いま自治体や公共機関を標的にしたサイバー攻撃が急増しています。ランサムウェアによるシステム停止、DDoS攻撃によるWEBサービス障害、自治体サイトの改ざんなど、こうした被害は単なる「情報システム部門のトラブル」ではありません。住民サービスの停止、行政への信頼低下、緊急時対応の混乱など、自治体運営そのものに大きな影響を及ぼします。

とくに近年では、ガバメントクラウド移行や外部委託の拡大により、管理対象や攻撃対象が広がっています。「うちは大丈夫」と考えていても、委託先や外部接続を経由して被害が発生するケースも珍しくありません。

今回は、地震・洪水などの自然災害を中心とした従来のBCP（事業継続計画）だけでなく、サイバー攻撃をうけた際のサイバーBCPについてご紹介します。

目次

1. サイバーBCPとは？従来BCPとの違い
2. 自治体が想定すべきサイバー攻撃とは
3. なぜ自治体にサイバーBCPが必要なのか
4. 自治体特有の課題
5. サイバーBCPは何から始めるべきか
6. 自治体サイトを止めないために重要な対策
7. 自治体向けサイバーBCPチェックリスト

1. サイバーBCPとは？従来BCPとの違い

BCP（Business Continuity Plan：事業継続計画）とは、災害や障害が発生した際に、業務を継続・早期復旧するための計画です。自治体では長年、地震・洪水などの自然災害を想定したBCPが整備されてきました。

一方で、サイバー攻撃は自然災害とは大きく性格が異なります。たとえば自然災害では、「被害が発生したこと」が比較的わかりやすく、外部支援を受けながら業務継続を図る判断が基本になります。しかしサイバー攻撃では、

• いつ侵入されたかわからない
• どこまで被害が広がっているかわからない
• システムが動いているように見える
• 気づかないまま情報漏えいが進行する

といったケースが発生します。

さらに厄介なのが、「システムを止める判断」が必要になることです。

ランサムウェア感染や不正アクセスの疑いがある場合、業務を継続すると被害が拡大する可能性があります。そのため、あえて一時的にシステムを停止し、封じ込めを優先する判断が必要になるケースがあります。これは、自然災害時のBCPとは逆の発想です。

つまりサイバーBCPでは、「業務継続」と「被害拡大防止」を同時に考えなければなりません。この意思決定の難しさこそが、自治体におけるサイバーBCP策定の重要なポイントです。

2. 自治体が想定すべきサイバー攻撃とは

自治体に求められるサイバーBCPを考えるうえでは、「どのような攻撃が起きうるのか」を具体的に理解しておく必要があります。

ここでは、自治体が特に注意したい代表的なサイバー攻撃と関連用語を整理します。

ランサムウェア

ランサムウェアは、データを暗号化し、その復号と引き換えに身代金を要求するマルウェアです。近年は自治体や医療機関など、「止まると社会影響が大きい組織」を狙うケースが増えています。

自治体が感染した場合、

• 住民情報システム停止
• メール停止
• 窓口業務停止
• 税・福祉関連業務停止

など、行政サービスそのものに影響が及ぶ可能性があります。

バックアップが存在していても、

• バックアップ自体が暗号化されていた
• 復旧手順が整理されていなかった
• 復旧優先順位が決まっていなかった

ことで、長期間復旧できないケースもあります。

DDoS攻撃

DDoS（分散型サービス妨害）攻撃は、大量のアクセスを送りつけることでWEBサイトやシステムを停止させる攻撃です。

2024年以降、自治体サイトへのDDoS攻撃事例も報告されており、

• 防災情報ページ
• 申請受付ページ
• 問い合わせフォーム

などが利用できなくなるケースも発生しています。
とくに災害時や選挙時など、アクセス集中と攻撃が重なると、住民への影響が大きくなります。

WEBサイト改ざん

WEBサイト改ざんは、自治体サイトの内容が不正に書き換えられる攻撃です。
とくに危険なのは、

• フィッシングサイトへの誘導
• 不審な広告表示
• 偽情報掲載
• マルウェア配布

などに悪用されるケースです。
しかも改ざんは、
「サイトが普通に表示されているように見える」ため、発見が遅れやすいという特徴があります。
住民が改ざんページを閲覧し続けることで、自治体自身が被害拡大の起点になってしまうリスクもあります。

