省庁間侵害:国土交通省および内閣府へのサイバー攻撃と国家サイバーセキュリティへの影響に関する分析
- インシデント・リサーチチーム
- 9月19日
- 読了時間: 33分
第1章 侵害の解剖学:近畿地方整備局インシデントとその連鎖的影響
本章では、国土交通省(MLIT)と内閣府を結びつけた重大なインシデントを詳細かつ証拠に基づき再構築し、政府機関の相互接続性に内在するリスクを分析するための主要なケーススタディとして確立する。
1.1 初期侵入:国土交通省近畿地方整備局への不正アクセス
本件インシデントの起点となったのは、国土交通省近畿地方整備局のネットワークインフラに対する外部からの不正アクセスである。同局は令和7年9月16日、公式にネットワークへの不正アクセスがあったことを発表した 1。この公式発表が、本分析の事実上の基盤となる。
攻撃の性質は「不正アクセス」と明記されているが、初期のプレスリリースでは、具体的な侵入経路や悪用された脆弱性(例:VPN機器の脆弱性、フィッシング、ソフトウェアの欠陥など)については詳述されていない 1。これは、詳細なフォレンジック調査が完了するまでの標準的な情報公開の慣行である。
初期調査における重要な発見は、近畿地方整備局を含む国土交通省のドメイン内においては、個人の機微情報や機密情報の漏洩が確認されなかったという点である 1。この事実は、攻撃者の目的が国土交通省のデータそのものではなかった可能性、あるいは、攻撃者が同省のネットワークを単なる経由地として利用した可能性を示唆している。後者のシナリオは、より価値の高い標的への足がかりとして、セキュリティが比較的脆弱な組織を踏み台にするという、高度な攻撃者によく見られる戦術、技術、手順(TTPs)と一致する。
1.2 連鎖的影響:内閣府沖縄総合事務局の侵害
このインシデントの核心は、侵害された近畿地方整備局のネットワークが、内閣府沖縄総合事務局のネットワークと接続されていたという事実にある 1。このネットワーク上の接続が、脅威の水平移動(ラテラルムーブメント)を可能にする経路となった。
この水平移動の直接的な結果として、沖縄総合事務局に所属する職員約1,200人分の個人情報が外部に流出した可能性が生じた 4。危険に晒されたデータは、職員の氏名、公用メールアドレス、ユーザーID、そして所属部署や役職名といった、後続のソーシャルエンジニアリング攻撃やクレデンシャル窃取攻撃に極めて有用な情報を含んでいた 4。
事態の重大性を受け、内閣府は個人情報保護法第68条第2項の規定に基づき、影響を受けた職員への通知を開始した 4。この法的措置は、情報漏洩の可能性が深刻かつ信頼性の高いものであることを裏付けている。また、本件は国土交通省と内閣府が同時に発表を行っており、省庁横断での協調的なインシデント対応が行われたことを示している 1。
1.3 協調的調査と初期対応
インシデント対応は、被害を受けた地方局レベルに留まらず、より高次のサイバーセキュリティ機関を巻き込む形で展開された。国土交通省は、外部の専門機関による調査を開始するとともに、セキュリティ専門家や関係機関と連携し、必要なセキュリティ対策を講じた 1。これは、政府機関における標準的なインシデント対応プロトコルを反映したものである。
また、国民や関係機関への情報提供窓口として、国土交通省近畿地方整備局の技術部門、同省本省のサイバーセキュリティ対策室、そして内閣府沖縄総合事務局にそれぞれ問い合わせ先が設置された 1。これは、省庁間および対外的なコミュニケーションを構造化し、一元的に管理しようとする意図の表れである。
この一連の事案は、日本政府のデジタルインフラが直面する二つの根本的な課題を浮き彫りにした。第一に、政府全体のセキュリティ態勢は、最も強固に防御された省庁ではなく、相互接続されたネットワーク内の最も脆弱なノードによって決定されるという現実である。民間省庁である国土交通省の地方局への攻撃が、内閣府という国家運営の中枢に関わる機関のセキュリティインシデントに直結したことは、各省庁がサイロ化されたセキュリティモデルでは不十分であることを証明している。内閣府のセキュリティは、地理的にも組織的にも離れた国土交通省の一地方局のセキュリティに依存していたのである。これは、リスクが政府のデジタル資産全体を横断して伝播することを示しており、防御の境界線は各省庁の壁ではなく、政府ネットワーク全体の末端であることを意味する。
第二に、攻撃者の真の目的は、必ずしも最初の侵入口にあるわけではないという点である。国土交通省からデータが窃取されなかったという事実は 3、攻撃者が近畿地方整備局自体に関心がなかったことを強く示唆している。近畿地方整備局は、より価値の高い標的(内閣府)に到達するための「ピボットポイント」または「橋頭堡」として利用されたに過ぎない。これは、攻撃者が事前の偵察と標的選定を行った上で、最も侵入しやすい経路を選択したことを示唆する、洗練された攻撃者の典型的な行動パターンである。
第2章 脆弱性のパターン:過去のインシデントと反復する弱点
本章では、近畿地方整備局のインシデントが孤立した事象ではなく、国土交通省と内閣府の両方にまたがる脆弱性の持続的なパターンが顕在化した最新の事例であることを論じる。過去のインシデントを証拠として用い、反復的かつシステム的な弱点を明らかにする。
表1:国土交通省および内閣府を標的とした主要サイバーインシデント年表(2017年~現在)
2.1 ソフトウェアの脆弱性とパッチ管理の不備
政府機関を標的とする攻撃において、ソフトウェアの脆弱性は繰り返し悪用される侵入経路となっている。特に、パッチ管理の遅れは、攻撃者に容易な機会を提供してしまう。
ケーススタディ:2017年 Apache Struts2 インシデント(国土交通省)
2017年、国土交通省の「土地総合情報システム」が、広く知られたApache Struts2の脆弱性を突かれて侵害された 5。フォレンジック調査の結果、最終的にデータが外部に抜き取られた痕跡は発見されなかったものの 5、このインシデントは、国民向けに公開されている重要システムにおけるパッチ管理の遅れという深刻な問題を露呈した。
