自治体・公共団体のご担当者様へ
住民情報を守る第一歩を、「PCログイン」から
住民情報を守る第一歩を、
「PCログイン」から
~マイナンバーや住民台帳、LGWAN接続端末を守る簡単な方法~
~マイナンバーや住民台帳、
LGWAN接続端末を守る簡単な方法~
1. 自治体セキュリティの「最後の穴」をふさぐ
近年、マイナンバー制度や自治体DXの推進に伴い、地方自治体の業務における情報システムの重要性は飛躍的に高まっています。これに伴い、住民情報や行政内部データを狙ったサイバー攻撃も急増しており、「自治体は標的である」という前提でのセキュリティ強化が求められる時代に突入しています。
この流れを受けて、総務省および地方公共団体情報システム機構(J-LIS)は、自治体情報セキュリティ強靭化方針を策定し、LGWANやインターネット分離、セキュリティクラウドの導入など、多層防御の体制整備を全国的に推進してきました。しかしサイバー攻撃の多くは、ID・パスワードの窃取から始まります。
J-LIS(地方公共団体情報システム機構)の推進する「自治体情報セキュリティ強靭化方針」においても、端末単位での多要素認証(MFA)導入は不可欠な対策です。
※LGWAN(エルジーワン)とは
Local Government Wide Area Networkの略称で、地方公共団体専用の閉域ネットワークです。
インターネットから完全に隔離されており、マイナンバーや住民基本台帳など、機密性の高い業務で利用されます。
その一方で、多くの自治体現場では、PCログインという「物理的な入口」の防御が後回しになっているのが実情です。
たとえば、次のような状態がよく見られます。
- LGWAN接続端末やマイナンバー取扱端末に、いまだに「パスワードのみ」でログインしている
- PCを複数人で使い回しており、誰が操作したのか記録されていない
- 離席中の端末を第三者が操作できるなど、物理的アクセスの制御が甘い
- アカウント情報の使い回しや、初期設定パスワードを変更していないケースが散見される
このような状態は、どれだけシステム上で暗号化やファイアウォールを整備していても、「人による侵入」や「操作のなりすまし」を防ぐことができないという致命的なリスクをはらんでいます。
たとえ内部での不正や過失が起きたとしても、「誰が・いつ・何をしたのか」を証明できない状態では、組織としての説明責任や対策の立案すら困難になります。
このような背景をふまえ、J-LISが発行するガイドラインや、各都道府県で実施されている自治体監査では、操作履歴の記録、端末ごとの本人認証、アカウントの適切な管理といった具体的な項目がチェックポイントとして明示されるようになっています。
それにもかかわらず、なぜログイン認証が“最後の穴”になってしまうのでしょうか?
理由は明快で、「OSログインの強化は手間がかかる」「導入が難しそう」という運用上の懸念や誤解が、導入の障壁になっているからです。
そこで私たちは、「現場の手間を最小限に抑えながら、最大限のセキュリティを担保する」ことを目指し、アプリップリキーというMFA(多要素認証)ソリューションを提案しています。
これは、PCログイン時にワンタイムパスワード認証を追加するだけで、端末を誰が使っているのかを明確にし、不正利用を防止するという「入口対策」です。
また、導入や運用に大規模なシステム変更は必要なく、既存のネットワーク構成や職員のITリテラシーにも配慮された仕組みとなっています。
自治体が抱えるセキュリティ課題は、「特別な機器」や「新しいシステム」だけで解決できるものではありません。
むしろ、日々の業務で使用されている「1台1台の端末」への意識と仕組みこそが、最大の防御線です。
アプリップリキーは、その端末一つひとつのログインから、安全と信頼の基盤を築いていきます。
そして、J-LIS方針に準拠したセキュリティ強化と、現場負担の軽減を両立させることができる、現実的かつ実効性のある選択肢といえます。
2. Applippli-Key(アプリップリキー)とは?
PCのOSログオン時にスマホの認証アプリ(TOTP)を追加することで、
自治体端末への不正ログインを防止するMFAソリューションです。
- 対応OS:Windows 10/11、Windows Server 2016以降
- 認証方式:TOTP(Google/Microsoft Authenticator対応)
- 暗号化:AES-256
- 価格(税別):
・クライアントライセンス ¥600/月(初期費用 ¥8,000)
・サーバーライセンス ¥55,000/月(初期費用 ¥100,000)
特長
- LGWAN接続端末やマイナンバー端末に最適
- 導入・運用が軽く、ネットワーク構成に依存しない
- 証跡の記録でJ-LISガイドラインに対応
- クラウド/オンプレ環境のいずれにも導入可能
3. なぜOSログインにMFAが必要か?