サプライチェーン攻撃

サプライチェーン攻撃とは、自治体本体ではなく、委託先やベンダーを経由して侵入する攻撃です。
近年は、

• WEB運用委託先
• 保守ベンダー
• クラウド事業者
• 外部接続機器

などを経由した被害が増えています。
とくにガバメントクラウド移行期は、

• 一時的な権限拡大
• 接続経路増加
• 外部関係者増加

などにより、リスクが高まりやすい時期でもあります。

CSIRT（シーサート）

CSIRT（Computer Security Incident Response Team）は、サイバー攻撃発生時に対応を行う専門チームです。
主な役割は、

• 攻撃の検知
• 被害範囲調査
• 初動対応
• 復旧支援
• 再発防止

などです。
大規模自治体では専門部署を持つケースもありますが、小規模自治体では兼務体制になっていることも少なくありません。
そのため、
「誰が、何を、どのタイミングで判断するか」
を事前に整理しておくことが重要になります。

RTO・RPO

サイバーBCPでは、RTOとRPOの考え方も重要です。
RTO（目標復旧時間）
インシデント発生から、どれくらいの時間で業務復旧を目指すかを示す指標です。

RPO（目標復旧時点）
どの時点までデータを戻せれば許容できるかを示す指標です。

たとえば、

• 1時間前まで復旧できればよい
• 前日夜時点まで戻せればよい

など、業務ごとに許容範囲を決める必要があります。

RTO・RPOが曖昧なままだと、

• バックアップ設計
• 復旧優先順位
• 住民対応

の判断が難しくなります。

3. なぜ自治体にサイバーBCPが必要なのか

「うちはまだ被害を受けていないから大丈夫」——そう感じている担当者の方も多いかもしれません。しかし、サイバー攻撃による被害は「システムが止まる」だけでは終わりません。自治体が受けるダメージは、技術的な問題をはるかに超えて、住民との信頼関係や財政にまで及ぶことがあります。以下に想定されるリスクをまとめます。

住民からの信頼低下

住民票・税・福祉など生活に直結する情報を預かる自治体がサイバー被害を受けると、「個人情報は大丈夫か」「行政を信頼していいのか」という不安が広がります。一度失った信頼の回復には、長い時間がかかります。

復旧コストの膨張

サイバー攻撃からの復旧には、想像以上のコストと時間がかかります。システムの再構築、外部専門家への委託費、職員の超過勤務——これらはすべて税金から賄われます。

風評被害と情報拡散

SNSやニュースを通じて被害情報はあっという間に拡散します。「○○市のサイトは危険」という情報が広まれば、住民の公式サイト離れや窓口業務の混雑など、二次的な混乱が生じます。改ざんされたページが長期間放置されると、その間も誤情報が住民に届き続けます。

法的責任と説明義務

個人情報保護法の改正により、個人情報の漏洩が発生した場合、自治体は個人情報保護委員会への報告と本人への通知が義務づけられています。対応が遅れたり不十分だったりすると、さらなる批判や行政指導を受けるリスクがあります。

4. サイバー攻撃における、自治体特有の課題とは

「サイバー攻撃への備えが必要なのはわかっている。でも、何から手をつければいいのか」——多くの自治体担当者が感じるこの迷いの背景には、自治体ならではの構造的な難しさがあります。以下に、現場で実際に起きやすい状況とその理由を整理します。

１．攻撃を受けていても「気づけない」

よくある状況

「住民からメールが届いた。『御市のサイトからフィッシングサイトに飛ばされた』と——確認してみると、WEBサイトが数日前から改ざんされていた。職員は誰も気づいていなかった」

なぜ自治体で起きやすいか

ランサムウェアのように「突然業務が止まる」攻撃と違い、WEBサイトの改ざんや情報の静かな流出は、システムが「動いているように見える」ため発見が大幅に遅れます。自治体では住民向けWEBサイトを多数運用しているケースが多く、すべてのページを日常的に目視確認するのは現実的ではありません。

