- 총무성은 지자체의 사이버 방어 능력을 향상시키기 위해 각 지자체의 정보 네트워크 및 IT 장비의 취약점을 탐지하는 시스템을 구축할 방침. 현·시청 등에서 사용하는 PC와 서버의 보안을 지속적으로 관리. 지자체가 보유한 주민 정보 등을 노린 사이버 공격이 증가함에 따라, 중앙정부와 지방자치단체가 공동으로 대책에 나서겠다는 생각.
- 신규 시스템은 ‘공격 표면 관리(ASM, Attack Surface Management)’라는 진단 기법을 활용. 외부에서 접근 가능한 IT 기기의 관리 상태를 감시하고, 사이버 공격에 대한 내성을 평가.
- 취약점이 발견될 경우 정부가 위험 요인을 파악하고, 지자체 측에 기기나 소프트웨어 업데이트를 촉구.
- ‘25년도 추가경정예산안에 시스템 구축 비용을 반영. ’26년도부터 지자체의 정보 네트워크 진단을 시작.
- 총무성은 ‘25년도부터 지방자치단체의 정보 시스템에 가상 공격을 가하는 ‘침투 테스트(Penetration Test)'를 실시. 도도부현과 정령시 등 인구 규모별로 대상 지자체를 선정한 후 결과와 대책을 전국적으로 공유. 다만 해당 테스트는 한 번에 조사 가능한 건수에 한계가 있어 모든 지자체의 보안 상황을 파악하는 데 시간이 소요.
- ASM을 활용한 진단은 ’24년에 중앙 부처 및 주요 독립행정법인을 대상으로 도입. 부처에서의 운영 실적을 바탕으로 자치단체용 시스템을 설계해 대상을 전국으로 확대할 방침.
- 지자체는 마이넘버나 사회보장 등의 개인정보, 관공서와의 교류 등 민감한 데이터를 보유. 행정의 DX를 추진하는 한편, 노후화된 ‘레거시 시스템’이 남아 있음.
- 지방의 사이버 대책은 지금까지 지자체의 개별적인 노력에 의존. ‘24년에 개정 지방자치법이 성립되어, ’26년 4월까지 각 지자체에 사이버 보안 관련 기본 방침의 수립과 공표가 의무화됨.
- 지자체마다 대책에 투입할 수 있는 인력과 예산에는 차이가 발생. 일본정부는 방어 능력의 지역 차이를 해소하고 전국적으로 사이버 공격 내성을 일정 수준 이상으로 끌어올리겠다는 생각.
- 지자체 대상 사이버 공격은 최근 증가. ‘24년에는 야마나시현, 구마모토현, 사가현 겐카이쵸 등 여러 도도부현과 시정촌이 공격을 받아, 개인정보 유출과 주민 대상 정보 사이트 접속 불가 사태가 발생한 바 있음.
- 오카야마현 정신과 의료센터 등 공영 의료기관이 랜섬웨어 공격을 받는 사례도 발생. 이로 인해 환자 정보 유출과 전자 차트 시스템 중단으로 이어짐.