デジタル要塞の亀裂：日本政府機関におけるシステム的サイバーセキュリティ不備の分析

Executive Summary

会計検査院が最近公表した政府機関の情報システムにおけるセキュリティ対策の不備に関する報告は、単なる個別の技術的見落としとしてではなく、日本の公共セクターにおけるITガバナンス、調達慣行、そしてリスク管理文化に根差す、慢性的かつ構造的な欠陥が顕在化したものとして捉えるべきである。本分析は、会計検査院の指摘事項を詳細に検討し、それらが内閣サイバーセキュリティセンター（NISC）や情報処理推進機構（IPA）によって文書化されている外部のサイバー脅威の高まりと直接的に相関していることを明らかにする。

調査対象となった40機関356システムのうち、脆弱性対策やアクセス権限管理といった基本的なセキュリティ対策が多数のシステムで不十分であったことが判明した。特に深刻なのは、デジタル庁が所管する情報システムIDを未取得のまま運用されているシステムが23機関137システムにも上るという事実である。これらの「ガバナンスの空白地帯」にあるシステムは、国の定めた基準に準拠していない割合が際立って高く、政府全体のセキュリティ体制における明確な弱点となっている。

これらの問題は、過去の会計検査院報告書でも指摘されてきた「ベンダーロックイン」に繋がる調達慣行や、省庁ごとの縦割り意識に起因する中央集権的なITガバナンスの形骸化といった、より根深い構造的問題にその原因を求めることができる。本レポートは、これらの内部的脆弱性が、国家を標的とするサイバー攻撃の脅威増大と同期して発生している現状に警鐘を鳴らす。そして、事後対応的でコンプライアンス遵守を目的としたアプローチから、強靭（レジリエント）で、中央集権的に強制力を持つ、プロアクティブなセキュリティ体制へとパラダイムシフトを断行することの緊急性を提言するものである。

1. 会計検査院2025年報告：定量的・定性的分析

本章では、会計検査院の報告書を詳細に分析し、その定量的データを基盤として、より深い分析を展開する。目的は、政府機関全体にわたって特定されたセキュリティ不備の規模と範囲を明確に確立することにある。

1.1. 調査の範囲

会計検査院による今回の調査は、政府のITインフラの広範な断面を対象としており、国の40府省庁等にわたる356の情報システムが検証された ¹。この広範な調査範囲は、今回明らかになった問題が一部の管理が不十分な省庁に限定されたものではなく、政府全体に共通する課題であることを示唆している。この報告書は、会計検査院法第30条の2に基づき、2025年9月12日に国会及び内閣へ正式に報告されており、その公的な重要性が強調されている ²。

1.2. 重大なセキュリティ不備の分類

報告書で指摘された不備は、サイバーセキュリティの根幹をなす複数の領域にわたっている。

• 不適切な脆弱性管理: 12機関の58システムにおいて、適切な脆弱性対策が講じられていなかった ¹。これは、タイムリーなセキュリティパッチの適用や設定管理といった基本的なサイバー衛生（ハイジーン）の欠如を意味し、攻撃者に対して既知の侵入経路を無防備なまま放置している状態である。

• 不十分なアクセス権限管理: 16機関の26システムにおいて、アクセス権限の管理が不適切であった ¹。これは、内部不正のリスクを高めるだけでなく、一度境界を突破した外部攻撃者による権限昇格を容易にする重大な不備である。

• デジタル庁IDのコンプライアンス・ギャップ: 最も顕著な問題として、23機関の137システムが、原則として取得が義務付けられているデジタル庁の情報システムIDを取得せずに運用されていた ¹。この統計は、政府ITのかなりの部分が、中央集権的な監督の枠組みの外で稼働しているという憂慮すべき実態を明らかにしている。

これらの統計データを明確化するため、以下の表に要約する。

表1.1: 会計検査院が特定したセキュリティ不備の概要

1.3. 調査結果の初期解釈

データは、セキュリティ上の不備が単一の種類のものではなく、技術的側面（脆弱性管理）、手続き的側面（アクセス権限管理）、そしてガバナンス的側面（IDコンプライアンス）という、サイバーセキュリティの複数の基本的な領域にまたがっていることを示している。