ケーススタディ:2021年 FileZen インシデント(内閣府)
内閣府およびその他3つの政府機関が利用していたファイル共有サーバー「FileZen」が、未修正の脆弱性が原因で侵害された 7。このサーバーは内閣府のLAN内に設置されていたにもかかわらず攻撃を受け、さらに重要なことに、攻撃者はこの脆弱性を悪用して管理者権限を奪取した 7。調査を困難にしたのは、重要なアクセスログが十分に保存されていなかった点であり、これにより実際に何が窃取されたのかを正確に確認することができなかった 7。この事実は、パッチ管理の失敗だけでなく、ロギングと監視という基本的なセキュリティ衛生の欠如をも示している。
2.2 浸透するサプライチェーンリスクの脅威
政府機関のセキュリティは、自組織の対策だけでなく、製品やサービスを供給する広範なサプライチェーン全体のセキュリティレベルに大きく依存する。この連鎖のどこか一箇所でも脆弱性があれば、それが全体の侵害に繋がりかねない。
ケーススタディ:2021年 富士通 ProjectWEB 侵害(国土交通省)
政府と外部パートナーとの連携に利用されていた富士通の情報共有ツール「ProjectWEB」が侵害され、大規模な情報漏洩が発生した。この結果、国土交通省職員および外部関係者のメールアドレスが少なくとも76,000件、さらに成田空港のシステム関連資料などが流出した 8。このインシデントは、政府機関のセキュリティ態勢が、ソフトウェアベンダーやサービスプロバイダーのセキュリティに完全に依存しているという、典型的なサプライチェーンリスクの事例である。
ケーススタディ:委託先が管理するシステム(国土交通省)
近畿地方整備局の電気通信施設保守業務を請け負っていた委託先からの情報流出疑惑など 12、他のインシデントも、政府の広範なサードパーティサービスプロバイダーネットワークに内在するリスクをさらに浮き彫りにしている。
2.3 セキュリティが確保されていないエッジ:IoTとリモートアクセスデバイス
ネットワークの末端(エッジ)に接続されるデバイスのセキュリティ確保は、新たな課題として浮上している。特に、管理が不十分なIoTデバイスは、大規模な攻撃の温床となり得る。
ケーススタディ:2023年 IoTカメラ乗っ取り(国土交通省)
国土交通省が管理する河川監視カメラ337台が侵害され、DDoS攻撃を行うボットネットに組み込まれた可能性が指摘された 9。調査によれば、これらのカメラは汎用のインターネット回線で接続されており、侵害の原因は脆弱な、あるいはデフォルトのままのID・パスワードにあったとみられる 9。このインシデントは、国土交通省による積極的な監視ではなく、通信事業者からの異常なトラフィック量の指摘によって発覚した 10。これは、ネットワークエッジにおける可視性の重大な欠如を示している。
これらのインシデントを俯瞰すると、脆弱性の「デジャヴュ」とも言うべき状況が浮かび上がる。パッチ未適用のソフトウェア、セキュリティが不十分なサードパーティシステム、脆弱なエッジデバイスという、同じ種類の脆弱性が長年にわたって繰り返し悪用されている。これは、未知の新たな脅威を予測できなかったという問題ではなく、サイバーセキュリティの基本を徹底できていないという持続的な失敗を示している。2017年のStruts2 5、2021年のFileZen 7、2023年のIoTデバイス 9、そして2021年の富士通 8、これらはゼロデイ攻撃ではなく、既知の弱点の悪用である。このパターンは、政府全体のパッチ管理、ベンダーリスク評価、デバイスの堅牢化に関する方針が不十分であるか、あるいは特に地方局やレガシーシステムにおいて、現場レベルで一貫して実施されていないことを強く示唆している。
さらに、これらのインシデントは、明確に防御可能なネットワーク境界(ペリメータ)が消滅しつつあるという現実を突きつけている。ネットワークの「内部」は、信頼されたサードパーティツール(富士通)、半内部的なアプライアンス(FileZen)、そしてインターネットに直接接続されたデバイス(IoTカメラ)を経由して侵害された。この現実は、伝統的な境界型防御モデルを根本から覆すものである。もはや単一の防御可能な境界は存在しない。セキュリティは、ネットワーク上のあらゆるポイントで適用され、すべての接続を検証する必要がある。これは、ゼロトラストアーキテクチャの核となる原則である。
第3章 脅威のランドスケープ:攻撃手法と攻撃者の戦術
本章では、日本の政府機関に対する攻撃で使用された戦術、技術、手順(TTPs)を分析し、それらを既知の脅威アクターのプロファイルや広範なサイバー脅威の状況と関連付ける。
3.1 主要な初期侵入ベクトル
攻撃者が組織のネットワークに侵入するために用いる手法は多様化しているが、特に日本の政府機関や重要インフラを標的とする攻撃では、いくつかの顕著なパターンが見られる。
VPN機器の脆弱性の悪用
日本のランサムウェア攻撃における最も一般的な侵入経路は、VPN機器の脆弱性を悪用するものである 13。この手法が好まれる理由は、一度VPN機器の侵害に成功すれば、組織の内部ネットワークへの広範なアクセス権限を得られる可能性があるためである。攻撃は、既知の脆弱性(パッチ未適用)とゼロデイ脆弱性の両方を悪用するほか、パスワードスプレーのような認証情報に基づく攻撃も含まれる 14。このベクトルの高い発生率は、近畿地方整備局への侵入においても、未確認ながら有力な候補の一つであることを示唆している。
フィッシングおよびスピアフィッシング
標的型メール(スピアフィッシング)は、依然として強力な侵入手段である。トレンドマイクロは、2024年において日本の組織を標的とした標的型メール攻撃が再び増加傾向にあると指摘している 15。政府のインシデント報告書も、標的組織の業務に関連する件名を使い、関係者を装った不審なメールが継続的な脅威であることを確認している 16。
ソフトウェアサプライチェーンの侵害