| 課題 | 内容 |
|---|---|
| 入口対策の不足 | OSログインがパスワードだけだと、誰でもアクセス可能 |
| J-LIS方針とのギャップ | セキュリティ強靭化における証跡・アクセス制御が不十分 |
| 内部不正の温床 | 共用PC・貸与端末のなりすまし利用、責任の不明確化 |
| マイナンバー保護の危機 | 離席中の端末や、暗号化されていない状態のデータへの物理的アクセスの制御不足 |
※横スクロールします
4. MFA導入によるBefore/After
| 項目 | 導入前(Before) | 導入後(After) |
|---|---|---|
| 認証の安全性 | パスワードのみ | ワンタイムパスワードで本人確認強化 |
| 証跡管理 | 共用アカウントで操作履歴が不明 | ログイン履歴を取得、監査対応も容易 |
| 内部不正リスク | 離席時や貸与PCのなりすまし | MFAによる操作主体の明確化 |
| 住民情報の安全性 | USB持ち出し・内部流出の可能性 | 不正アクセスを入り口で遮断 |
※横スクロールします
5. 被害事例から学ぶ(実例)
【事例①】静岡県沼津市:ICT職員による端末不正アクセス(2024年8月〜2025年3月)
• 概要:ICT推進課に所属する職員4名が、業務用端末管理システムを業務以外の用途で私的に使用し、他職員の端末画面を合計2,867回不正に閲覧・操作。うち、特定職員の人事情報などが含まれる不当利用もありました。
• 原因:管理者アカウントが「パスワードのみ」で、MFA等によるアクセス制御が未導入だったため、権限濫用がしやすい状況に。
• 被害・影響:
o 懲戒処分(停職・減給・戒告など)発令
o 市長が会見で陳謝し、全庁的な監査体制・ポリシー見直しを宣言
o 住民や職員の信頼が著しく損なわれる事態に発展
• 対策:特権アカウントへの厳格なログイン制御(MFA・多層認証)と、操作履歴の定期監視体制が不可欠。
• 出典:静岡県沼津市ニュースリリース 他
【事例②】大阪市:生活保護情報を含むPC紛失(2019年)
• 概要 : 大阪市の生活保護課職員が、生活保護受給者の情報が保存されたPCを出張時に持ち出し、そのまま紛失。紛失から報告までに時間がかかり、住民への説明が後手に回る。
• 対象情報:生活保護受給者の氏名、住所、扶養・支援記録、DV被害履歴等
• 原因:
o PCのログイン管理がパスワードのみ、MFAや端末制御が導入されていなかった。
o 業務用端末に対するセキュリティ教育・チェックが十分でなかった。
• 被害・影響 :
o 個人情報保護委員会からの聴取対応
o 議会・メディアでも批判され、行政の情報管理に不信感
• 対策:特定個人を傷つけるリスクの高い情報(DV・扶養・保護履歴等)こそ、端末レベルでの強力な認証管理(MFAやロック制御)が必要。
• 出典:読売新聞大阪版(2019年3月)大阪市会 市政資料(内部資料)
近年では他にも、
・沖縄県宜野湾市:職員が部署外人事情報を長期間不正閲覧(2021年発覚)
・宮崎県小林市:職員による住民情報不正閲覧(2021年–2024年7月)
・愛知県:公用パソコン紛失(2024年6月)
・兵庫県:元局長の公用PCからの情報流出(2024年5月公表)
など、これらは氷山の一角ではないかとも言われています。
しかし、これらのほとんどの問題は、ログインや利用時の認証に脆弱性があり、OSが簡単に開かれたことにあります。
これはまさに、OSログインにアプリップリキーのようなMFAを導入していれば、実害の大半は防げた可能性があることを示しています。
6. アプリップリキー導入の流れ
- ヒアリング・対象端末の選定
- PoC導入(最大10端末程度)
- 本格導入・職員向け説明会の支援
- 監査対応・運用マニュアルも提供
※PoC導入(試験導入)は最短10~20分程度で可能です
7. ご提案のまとめ
アプリップリキーは、次のような価値を自治体にもたらします
- J-LISガイドラインに即したMFA導入で、住民情報を入口から守る
- LGWAN端末のOSログオンを技術的に補完
- マイナンバー制度における操作証跡・アクセス制御を強化
- 軽量導入・低コスト・容易な運用で現場負担を最小化
- まずはPoC導入から、段階的に展開が可能
導入相談、デモ依頼、お見積り等、お気軽にご連絡ください。
安全・簡単・確実なログインで、住民の信頼を守る一歩を。