これらの異なる種類の不備が広範囲にわたって同時に存在するという事実は、全体的かつ一貫して強制されるべきセキュリティ文化が存在しないことを強く示唆している。これは単に適切なソフトウェアを購入しなかったという問題ではない。プロセス、監督、そして説明責任といった、組織的な統制メカニズムそのものの失敗なのである。もし問題が脆弱性管理のみに限定されていれば、中央集権的なパッチ管理ソリューションの強化で対応できるかもしれない。アクセス権限管理のみが問題であれば、ID管理に関する研修の改善が有効かもしれない。しかし、技術、手続き、ガバナンスの各層で同時に不備が発生していることは、より根深く、広範な問題を示している。これは、基本的なポリシー自体が不十分であるか、あるいはポリシーを強制するためのメカニズムが、政府の広範な領域で組織的に無視されている可能性を示唆している。

2. ID未取得システム：分断されたガバナンスと「黙認されたシャドーIT」の症状

本章では、ID未取得システムの存在という調査結果を単なるデータポイントから、分析の中心的なテーマへと引き上げる。これらのシステムは、中央集権的なガバナンスの崩壊によって生み出された、政府のセキュリティ体制における致命的な死角を象徴していると論じる。

2.1. 決定的な相関関係

会計検査院の調査は、デジタル庁のIDを取得していないシステムが、脆弱性対策やログの点検・分析といった国の定めた基準への準拠率が低いという明確な相関関係を突き止めた ¹。これは偶然の一致ではなく、直接的な因果関係の結果である。ID登録プロセスは、デジタル庁が管理する中央集権的な監視、自動化されたセキュリティスキャン、そして強制的なポリシー適用の対象となるための入口である可能性が高い。IDを持たないシステムは、事実上、ガバナンスの空白地帯に存在しているのである。

2.2. 「黙認されたシャドーIT」の定義

組織から隠れて使用される従来の「シャドーIT」とは異なり、これら137のシステムは、その存在が認知されていながら、中央のガバナンスフレームワークには統合されていない。これらは事実上、標準的な管理・統制の外で運用することが「黙認された」IT資産、すなわち「黙認されたシャドーIT」と定義できる。

これほど多数の「黙認されたシャドーIT」が存在するという事実は、デジタル庁の権限における根本的な弱点を示している。これは、各省庁が依然として高度な自律性を保持しており、官僚的な惰性、レガシーシステムの複雑さ、あるいは自らのIT領域に対する統制を維持したいという思惑から、中央の監督に抵抗している可能性を示唆している。政府が目指す統一されたデジタル戦略 ⁴ と、その戦略を推進する主体であるはずのデジタル庁の現状との間には、明らかな乖離が存在する。調査対象となった40機関の半数以上にあたる23機関が、庁の基本的な識別フレームワークに完全に参加していないシステムを保有しているという事実は、この目標に対する直接的な矛盾である。これは技術的な問題ではなく、政治的・官僚的な問題であり、デジタル庁が指導する権限は持っていても、各省庁に従わせる強制力に欠けている可能性を示唆している。その結果、セキュリティレベルが分断され、一貫性のない状況が生まれている。

2.3. 二層構造のセキュリティシステムがもたらす影響

このようなIT資産の分断は、予測可能な弱点を体系的に生み出す。特に、高度な技術を持つ国家支援型の攻撃者は、標的ネットワーク内で最も防御の甘い資産を特定し、そこを悪用することに長けている。137のID未取得システムは、攻撃者に対して、そのような弱点へのロードマップを提示しているに等しい。

さらに、この状況は、内閣サイバーセキュリティセンター（NISC）などが主導する政府全体のセキュリティイニシアティブの効果を著しく損なう ⁵。攻撃対象となりうる領域（アタックサーフェス）の相当部分が中央で監視・管理されていないため、政府全体の脅威検知やインシデント対応能力に深刻な穴が生じることになる。

3. 国家的な脅威情勢の中での脆弱性の文脈化

本章では、会計検査院の調査で明らかになった内部的な脆弱性を、日本が直面している具体的な外部の脅威と結びつけ、これらのセキュリティ上の欠陥がもたらす現実世界の具体的な結果を明らかにする。これにより、「だから何が問題なのか？」という極めて重要な問いに答える。

3.1. 監査結果と国家的な脅威とのマッピング

情報処理推進機構（IPA）が公表する「情報セキュリティ10大脅威 2025」は、リスクを理解するための直接的な枠組みを提供する ⁶。

• 会計検査院が指摘した**「不適切な脆弱性管理」** ¹ は、IPAの10大脅威の第3位である**「システムの脆弱性を突いた攻撃」**（ゼロデイ攻撃を含む）を直接的に可能にする ⁶。