富士通の事例 8 や、国際的なSolarWinds事件 17 に見られるように、ソフトウェアベンダーやそのアップデートメカニズムを侵害することで、攻撃者は信頼されたチャネルを利用して従来の防御を回避することができる 18。
3.2 侵入後のTTPs:環境寄生型攻撃と検知回避
ネットワークへの侵入に成功した後、攻撃者は検知を逃れ、目的を達成するために巧妙な技術を用いる。
環境寄生型攻撃(Living Off The Land - LotL)
内閣サイバーセキュリティセンター(NISC)は、日本の政府機関に対し、LotL戦術について特に警告を発している 20。これは、攻撃者がPowerShellやWMIなど、システムにプリインストールされている正規のツールを使用して活動する手法である。これにより、攻撃者の活動は通常の管理業務と区別がつきにくくなり、従来のウイルス対策ソフトなどによる検知を回避することが可能となる。
ログの削除と検知回避
高度な攻撃の特徴の一つは、フォレンジック調査の妨害を目的とした証拠隠滅である。内閣府のFileZenインシデントでは、重要なアクセスログが存在しなかったことが調査の大きな障害となった 7。また、ルーターなどのネットワーク機器を標的とする攻撃者は、自身の活動を隠蔽し、持続的なアクセスを維持するために、ファームウェア自体を改ざんすることがある 22。これは、改ざん防止機能を備えたログの一元管理の重要性を強調している 24。
正規オンラインサービスの悪用
攻撃者は、C2(コマンド&コントロール)通信やデータ窃取のために、正規のクラウドストレージやオンラインサービスを悪用するケースが増加している 15。これらの通信は通常の業務トラフィックに紛れ込むため、ネットワークレベルでのブロックが困難である。
3.3 日本を標的とする主要な脅威アクターのプロファイル
日本の政府機関や重要インフラに対する攻撃は、特定の目的を持った高度な攻撃グループによって実行されることが多い。以下に、日本を標的とすることが確認されている主要な脅威アクターのTTPsをまとめる。
表2:日本の政府機関・重要インフラを標的とする脅威アクターのTTPs
これらの脅威アクターの分析から、二つの重要な点が明らかになる。第一に、TTPsの収斂である。異なるAPTグループは独自のツールセットを持つが、その中核的な手法は共通のプレイブックに収斂しつつある。すなわち、エッジ(VPN、ルーター)を悪用し、環境寄生型攻撃で検知を逃れ、信頼関係(サプライチェーン、拠点間ネットワーク)を悪用するという流れである。これは、特定の脅威アクターに特化した防御戦略では不十分であり、より広範なTTPベースの防御、例えばネットワークのセグメンテーション、厳格なアクセス制御、そしてXDR(Extended Detection and Response)のような振る舞い検知技術が不可欠であることを意味している 24。
第二に、地政学的文脈の重要性である。日本の政府インフラを標的とする最も高度な脅威は、特に中国や北朝鮮といった国家が背後にいるとみられる、地政学的な動機を持つグループによるものである 20。これは、攻撃がランダムではなく、諜報活動、知的財産の窃取、あるいは社会機能の混乱といった戦略的目標を達成するための標的型攻撃であることを意味する。この文脈は、これらの攻撃への防御が単なる技術的なIT問題ではなく、国家安全保障上の課題であることを示している。したがって、経済安全保障推進法 33 や日米連携 34 のような国際的な枠組みが、日本のサイバー防衛の重要な構成要素となる。
第4章 システム的欠陥:サプライチェーンと相互接続ネットワークのリスク
本章では、これらの繰り返される侵害の根本原因が、個々の技術的な失敗にあるのではなく、日本政府がその広大なサプライチェーンと相互接続された省庁間ネットワークにわたるサイバーセキュリティを管理する方法における、深くシステム的な欠陥にあると論じる。
4.1 政府のサプライチェーンの定義:調達を超えて
政府のサプライチェーンは、単なるハードウェアの調達にとどまらない。それは、以下を含むリスクの複雑なエコシステムを包含している。
ソフトウェアベンダー:富士通の事例 8 や国際的な事例 17 に見られるように、商用ソフトウェアに内在する脆弱性が直接的な脅威となる。
マネージドサービスプロバイダー(MSP)および委託先:保守サービス 12、データ処理 16、さらには給食配給 36 といった、ITとは直接関係ない委託先でさえも侵入の起点となり得る。
省庁間ネットワーク:近畿-沖縄の事例 1 のように、省庁とその地方局間の直接的なネットワーク接続は、信頼が暗黙のうちに仮定され、脆弱性が伝播しうる内部的なサプライチェーンとして機能する。
オープンソースソフトウェアへの依存:「Dependency Confusion」攻撃 18 に見られるように、政府システム内で使用されるオープンソースコンポーネントが侵害された場合、それがリスク源となる。
表3:日本政府におけるインシデントのサプライチェーン攻撃ベクトル分析
4.2 ベンダーおよび委託先のリスク管理の不備
委託先が関与するインシデント 12 は、調達時におけるセキュリティ要件の定義や、契約期間中の継続的な監視が不十分である可能性を示唆している。NISCのガイドラインは存在するものの、その実施は一貫していないように見える。ガイドラインでは、委託先がセキュリティ計画を提出し、政府機関が現地調査を行い、従事者を確認することが求められている 37。しかし、侵害が繰り返されている現実は、これらの方針と実践の間に乖離があることを示唆している。
さらに、サプライチェーンセキュリティにおける重要な課題の一つは、インシデント発生時の責任と義務の曖昧さである。インシデント対応、報告、損害賠償に関する責任分界点を明確にするため、契約内容を見直す必要性が認識されている 38。
4.3 相互接続システムにおける暗黙の信頼という誤謬
近畿-沖縄インシデントは、暗黙の信頼がもたらす危険性を最も明確に示している。内閣府ネットワークのセキュリティは、国土交通省の一地方局で実施されているセキュリティ対策に暗黙のうちに依存すべきではなかった。省庁間のドメインを隔てる堅牢なセグメンテーションやアクセス制御を欠いた、このようなフラットなネットワークアーキテクチャは、致命的な設計上の欠陥である。
