自治体IT機器調達「政府認定品限定化」で何が変わるのか日本が今できること/できないことを整理してみた。
1.なぜ「政府認定品」に限定するのか
┌──────────────────────────────┐
│ 背景:サイバー攻撃の高度化と中国製機器へのリスク
├──────────────────────────────┤
│ ・中国製機器による情報窃取リスクの指摘が増加している
│ ・自治体のセキュリティ対策が国より遅れている
│ ・自治体システムが国と接続 → 被害が波及しやすい
│ ・欧米はすでに政府調達から中国製を排除する流れ
└──────────────────────────────┘
2.今後懸念されるセキュリティ課題
2-1. サプライチェーン攻撃の高度化
攻撃対象:通信機器やパソコン、サーバーなどのほか、近年普及しているクラウドベースのソフトウェア。
運用開始時期:2027年夏
総務省が近く公表する有識者会合の報告書では、国と自治体のシステムがネットワークで接続されているため、自治体がサイバー攻撃を受けると「被害が政府機関へと波及しかねない」と分析しています (引用:オンライン読売新聞)
┌───────────────┐
│ 認定品でも残るリスク
├───────────────┤
│ ・ゼロデイ攻撃
│ ・海外部品依存
│ ・クラウド依存増加
└───────────────┘
2-2. 自治体の人材不足
┌────────────────────────┐
│ 自治体のセキュリティ運用が追いつかない理由
├────────────────────────┤
│ ・専任のセキュリティ担当がいない自治体が多い
│ ・SOC/CSIRTを持たない自治体が多数
│ ・運用ルールが自治体ごとにバラバラ
└────────────────────────┘
2-3. コスト増による更新遅延
認定品は高コスト
↓
自治体予算を圧迫
↓
更新サイクルが伸びる
↓
古い機器が残り脆弱性が放置される
3.今できること
3-1.今はできないこと
4.まとめ
日本のセキュリティは「機器」だけではなく、適切な運用、人材、情報の共有・公開をする事で、
可視化した国家レベルでの防御が成立します。