• 同じく指摘された**「不十分なアクセス権限管理」** ¹ は、第4位**「内部不正による情報漏えい等」

  
  

  および第10位「不注意による情報漏えい等」**のリスクを直接的に増大させる ⁶。不適切な管理体制は、悪意のある内部関係者によるデータ窃取や、従業員による偶発的だが壊滅的なミスを容易に引き起こす。

表3.1: 会計検査院の指摘事項とIPA「情報セキュリティ10大脅威 2025」との対応

この表は、政府の内部的な、文書化された不備と、国家が直面する最も差し迫った外部のサイバー脅威との間に、強力な視覚的リンクを構築する。これにより、「リスク」という抽象的な概念が、具体的かつ否定しがたい形で示される。単に脆弱性が問題であると述べるだけでなく、IPAやNISCといった機関が国家に対して積極的に警告している攻撃ベクトルにマッピングすることで、具体的にどのように問題なのかを明確に示している。「想定される影響」の列は、技術的な専門用語を、政策決定者が即座に理解できる、現実的で影響の大きい災害シナリオに翻訳している。

3.2. 激化する地政学的・犯罪的脅威のマトリックス

会計検査院の調査結果は、脅威が静的な環境で発生しているわけではない。NISCの報告によれば、政府機関への不審な通信の検知・通報件数は2021年度の41件から2024年度には238件へと急増しており、重要インフラにおけるインシデント報告に占めるサイバー攻撃の割合は50%を超えている ⁵。NISCは、日本の安全保障や先端技術に関わる情報を窃取する目的の高度なサイバー攻撃について、中国の関与が疑われると明確に評価している ⁵。

同時に、犯罪を目的とした脅威も深刻化している。「Rhysida（リサイダ）」のようなランサムウェア攻撃グループや、大規模な暗号資産窃取事件は、現代の攻撃者が持つ金銭的動機と高度な技術力を示している ⁵。

これらの事実を総合すると、会計検査院の指摘事項は、日本を標的とするサイバー攻撃の量と巧妙さが記録的なレベルで増大しているのと時を同じくして発生していることがわかる。政府のセキュリティ体制が劣化しているまさにその瞬間に、外部からの脅威は激化しているのである。この防御能力と攻撃活動との間のギャップの急拡大は、極めて危険な状況を生み出している。監査データ（内部の脆弱性）とNISCのデータ（外部の脅威）を並置することで、差し迫った危機の物語が浮かび上がる。一方のデータは「ドアの鍵が壊れている」ことを示し、もう一方のデータは「高度な技術を持つ泥棒が近所をうろついている」ことを示している。この二つの現実の組み合わせは、それぞれを単独で見るよりもはるかに憂慮すべき事態であり、これこそが政策決定者に伝えなければならない重要な現実である。

4. 構造的な根源の探求：既存の構造的欠陥の分析

本章は、このレポートの分析の中核をなす部分である。主に2021年の会計検査院報告書 ⁴ などの過去のデータを活用し、現在のセキュリティ不備は新たな問題ではなく、長年にわたり対処されてこなかった政府のIT管理における構造的な欠陥がもたらした、予測可能な結果であることを論じる。

4.1. ITガバナンスと中央監督の慢性的機能不全

• 歴史的先例: 2021年の報告書では、省庁内のプロジェクトマネジメントオフィス（PMO）がIT関連の支出を十分に把握しておらず、また、当時のIT総合戦略室のような政府の中央機関も、個々のシステムの執行状況を詳細に把握できていなかったことが指摘されている ⁴。

• 因果関係: このような中央集権的な追跡・監督機能の歴史的な欠如が、今日見られる137もの「ID未取得」システムが存在する土壌を形成した。2021年の時点で中央機関がすべてのシステムを効果的に監視できていなかったのであれば、2025年になっても多くのシステムがデジタル庁の完全な監督下に置かれていないことは驚くに値しない。