これらのインシデントは、省庁内だけでなく、省庁「間」においてもネットワークセグメンテーションが急務であることを示している。接続は最小権限の原則に基づき、トラフィックは検査され、アクセスは厳格に制御されるべきであり、省庁間のトラフィックも外部からのトラフィックと同様の疑いを持って扱われる必要がある。
この分析から導き出される最も重要な点は、政府組織そのものが一つの巨大なサプライチェーンであるという認識である。省庁、機関、地方局が相互に接続された網は、それ自体が内部的なサプライチェーンを構成している。そこでは「信頼」が供給される製品であり、一つの「供給者」(例:国土交通省近畿地方整備局)の脆弱性が、連鎖全体(例:内閣府)を汚染しうる。この論理は、外部のサプライチェーン攻撃の構造と完全に一致する。したがって、外部サプライチェーンリスク管理のために設計された方針(審査、継続的監視、ゼロトラスト)は、省庁間の接続という「内部」に対しても適用されなければならない。政府はもはや、その内部ネットワークを単一の信頼されたゾーンとして扱うことはできない。
また、日本にはNISCの詳細なガイドライン 32 に見られるように、サプライチェーンリスクを管理するための高度な政策フレームワークが存在する。しかし、委託先やサードパーティ製ソフトウェアを起点とするインシデントが絶えない現実は、これらの方針の存在と、政府のあらゆる調達・運用における一貫した厳格な「実施」との間に、重大なギャップがあることを示している。問題は戦略の欠如ではなく、特にIT中心でない省庁や地方局において、その戦略を現場で実行するためのリソース、専門知識、あるいは権限が不足している可能性にある。
第5章 試練に立つ日本の国家サイバーセキュリティアーキテクチャ
本章では、これらのインシデントを踏まえ、日本の国家サイバーセキュリティ体制のパフォーマンスと構造を評価し、主要な機関と法的枠組みの有効性を検証する。
5.1 主要機関とその役割
内閣サイバーセキュリティセンター(NISC)
NISCは、国家サイバーセキュリティ戦略の策定、政府機関のセキュリティ監督、インシデント対応の調整を担う中核機関である 41。NISCに設置された政府セキュリティオペレーション連携チーム(GSOC)は、24時間365日体制で政府横断的なネットワーク監視を行っている 21。NISCが検知した不審な通信件数が2021年度の41件から2024年度には238件へと急増している事実は、脅威レベルの上昇と監視能力の向上の両方を示唆している 20。
JPCERTコーディネーションセンター(JPCERT/CC)
日本のナショナルCSIRTとして、JPCERT/CCはインシデントの調整、脆弱性情報の分析、脅威インテリジェンスの共有において極めて重要な役割を果たしている。特に、BlackTechのようなAPTグループに関する詳細な分析と情報発信は、国内の防御能力向上に貢献している 26。
デジタル庁
政府のデジタルトランスフォーメーションを推進するデジタル庁は、新しい政府情報システムのセキュリティ基準策定においても中心的な役割を担う。「セキュア・バイ・デザイン」のアプローチを推進し、脆弱性診断に関するガイドラインなどを策定している 45。
5.2 法的・戦略的枠組み
サイバーセキュリティ基本法
この基本法は、国、地方公共団体、重要インフラ事業者などの責務を定め、NISCおよびサイバーセキュリティ戦略本部の設置根拠となっている 47。また、国家レベルの「サイバーセキュリティ戦略」の策定を義務付けている 11。
サイバーセキュリティ戦略
この戦略文書は、官民連携の強化、サイバーセキュリティ人材の育成、国際協力の推進などを柱として掲げている 20。近年の改定では、サプライチェーンリスクへの対応が明確に優先事項として位置づけられている 32。
経済安全保障推進法
この比較的新しい法律は、重要インフラを防護するための措置を導入しており、セキュリティリスクを軽減するための特定重要設備の事前審査制度などが含まれる 33。指定された重要インフラ事業者に対し、サプライチェーンを含めたサイバー攻撃対策の実施を義務付けており、セキュリティ基準を強制するための強力な法的ツールとなっている 33。
5.3 対応の評価:強みと弱み
強み
一元的な監視(GSOC):GSOCのような政府横断的な監視機能の存在は、個々の省庁では見逃される可能性のある脅威を検知できる大きな強みである 21。
構造化された情報共有:情報共有・分析センター(ISAC)やサイバーセキュリティ協議会(J-CSIP)などの枠組みは、官民間の脅威情報共有を促進することを目指している 51。
進化する戦略:国家戦略は静的なものではなく、サプライチェーン攻撃や国際連携の必要性といった新たな脅威を反映して更新されている 32。
インシデントによって露呈した弱み
事後対応 対 事前対応:多くのインシデントは、ISP 10 やセキュリティベンダーといった外部からの警告によって事後的に発覚しており、政府ネットワーク内での能動的な脅威ハンティングによる事前検知が十分ではない。
一貫性のない実施:第4章で指摘したように、高度な国家戦略と、それが全ての政府機関、特に地方レベルで一貫して実施されることの間には明確なギャップが存在する。
調整の課題:NISCが中央調整機関であるものの、初期対応は依然として個々の省庁に委ねられている。近畿-沖縄インシデントは、インシデントが省庁の境界を越えた際の調整の難しさを浮き彫りにしており、コミュニケーションの遅延や断絶につながる可能性がある。