被害発覚が遅れると、その間に住民が改ざんされたページを閲覧し続け、自治体が「加害者」になるリスクが生じます。

２．ローテーション人事で専門性を維持しづらい

よくある状況

「昨年まで福祉課にいた職員が、今年から情報システム担当になった。ガイドラインを読もうとしたら総務省の文書だけで413ページあった——どこから読めばいいかもわからない」

なぜ自治体で起きやすいか

自治体では、数年単位での異動が一般的です。そのため、セキュリティ知識やシステム運用ノウハウ、インシデント対応経験が蓄積されにくいという課題があるようです。

一方で、サイバー攻撃は年々高度化しています。総務省ガイドラインやNISC関連文書も情報量が多く、通常業務と並行して読み込み、実務へ落とし込むのは大きな負担です。結果として、セキュリティ、BCP、ベンダー調整、監査対応などを一人で抱える「セキュリティ何でも係」状態になりやすいのです。

３．「サービスを止める」判断が極めて難しい

よくある状況

「不正アクセスの疑いがある。でも今日は確定申告の締め切り日で、住民が窓口に並んでいる。システムを止めれば住民対応が完全にストップする——どう判断すれば？」

なぜ自治体で起きやすいか

自治体が提供するのは、住民票・税・福祉・防災情報など生活に直結するサービスです。システムを止めることは、住民への直接的な影響を意味します。しかし、攻撃を受けたまま稼働を続ければ被害が拡大し、情報漏洩が広がる可能性があります。

「一時的にシステムを止めることで被害を封じ込める」という判断を、誰が・どのタイミングで・どの情報をもとに行うかをBCPに明記しておかないと、現場は動けません。

「止める判断」を事前に設計していない自治体では、インシデント発生時に関係者間の協議に時間がかかり、その間も被害が拡大するリスクがあります。

４．ガバメントクラウド移行期はとくにリスクが高い

よくある状況

「クラウド移行の作業中、外部ベンダーが多数出入りしていた。移行期間中に限り、アクセス権限を一時的に緩めていた——そこを突かれた」

なぜ自治体で起きやすいか

ガバメントクラウドへの移行は、多くの自治体が現在進行中です。移行期間中はオンプレミスとクラウドを並行運用するため、通常より多くの管理者アカウントが発行され、アクセス権限も一時的に緩和されます。この「移行期特有の隙間」を狙った標的型攻撃が2025年に複数報告されています。

クラウド移行が「完了してから対策する」では遅い可能性があります。移行作業中こそBCPと監視体制の強化が必要です。

５．委託先依存によるサプライチェーンリスク

よくある状況

「WEBサイトの運用はベンダーに委託している。だからセキュリティ管理もベンダーの責任——そう思っていたが、被害が起きたとき住民に謝罪したのは市長だった」

なぜ自治体で起きやすいか

一般的にWEB運用やシステム保守、サーバー管理などは外部委託するケースがほとんどです。これは現実的な運用ですが、「委託しているから大丈夫」という認識には注意が必要です。
サプライチェーン攻撃では、委託先や再委託先を経由して侵入されるケースがあります。そして、実際に住民へ説明責任を負うのは自治体です。
そのため、インシデント時の連絡体制や対応範囲、報告義務、ログ提出などを事前に整理しておく必要があります。

６．BCP策定で終わり、「訓練」まで手が回らない

よくある状況

「BCPは2年前に策定した。でも一度も訓練をしていない。いざインシデントが発生したら、担当者が何の資料を見ればいいかさえわからなかった」

なぜ自治体で起きやすいか

日常業務が繁忙な自治体では、訓練の実施までなかなか手が回らないのが実情です。重要なのは、「策定すること」ではなく、「実際に動けること」です。

そのためには、完璧な演習でなくても、机上訓練や連絡訓練、シナリオ確認などを定期的に実施することが重要です。

5. 自治体のサイバーBCPは何から始めるべきか

「必要なのはわかっている。でも、人手も時間も足りない」これは、多くの自治体担当者が抱えている現実的な悩みです。
総務省やNISCのガイドラインを読もうとしても、情報量が多い、通常業務で手が回らないなどの理由から、なかなか着手できないケースも少なくありません。