• 構造的問題: 問題は制度的なものである。日本政府は歴史的に、一枚岩の組織としてではなく、半自律的なIT実体の連合体として機能してきた。デジタル庁はこの問題を解決するために創設されたが、今回の監査結果は、この根深い制度的抵抗をまだ克服できていないことを示唆している。会計検査院の指摘を受けてから実態調査を開始する ⁷ といった事後対応的なパターンは、プロアクティブで継続的な監督が欠如していることのさらなる証拠である。

4.2. 調達慣行とベンダーロックインの深刻な影響

• 歴史的先例: 2021年の報告書は、随意契約に近い状態にある競争性の低い契約の割合が驚くほど高いことを浮き彫りにした。システムの整備・運用等に係る競争契約のうち、**一者応札の割合は件数ベースで73.9%、契約金額ベースでは84.9%**に達していた ⁴。この傾向は、既存システムの改修契約においてさらに顕著であった。

• 因果関係: この「ベンダーロックイン」は、今日見られる「不適切な脆弱性管理」に直接的に寄与している。ある省庁が特定のベンダーに完全に依存している場合、タイムリーで費用対効果の高いセキュリティパッチを提供するよう求める競争圧力が働かない。ベンダーは条件を一方的に決定でき、省庁側はベンダーを切り替える交渉力も技術的能力も持たない。その結果、レガシーシステムはパッチが適用されないまま放置されるか、セキュリティを確保するための費用が法外に高騰することになる。

• 本質的な脆弱性: ベンダーロックインは単なる財政的な問題ではなく、国家安全保障上の重大な脆弱性である。それはイノベーションを阻害し、コストを増大させ、そして最も重要なことに、セキュリティリスクを制度化する依存関係を生み出す。政府の調達プロセスそのものが、後に会計検査院が批判することになる安全でないシステムを積極的に生み出しているのである。

4.3. プロジェクト管理と内部監査の構造的欠陥

• 歴史的先例: 2021年の報告書では、調査対象となった89システムのうち36システムで、プロジェクト計画書やプロジェクト管理要領といった基本的な文書が作成されていなかったことが判明した。さらに、多くのシステムで重要業績評価指標（KPI）のモニタリングが実施されておらず、一部の省庁ではシステム監査自体が実施されていなかった ⁴。

• 因果関係: 適切な計画や継続的な監視なしに構築されたシステムは、セキュリティ上の欠陥や不適切なアクセス権限設定を抱える可能性がはるかに高い。そして、定期的な内部監査の欠如は、これらの欠陥が会計検査院のような外部機関によって強制的に指摘されるまで、発見されないことを保証する。これは、アクセス権限管理や脆弱性管理における不備がなぜ発生したのかを直接的に説明する。

• 文化的問題: 「作って終わり（build and forget）」という文化が蔓延しているように見受けられる。規律あるプロジェクト管理と継続的な監査の欠如は、セキュリティが設計段階から「組み込まれて」おらず、自己修正のメカニズムも存在しないことを意味する。会計検査院が事実上、政府のIT監査役として機能しているが、この役割は本来、各省庁が日常的に内部で果たすべき機能である。基本的な衛生管理を外部監査に依存しているという事実は、内部ガバナンスの深刻な失敗の兆候である。

5. 強靭なデジタル政府に向けた戦略的提言

本章では、第4章で特定された根本原因に対処するための、具体的かつ実行可能な提言を行う。これらは単純な技術的修正にとどまらず、構造的・文化的な改革を提案するものである。

5.1. 中央ガバナンスと執行力の強化

• 提言: デジタル庁の法的権限を見直し、単なる指導・助言機関ではなく、強制力と是正措置権限を付与する。これには、システム登録（ID発行）の強制、セキュリティスキャンの義務付け、そして継続的な不遵守が認められる場合には、システムの運用停止や関連予算の凍結を命じる権限も含まれるべきである。

• 正当性: 137ものID未取得システムが存在するという事実が証明するように、現在の分散型の責任体制は失敗している。真の権威を持つ中央機関のみが、政府全体で一貫したセキュリティのベースラインを強制することができる。

5.2. ベンダーロックインを解体するための調達改革

• 提言: モジュール型アーキテクチャ、オープンスタンダード、マルチベンダー環境を優先する調達改革を実施する。すべてのIT契約において、セキュリティの強靭性とデータのポータビリティを主要な評価基準として義務付ける。重要なシステムについては、「セカンドソーシング（複数購買）」要件を導入する。