これらの評価から、「中央 対 周辺」という構造的なジレンマが浮かび上がる。日本はNISCやGSOCといった強力な中央サイバーセキュリティ機関を構築した。しかし、インシデントの分析が示すように、この中央の強みは、地方局、レガシーシステム、管理の緩い委託先といった「周辺」の弱さによって損なわれている。攻撃者は強固な中央を迂回し、脆弱な周辺を悪用しているのである。NISC/GSOCによる高度な監視体制 21 がありながら、地方局である近畿地方整備局が侵害され 1、末端機器であるIoTカメラが乗っ取られ 9、政府組織の周辺に位置する委託先が主要な侵害起点となっている 35。これは、中央集権的な防御だけでは不十分であり、セキュリティモデルをエッジまで押し広げ、中央からの監視だけでなく、あらゆる末端ノードでの基準の徹底と権限付与が必要であることを示している。
また、経済安全保障推進法は、重要インフラとそのサプライチェーンにおけるサイバーセキュリティを強制するための強力な法的根拠を提供する 33。しかし、その有効性は、今後の施行の厳格さに完全に依存する。「重要インフラ」がどのように定義され、事前審査がどれほど厳格に行われ、コンプライアンス監査がどれほど効果的に実施されるかによって、その真価が問われることになる。したがって、この法律はセキュリティ向上のための重要な「触媒」ではあるが、それ自体が自動的に安全を保障するものではない。今後は、法制化から、その精力的な施行と監督へと焦点を移さなければならない。
第6章 強靭なデジタル政府のための戦略的必須事項
本最終章では、前章までの分析を統合し、日本の政府機関のサイバーセキュリティを強化するための、具体的、実行可能、かつ戦略的な一連の提言を提示する。
6.1 政府のサプライチェーンの強化:方針から実践へ
全てのIT調達におけるセキュリティベースラインの義務化
ガイドラインから、監査可能な必須要件へと移行する。IT製品およびサービスに関する全ての政府契約には、NISCおよびデジタル庁の基準に基づいた、具体的かつ監査可能なセキュリティ統制を組み込むべきである 37。これには、セキュアなソフトウェア開発ライフサイクルの要求、定期的な第三者によるペネトレーションテストの実施、セキュリティ対策に関する透明性の高い報告などが含まれるべきである。
ベンダーおよび委託先の積極的な監査
NISCまたはデジタル庁の管轄下に、重要な供給者や委託先に対する定期的かつ能動的なセキュリティ監査を実施する専門チームを設立する。これには、既存のガイドラインで示されているような現地調査も含まれるべきである 37。これにより、信頼に基づくモデルから、検証に基づくモデルへと移行する。
契約における責任条項の標準化
供給者を起点とする侵害が発生した場合の責任の所在、インシデント報告の期限(例:24時間以内の通知)、協力義務などを明確に定義した標準的な契約文言を策定し、全ての政府契約においてその使用を義務付ける 39。
6.2 ゼロトラストアーキテクチャへの移行指令
政府全体のゼロトラストロードマップの策定
デジタル庁はNISCと連携し、全ての政府機関をゼロトラストセキュリティモデルへ移行させるための複数年にわたるロードマップを策定し、公表すべきである 54。これは、第2章で特定されたネットワーク境界の消滅に対する、論理的なアーキテクチャ上の回答である。
実装すべき主要なゼロトラスト原則
アイデンティティを境界とする:ネットワークベースの制御から、全てのユーザーとデバイスに対する強力な多要素認証へと移行する。
マイクロセグメンテーション:水平移動を防ぐため、詳細なネットワークセグメンテーションを実装する。国土交通省の地方局での侵害が、内閣府のネットワークに到達することは決してあってはならない。
侵害を前提とする:内部および省庁間のトラフィックを含む全てのネットワークトラフィックを、異常な活動の兆候がないか継続的に監視する。「信頼された」内部ネットワークという概念を排除する。
最小権限アクセス:ユーザーとシステムが、その機能に必要な特定のリソースにのみ、必要最小限の時間だけアクセスできるようにする。
6.3 国際連携と脅威インテリジェンスの強化
日米間の運用的協力の深化
政策対話のレベルを超え、より深い運用レベルでの統合へと進む。これには、リアルタイムの脅威インテリジェンス共有の拡大、政府ネットワークにおける共同の脅威ハンティング演習の実施、そして日本の防衛・インフラ関連組織を米サイバー軍やCISAの取り組みにより深く統合することが含まれる 34。この深化を可能にするためには、日本の民間パートナーに対する強固なセキュリティ・クリアランス制度の確立が不可欠である 55。
QUADを活用した地域的レジリエンスの構築
日米豪印戦略対話(QUAD)サイバーセキュリティ・パートナーシップを、防衛能力の増強装置として活用する。インド太平洋地域で活動するAPTに関するインテリジェンスの共有、国家が支援する偽情報キャンペーンへの共同対抗、そして信頼できるパートナー間での強靭なサプライチェーンを構築するための重要技術に関する共通のセキュリティ基準の確立といった共同イニシアチブに焦点を当てるべきである 56。
能動的な脅威ハンティングとインテリジェンスの統合
GSOCの能力を、受動的な監視から能動的な「脅威ハンティング」へと強化する 53。これは、警報を待つのではなく、ネットワーク内に侵害の兆候を積極的に探索するアプローチである。この活動は、国際的なパートナー(米国、QUAD)および国内の情報源(JPCERT/CC、ISAC)から得られる統合された脅威インテリジェンスによって支えられなければならない。
結論
本報告書で提示された提言は、人・プロセス(サプライチェーン管理)、技術・アーキテクチャ(ゼロトラスト)、そしてパートナーシップ・インテリジェンス(国際協力)という三つの領域にわたる、包括的な戦略を構成している。これらの領域のいずれか一つでも欠ければ、他の領域の努力を損なうことになる。例えば、ゼロトラスト(技術)を導入しても、不十分な審査(プロセス)によって高い権限を持つ委託先が侵害されれば意味がない。サプライチェーン契約(プロセス)を強化しても、政府のネットワークアーキテクチャがフラットで水平移動が容易(技術)であれば不十分である。完璧な技術とプロセスをもってしても、敵が用いる新たなTTPsを把握できなければ防御は失敗するが、それは強固な脅威インテリジェンス共有(パートナーシップ)によってのみ可能となる。したがって、これら三つの柱は選択肢のメニューではなく、同時に追求されなければならない、緊密に統合された相互補強的な戦略的必須事項である。