しかし、サイバーBCPは最初から完璧を目指す必要はありません。
重要なのは、「まず動ける状態を作ること」です。
ここでは、自治体担当者からよく聞かれる疑問をもとに、現実的な進め方を整理します。

Q.攻撃を完全に防ぐのは無理だと思っている。どう考えればいい？

その認識は正しいです。セキュリティ専門チームを抱える大企業でも被害は出ています。「防ぐ」ことに全力を注ぐより、「攻撃されたときにいち早く気づける仕組みがあるか」という視点に切り替えると、現実的な一歩が見えてきます。

気づきが1時間早まれば、初動が早まり、被害範囲が変わります。「気づく」ことはセキュリティ対策の中でも、比較的小さなコストで始められる部分です。まずは、

• WEB改ざん検知
• ログ監視
• アラート通知

など、「異常に気づける仕組み」を整備することが重要です。

Q.インシデントが起きたとき、誰が何をするか決まっていない。何を決めておけばいい？

「誰が・何を・いつ判断するか」が決まっていないことが、インシデント発生時に最も時間を浪費する原因です。現場担当者が上席への報告・確認に追われる間にも、被害は静かに広がっていきます。

分厚いBCPマニュアルを作る前に、まず「緊急連絡フロー」と「判断権限の一覧」を1〜2枚の紙にまとめるだけでも、動ける状態は格段に変わります。

最低限決めておきたい3つ

1. 誰が最初の報告を受けるか
2. 誰がサービス停止を判断するか
3. 住民への情報公開は誰の承認で行うか

Q.専門人材がいない。委託先に任せているが、それで十分？

委託先に任せること自体は現実的な選択です。ただ、インシデントが起きたとき、住民に謝罪するのは首長です。委託先が「うちの責任範囲外」と言ったとき、自治体が動けるかどうかは、契約内容と事前の取り決め次第です。

「任せる」と「丸投げ」は違います。委託先との間で「インシデント発生時の連絡タイミング」「対応範囲の分担」「報告書の提出義務」を事前に合意しておくことが、いざというときの差になります。

Q.BCPは策定したことがある。でも一度も使っていない。問題ある？

策定していること自体は大事な一歩です。ただ、一度も訓練をしていないBCPは、緊急時にほぼ機能しないことが多いです。「あの文書どこにあったっけ」という状況は、現場では珍しくありません。

年に1回、30分の机上演習（「もし今日ランサムウェアに感染したら、誰に何を報告する？」という問いかけだけでも）をやってみると、BCPの抜け穴が自然と見えてきます。完璧な訓練でなくても「一度やってみる」ことの効果は思った以上に大きいです。

訓練のハードルを下げるコツとしては、シナリオを「WEBサイトが改ざんされた」「住民から不審なメールが届いたと報告があった」など、身近な具体例から始めると参加者が動きやすくなります。

Q.小規模自治体でもサイバーBCPは必要ですか？

必要です。近年のサイバー攻撃は、「大規模自治体だけ」を狙うものではありません。むしろ、人手不足、専任担当不在、委託依存、古いシステム運用などを抱える組織が狙われるケースもあります。

また、自治体は規模に関係なく、住民情報、税情報、福祉情報など重要なデータを扱っています。「小さい自治体だから狙われない」ではなく、「限られた体制でも、どう被害を最小化するか」を考えることが重要になります。