• 正当性: ベンダーロックインの悪循環を断ち切るためには ⁴、政府はテクノロジーの購入方法を根本的に変えなければならない。これにより競争が促進され、コストが削減されるとともに、各省庁は既存ベンダーに縛られることなく、最新のセキュリティソリューションを柔軟に採用できるようになる。

5.3. 「セキュリティ・バイ・デザイン／バイ・デフォルト」文化の制度化

• 提言: 政府独自のセキュリティガイドライン ⁸ を、初期の予算要求からシステムの廃棄に至るまで、ITライフサイクルのあらゆる段階に統合することを義務付ける。すべての新規システムにおいて、「ゼロトラスト」アーキテクチャをデフォルトとして確立する。ソフトウェア開発・展開パイプラインの一部として、自動化されたセキュリティおよびコンプライアンスチェックを必須とする。

• 正当性: 現在の「監査と是正」というサイクルは非効率的であり、政府を常に脆弱な状態に置く。セキュリティは後付けの要素ではなく、プロセスの本質的な一部でなければならない。そのためには、定期的な手動監査から、継続的かつ自動化された検証へと移行する必要がある。

5.4. 人的資本と国内サイバーセキュリティ人材への投資

• 提言: 公共セクター内に、競争力のある報酬と継続的な研修機会を備えた、サイバーセキュリティ専門職のための専用キャリアパスを創設する。デジタル庁またはNISC内に、高度なセキュリティ課題やインシデント対応で各省庁を支援できる、エリートサイバーセキュリティ人材からなる中央集権的なチームを設立する。

• 正当性: 技術やポリシーは、それを実装・管理する熟練した人材なしには不十分である。政府は、高度な技術を持つ敵対者から国家を守るために、最高レベルのサイバーセキュリティ人材を惹きつけ、維持できなければならない。

6. 総括：事後対応的コンプライアンスからプロアクティブな強靭性へ

本レポートの分析を総合すると、会計検査院の報告は、日本のデジタルガバメントにとって重大な岐路を示すものである。繰り返しになるが、指摘された技術的な脆弱性は、より根深く、より困難な構造的・文化的問題の単なる症状に過ぎない。

各省庁が監査で指摘された後にのみ行動を起こすという、断片的でコンプライアンス遵守を主眼に置いたアプローチを継続することは、現在の脅威環境において、壊滅的な失敗を招く道筋である。唯一の実行可能な道は、中央集権的に統治され、プロアクティブに管理され、そして強靭なセキュリティ体制への根本的な変革である。これは、新しいテクノロジーの導入だけを意味するのではない。ガバナンス、調達、そして組織文化における数十年来の慣行を改革するための、持続的な政治的意志が不可欠なのである。

引用文献

1. 12機関58システムで脆弱性対策せず 会計検査院が行政機関の ..., 9月 18, 2025にアクセス、 https://www.khb-tv.co.jp/news/16025974

2. 会計検査院法第30条の2に基づく国会及び内閣への随時報告（令和7 ..., 9月 18, 2025にアクセス、 https://www.jbaudit.go.jp/report/new/kobetsu06/r070912.html

3. 12機関58システムで脆弱性対策せず会計検査院が行政機関の ..., 9月 18, 2025にアクセス、 https://www.asahi.co.jp/webnews/pages/ann_000452781.html

4. 会計検査院法第30条の3の規定に基づく報告書 「政府情報システム ..., 9月 18, 2025にアクセス、 https://report.jbaudit.go.jp/org/pdf/30526_02_zenbun.pdf

5. サイバーセキュリティ 2025 （2024 年度年次報告・2025 ... - NISC, 9月 18, 2025にアクセス、 https://www.nisc.go.jp/pdf/policy/kihon-s/cs2025.pdf

6. IPA「情報セキュリティ10大脅威2025」解説｜専門家が語るTOP10 ..., 9月 18, 2025にアクセス、 https://www.nri-secure.co.jp/blog/ipa-10-major-threats-2025

7. 会計検査院の報告を踏まえたマイナンバー情報連携実態調査について - デジタル庁, 9月 18, 2025にアクセス、 https://www.digital.go.jp/news/3f127820-68bc-4eb3-ba8c-23c42e2cc41a

8. 5分でわかる！脆弱性診断ガイドライン、どれを選ぶ？9種類の特徴を比較解説, 9月 18, 2025にアクセス、 https://sec.ift-kk.co.jp/blog/vulnerability-diagnosis/p5364/