求められる overarching な戦略的転換は、コンプライアンス遵守を目的とした受動的なセキュリティ態勢から、脅威情報を活用した能動的な「アクティブディフェンス」への移行である。過去のインシデントの歴史は、単にチェックリストの項目を埋めるだけ(例:「ファイアウォールがある」)では機能しないことを示している。能動的な監査、脅威ハンティング、共同演習といった提言は、すべてアクティブディフェンスの要素である。このアプローチは、攻撃が「もしも」ではなく「いつか」の問題であると想定し、攻撃を検知し、耐え、迅速に回復する能力、すなわち「レジリエンス」に焦点を当てる。これは、日本の政府サイバーセキュリティにとって、静的な要塞を築くという考え方から、継続的な警戒、適応、そして脅威のランドスケープへの積極的な関与という、根本的な文化的・運用的な転換を意味するものである。
引用文献
近畿地方整備局のネットワークへの不正アクセスによる 個人情報漏えいの可能性について, 9月 19, 2025にアクセス、 https://www.kkr.mlit.go.jp/news/top/press/rirsjh0000008pm3-att/20250916-2nettowa-kuhenohuseiakusesu.pdf
近畿地方整備局のネットワークへの不正アクセスによる 個人情報漏えいの可能性について, 9月 19, 2025にアクセス、 https://www.kkr.mlit.go.jp/news/top/press/20250916-2nettowa-kuhenohuseiakusesu.html
国交省にサイバー攻撃、ネットワーク経由で内閣府に影響 - Security NEXT, 9月 19, 2025にアクセス、 https://www.security-next.com/174621
令和7年9月16日 沖縄総合事務局 内閣府沖縄総合事務局における ..., 9月 19, 2025にアクセス、 https://www.ogb.go.jp/-/media/Files/OGB/Soumu/sintyaku/Unnamed-item.pdf
国交省管轄サイトへ不正アクセス、登記情報19万4千件流出か - サイバーセキュリティ.com, 9月 19, 2025にアクセス、 https://cybersecurity-jp.com/news/16040
内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて, 9月 19, 2025にアクセス、 https://www.cao.go.jp/others/csi/security/20210422notice.html
内閣府のFileZenへの不正アクセスについてまとめてみた - piyolog, 9月 19, 2025にアクセス、 https://piyolog.hatenadiary.jp/entry/2021/04/25/033521
富士通に不正アクセス 国土交通省などの情報流出(2021年5月26日) - YouTube, 9月 19, 2025にアクセス、 https://www.youtube.com/watch?v=EVCydlyGMs4
補足説明資料 令和7年6月 サイバーセキュリティ統括官室 IoTの安心・安全かつ適正な利 - 総務省, 9月 19, 2025にアクセス、 https://www.soumu.go.jp/main_content/001014931.pdf
国土交通省が管理する簡易型河川監視カメラへの不正アクセスについてまとめてみた - piyolog, 9月 19, 2025にアクセス、 https://piyolog.hatenadiary.jp/entry/2023/03/05/011832
内閣府のファイル共有ストレージに不正アクセス、231名分の個人情報流出の可能性, 9月 19, 2025にアクセス、 https://s.netsecurity.ne.jp/article/2021/04/28/45589.html
近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省) | ScanNetSecurity, 9月 19, 2025にアクセス、 https://s.netsecurity.ne.jp/article/2019/08/21/42813.html
VPNのセキュリティは完璧ではない!?リスク・被害例・対策を解説 - 株式会社クエスト, 9月 19, 2025にアクセス、 https://www.quest.co.jp/column/vpn-security.html
VPN機器への攻撃が増加|事例と対策をセキュリティアナリストが解説 - NRIセキュア, 9月 19, 2025にアクセス、 https://www.nri-secure.co.jp/blog/vpn
世界的な緊張の影響が日本でも顕在化:国内における標的型攻撃の分析 | トレンドマイクロ (JP) - Trend Micro, 9月 19, 2025にアクセス、 https://www.trendmicro.com/ja_jp/research/25/g/2025-jp-apt-report.html
サイバーセキュリティ 2025 (2024 年度年次報告・2025 年度年次計画) - NISC, 9月 19, 2025にアクセス、 https://www.nisc.go.jp/pdf/policy/kihon-s/cs2025.pdf
信頼していた取引先が“侵入口”に!?サプライチェーン攻撃【10大脅威 ・第2位】 - アクモス, 9月 19, 2025にアクセス、 https://cloud-srv.acmos.co.jp/blog/2025_supplychain