Q.サイバーBCPは、どの順番で進めればいいですか？

すべてを一気にやろうとすると行き詰まりやすいです。多くの自治体が実際に取っている進め方として、以下のような段階が参考になるかもしれません。

１．まず「動ける状態」を作る

• 緊急連絡フロー整理
• 判断権限明確化
• 委託先連絡体制確認

２．次に「気づける状態」を作る

• WEB改ざん検知
• ログ監視
• アラート通知
• 外部公開資産管理

３．最後に「継続できる状態」を作る

• 机上訓練
• 定期見直し
• 委託先確認
• ガイドライン更新対応

サイバーBCPは、「完璧に作ってから動く」ものではありません。むしろ、「小さく始めて、継続的に改善する」ことが、現実的で実効性の高い進め方になります。

次の章では、「気づける状態」を作るうえで重要となる、WEBサイト改ざん検知について整理します。

6. 自治体サイトを止めないために重要なBCP対策

サイバー攻撃によって自治体サイトが停止・改ざんされると、住民生活にも直接影響が及びます。ここでは、自治体サイトを守るうえで重要な対策をご紹介します。

WEB改ざん検知

コンテンツ変更をリアルタイムまたは短時間で検知する仕組みです。特に、

• トップページ改ざん
• 不審リンク挿入
• JavaScript埋め込み
• フィッシング誘導

などを早期発見できるかが重要になります。

ログ監視

• 不審アクセス
• 深夜ログイン
• 異常通信

などを確認できる状態を作ります。改ざん後の原因調査や封じ込めにも重要です。

バックアップ管理

復旧には「正常な状態へ戻せること」が必要です。そのため、

• オフライン保管
• 世代管理
• 復元確認

まで含めて設計する必要があります。

緊急遮断フロー

改ざんが発覚した際、

• 誰が
• どのタイミングで
• 公開停止を判断するか

を事前に決めておく必要があります。判断が遅れるほど、被害拡大リスクが高まります。

外部公開資産の棚卸し

自治体では、過去に作成されたサイトやサブドメインが放置されているケースもあります。こうした「管理されていない公開資産」が攻撃対象になることも少なくありません。定期的に、

• 何が公開されているか
• 誰が管理しているか
• 更新されているか

を確認する必要があります。

7. 自治体向けサイバーBCP策定チェックリスト

サイバーBCP策定に向けた初動確認として、以下を参考にしてください。

サイバーBCP初期チェックリスト

基本方針・体制

• □ サイバー攻撃を想定したBCPを策定している
• □ 自然災害BCPとは別に、サイバーインシデント対応を整理している
• □ インシデント発生時の指揮命令系統が明確になっている
• □ 「誰がサービス停止を判断するか」が決まっている
• □ 夜間・休日の緊急連絡フローが整理されている

システム・復旧計画

• □ 業務ごとのRTO（目標復旧時間）が定義されている
• □ 業務ごとのRPO（目標復旧時点）が整理されている
• □ バックアップ取得状況を把握している
• □ オフラインまたは分離環境でバックアップを保管している
• □ バックアップからの復旧確認を定期的に実施している

WEBサイト・外部公開資産管理

• □ 外部公開WEBサイトを棚卸しできている
• □ 管理者不明のサブドメインや古いサイトが放置されていない
• □ WEB改ざん検知体制を整備している
• □ 不審アクセスや異常通信を監視できる状態になっている
• □ 改ざん発覚時の公開停止フローが決まっている

委託先・サプライチェーン管理

• □ 委託先のセキュリティ対策状況を定期確認している
• □ 再委託先の有無を把握している
• □ インシデント発生時の報告義務を契約で整理している
• □ ログ提出や調査協力範囲を明確化している
• □ 委託先を含めた連絡体制を確認している

訓練・運用

• □ 年1回以上、机上訓練または演習を実施している
• □ 新任担当者への引き継ぎ手順が整理されている
• □ BCPを定期的に見直している
• □ ガバメントクラウド移行に伴うリスクを整理している
• □ 住民向け情報公開手順を準備している

総務省の2025年版ガイドラインでは、BCPの策定だけでなく「実行可能性の確認」が重要視されています。文書を作成するだけでなく、定期的な訓練を通じて実効性を確認・改善し続けることが、真のサイバーレジリエンスにつながります。

改ざん検知サービスF-PATは即日導入可能

改ざん検知サービス「F-PAT（ファイルパトロール）」は、公開ファイル最大10万件を最短1時間ごとに監視。改ざんを検知したらメールで即時通知します。複雑な設定は不要で、専門知識がなくても運用できます。担当者が異動で変わっても、引き継ぎの手間なく継続運用が可能です。

まずは１ヵ月無料トライアルでお試しください。

▶ 無料トライアルに申し込む
▶ 資料をダウンロードする

関連記事
▶ 自治体サイトの改ざん対策と検知｜WordPress担当者が今すぐ見直すべき設定と運用