視される可能性があります。

セキュリティの今後の課題と展望（出典：横浜市提供資料）

　「安全な町づくり」や「市民サービスの向上」といった観点から、新技術導入を検討する姿勢は大切です。しかしそうした技術を導入する際、「これは問題があるのではないか」「説明が必要ではないか」という視点を持つことが重要です。これからは技術的なセキュリティだけでなく、法制度や個人情報、社会倫理の観点から物事を考えるスキルが必要です。

――生成AI利活用ではどのような課題や留意点がありますか。横浜市では内部事務向けに「Copilot」を全庁的に導入したと伺っています。

福田氏：　行政のAIが正しい情報を提供するためには、正しい最新の情報を集めた情報基盤を構築し、AIがその情報にアクセスできる権限を適切にコントロールすることが重要です。どんなにAIが賢くても、Webサイトに古い手続き情報が掲載されていると、それを参照して間違った案内をしてしまいます。

　また、AIのセキュリティリスクで「AIとのチャットの会話から情報が漏えいする」という懸念がありますが、「AIが言ってはいけない情報」はそもそもAIがアクセスできないようにすればよいのです。

　さらに、最近期待を集めている、業務を自動化するAIエージェントですが、その活用を進める上で課題となっているのは「業務手順書の整備」です。一般にマニュアルは「このように入力しなさい」「このボタンを押しなさい」といった操作の手引き書にすぎません。一方で業務手順書は「この処理を行ったら次にどの課へ回す」「承認を得たら次の作業に進む」といった一連のワークフローを記したものです。

　AIを業務に取り込むには、この業務手順書をベースにAIに手順を指示しなければなりません。ただ実際には、日本の企業や役所では、その業務手順書が充分整備されていない場合が多いようです。多くの仕事はベテラン職員の経験や暗黙の了解に依存して進められており、AIに落とし込めるような「流れ」がそもそも文書化されていないように思います。

――これからはデータセットを用意したり、データやAIへのアクセス権を設定したりといった作業もセキュリティ担当者の管轄になりそうですね。

福田氏：　おっしゃる通りこれは新次元のセキュリティだと考えています。従来セキュリティの目的は機密性や完全性を守ることでしたが、AI時代には「間違わない」「誤情報を出さない」という要素もセキュリティの一環と捉えるべきです。そうした観点で考えると、セキュリティはプロセスマネジメント領域にも拡張する、または融合する必要があります。つまり、サービス設計や企画、業務フローの策定といった上位レイヤーから関与し、「セキュリティ的に問題がないか、リスクが無いか」を検証しなければなりません。当然、AIに関しても、人間と同様にアクセス認証や役割分担といった権限管理が必要です。

――最後に、読者へのメッセージをお願いします。

福田氏：　CIOやCISOは先を見据えた引き出しを持っていないと、想定外の事ばかりで対症療法に追われてしまいます。継続的な勉強が重要で、さまざまなチャンネルから海外も含めた最新の技術やインシデントの事例を収集し、時代遅れの無駄な投資を防ぎ、起こりうる危険性やリスクを把握することが大切です。

――ありがとうございました。