【サイバーインテリジェンス】世界で広がるソフトウェアサプライチェーン攻撃の事例と対策 - PwC, 9月 19, 2025にアクセス、 https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/cyber-intelligence07.html
サプライチェーンセキュリティ調査 - 情報通信ネットワーク産業協会, 9月 19, 2025にアクセス、 https://www.ciaj.or.jp/ciaj-wp/wp-content/uploads/2025/03/technical20250317.pdf
サイバーセキュリティ 2025 (2024 年度年次報告・2025 年度年次計画) (案) - NISC, 9月 19, 2025にアクセス、 https://www.nisc.go.jp/pdf/council/cs/dai44/44shiryou1.pdf
サイバーセキュリティ 2025 (2024 年度年次報告・2025 年度年次計画) - NISC, 9月 19, 2025にアクセス、 https://www.nisc.go.jp/pdf/policy/kihon-s/250627cs2025.pdf
中国系サイバー攻撃集団「BlackTech」に関する注意喚起 手口と対処例を公表 - DataClasys, 9月 19, 2025にアクセス、 https://www.dataclasys.com/column/cyber_attack_alert_20230929/
中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について (注意喚起) - NISC, 9月 19, 2025にアクセス、 https://www.nisc.go.jp/pdf/press/20230927NISC_press.pdf
名古屋港サイバー攻撃、国交省発表にみるセキュリティ課題と対策ポイント - Trend Micro, 9月 19, 2025にアクセス、 https://www.trendmicro.com/ja_jp/jp-security/23/j/securitytrend-20231011-02.html
「BlackTech」による攻撃に注意|静岡県警察, 9月 19, 2025にアクセス、 https://www.pref.shizuoka.jp/police/kurashi/bohan/cyber/2005943.html
List of “BlackTech” - JPCERT/CC Eyes, 9月 19, 2025にアクセス、 https://blogs.jpcert.or.jp/en/tags/blacktech/
2023 年 9〜10 月の脅威動向と代表的な攻撃(前編)|BLOG - サイバートラスト, 9月 19, 2025にアクセス、 https://www.cybertrust.co.jp/blog/linux-oss/system-monitoring/vulnerability/security-threat-trends2309-01.html
APT グループと脅威アクター - Google Cloud, 9月 19, 2025にアクセス、 https://cloud.google.com/security/resources/insights/apt-groups?hl=ja
APT41 の新たな脅威活動 | Google Cloud 公式ブログ, 9月 19, 2025にアクセス、 https://cloud.google.com/blog/ja/topics/threat-intelligence/apt41-arisen-from-dust
北韓駭客組織Lazarus去年在日本發動APT攻擊,細部的攻擊手法首度在海外揭露 - iThome, 9月 19, 2025にアクセス、 https://www.ithome.com.tw/news/148151
What's new, 9月 19, 2025にアクセス、 https://www.jpcert.or.jp/english/update/2022.html
サイバーセキュリティ 2024 (2023 年度年次報告・2024 年度年次計画) - NISC, 9月 19, 2025にアクセス、 https://www.nisc.go.jp/pdf/policy/kihon-s/cs2024.pdf
経済安全保障推進法の 特定社会基盤役務の安定的な提供の確保に 関する制度について - 内閣府, 9月 19, 2025にアクセス、 https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/infra/doc/infra_gaiyou.pdf
不確実な時代における 日米のサイバーセキュリティ 推進と強靭化 - Pacific Forum, 9月 19, 2025にアクセス、 https://pacforum.org/wp-content/uploads/2024/02/JP-Pacific-Forum-Layout-January-2024-Pass-Pages.pdf
情報セキュリティ10大脅威 2025, 9月 19, 2025にアクセス、 https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/setsumei_2025_soshiki.pdf
サプライチェーン攻撃とは?3つの攻撃パターンと対策・事例など総まとめ - SAXA-DX Navi - サクサ, 9月 19, 2025にアクセス、 https://www.saxa.co.jp/saxa-dx_navi/case-study/ca0014-security-u01-n003.html
政府情報システムにおけるサイバーセキュリティに係る サプライチェーン・リスクの課題整理 - デジタル庁, 9月 19, 2025にアクセス、 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/f836e61e-3939-4513-8b38-261defc53874/5d54552f/20250225_policies_development_management_outline_03.pdf
サプライチェーンリスクとは?例や対策をわかりやすく解説 - LANSCOPE, 9月 19, 2025にアクセス、 https://www.lanscope.jp/blogs/cyber_attack_cpdi_blog/20231228_17830/
サプライチェーンリスクについて理解する - IPA, 9月 19, 2025にアクセス、 https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2022/ngi93u0000002jnu-att/000099269.pdf
資料5 | NISC, 9月 19, 2025にアクセス、 https://www.nisc.go.jp/pdf/council/cs/dai21/21shiryou05.pdf
COLUMN - 内閣サイバーセキュリティセンター(NISC)における不正アクセスとは?NISCの概要から不正アクセスの経緯までを解説!, 9月 19, 2025にアクセス、 https://cybergymjapan.com/column/5711/
サイバーセキュリティ対策の強化に向けた対応について, 9月 19, 2025にアクセス、 https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai1/siryou3.pdf
国家サイバー統括室 - 内閣官房, 9月 19, 2025にアクセス、 https://www.cas.go.jp/jp/gaiyou/jimu/nisc.html
JPCERT/CC Eyes, 9月 19, 2025にアクセス、 https://blogs.jpcert.or.jp/en/
我が国のサイバーセキュリティ戦略について - 総務省, 9月 19, 2025にアクセス、 https://www.soumu.go.jp/main_content/000853311.pdf
政府情報システムにおける 脆弱性診断導入ガイドライン 2024(令和 6)年 1 月 31 日 デジタル庁, 9月 19, 2025にアクセス、 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/b08708cd/20240131_resources_standard_guidelines_guidelines_05.pdf
重要インフラ等に係る サイバーセキュリティ政策の概要 - 経済産業省, 9月 19, 2025にアクセス、 https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/kappu_hambai/pdf/014_04_00.pdf
サイバーセキュリティ基本法 - e-Gov 法令検索, 9月 19, 2025にアクセス、 https://laws.e-gov.go.jp/law/426AC1000000104
産業分野における サイバーセキュリティ政策 - JNSA, 9月 19, 2025にアクセス、 https://www.jnsa.org/result/marketing/2024/2024-0.pdf
経済安全保障政策及びサイバーセキュリティ政策に関連する制度の概要, 9月 19, 2025にアクセス、 https://www.mlit.go.jp/kowan/content/001622295.pdf
重要インフラのサイバーセキュリティ対策に係る 国土交通省の取り組みについて - 運輸総合研究所, 9月 19, 2025にアクセス、 https://www.jttri.or.jp/semi220926_02.pdf
「サイバーセキュリティ2025」(NISC 2025年6月公表)要約, 9月 19, 2025にアクセス、 https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/630/index.html
NISC 喫緊のサイバー課題に対応へ - JAPANSecuritySummit Update, 9月 19, 2025にアクセス、 https://japansecuritysummit.org/2025/06/11595/
ゼロトラスト導入の第一歩は、どこから踏み出せば良いのか? | BizDrive(ビズドライブ)−あなたのビジネスを加速する - NTT東日本 法人のお客さま, 9月 19, 2025にアクセス、 https://business.ntt-east.co.jp/bizdrive/column/post_429.html
サイバーセキュリティと データセキュリティの日米協力がなぜ両国の経済安全保障に不可欠か, 9月 19, 2025にアクセス、 https://spfusa.org/publications/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%81%A8-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%81%AE%E6%97%A5/
QUADにおけるサイバーセキュリティを考察する | 記事一覧 | 国際情報ネットワークIINA 笹川平和財団, 9月 19, 2025にアクセス、 https://www.spf.org/iina/articles/diletta_01.html
QUAD サイバー・チャレンジ - NISC, 9月 19, 2025にアクセス、 https://security-portal.nisc.go.jp/cybersecuritymonth/2023/quad/index.html
令和5年版防衛白書|5 サイバー領域での対応, 9月 19, 2025にアクセス、 http://www.clearing.mod.go.jp/hakusho_data/2023/html/n310405000.html
