重要インフラ統一基準（案）が自治体に与える3つの衝撃

2026年4月21日、内閣官房 国家サイバー統括室（NCO）は「重要インフラ統一基準（案）」をe-Govパブリック・コメントで公表した。意見募集期間は2026年5月17日まで、施行は2026年10月を予定している。

この基準案が自治体IT担当者にとって重要な理由は3つある。

第1に、地方公共団体の行政サービスが重要インフラとして明示された。 従来の「重要インフラのサイバーセキュリティに係る行動計画」（NISCが策定・管理）では、重要インフラ15分野として「政府・行政サービス（地方公共団体を含む）」が明記されてきた（出典: 重要インフラ(全15分野)の概要 / NISC）。しかし今回の統一基準案は、分野ごとにバラバラだったセキュリティ対策基準を横断的に統一するものであり、自治体側にも具体的なセキュリティ水準の達成が求められる。

第2に、「閉じたネットワークは安全」という誤解への警告が明示された。 松本剛明デジタル大臣は2026年4月21日の発表で、「クローズドなネットワークなら大丈夫という誤った安全感を捨て、サプライチェーンを通じた脆弱性の連鎖リスクを認識すべきだ」と述べた。自治体が長年依存してきた「三層の対策（ネットワーク分離）」だけでは、もはやサイバー攻撃に対応できないという政府の認識が明確になった。

第3に、実施計画の策定期限は2027年夏を目処とする方向性が示されている。 2026年10月の施行はインシデント報告体制の起動を意味し、その後に資産届出（2027年4月予定）、実施計画策定と続く。自治体は今から準備スケジュールを組む必要がある。

---

なぜガバメントクラウドがセキュリティ対策の中核になるのか

ISMAP登録という「入口審査」

ガバメントクラウドを構成するクラウドサービスは、**ISMAP（政府情報システムのためのセキュリティ評価制度）**への登録が必須条件である（出典: ISMAP公式サイト）。

ISMAPは米国のFedRAMPを参考に設計された日本版のクラウドセキュリティ認証制度であり、政府が求める1,000以上の管理項目を第三者評価機関が審査する。2026年時点でガバメントクラウドに採択されているのは以下の5事業者である。

事業者	サービス名	分類
Amazon Web Services	AWS	外資系
Google	Google Cloud	外資系
Microsoft	Azure	外資系
Oracle	Oracle Cloud Infrastructure (OCI)	外資系
さくらインターネット	さくらのクラウド	国産（2026年3月〜本番提供）

いずれもISMAP登録済みであり、デジタル庁が定める305項目の技術要件（2026年度募集基準）を満たしていることが確認されている（出典: 令和8年度募集 調達仕様書 / デジタル庁）。

自治体が独自調達する場合、このレベルのセキュリティ審査を個別に行うことは現実的ではない。ガバメントクラウドを利用するだけで、ISMAPの審査済み基盤の上にシステムを構築できる点は、重要インフラ基準への準拠を考えるうえで大きなアドバンテージになる。

ゼロトラストアーキテクチャへの移行

デジタル庁は2024年5月、自治体ネットワークの「三層の対策（三層分離）」を段階的に廃止し、ゼロトラストアーキテクチャへ移行する方針を発表した（2030年頃の完了を目標）。

ゼロトラストの考え方は「ネットワーク内部だからといって信頼しない」というものだ。これは重要インフラ統一基準案が指摘する「閉じたネットワーク神話」の打破と完全に一致する。ガバメントクラウドは、このゼロトラスト原則に基づいた設計がなされており、以下の機能を標準提供している。

• 多要素認証（MFA）の標準実装
• 暗号鍵管理（FIPS 140-2 Level 1準拠 / BYOK対応）
• 監査ログの自動収集・削除防止（デジタル庁の「自動適用テンプレート」による）
• テナント分離による自治体間のデータ独立性確保

以下の図は、三層分離モデルからガバメントクラウドのゼロトラストモデルへの移行イメージを示したものである。

flowchart TD
    A["三層分離モデル\n（従来型）"] --> B["外部ネットワーク層\n（インターネット）"]
    A --> C["内部ネットワーク層\nLGWAN"]
    A --> D["マイナンバー専用層"]
    E["ゼロトラストモデル\n（ガバメントクラウド）"] --> F["IDベース認証\n多要素認証・証明書"]
    E --> G["ガバメントクラウド\nISMAP登録済み基盤"]
    E --> H["継続的モニタリング\n監査ログ・SIEM連携"]

---

重要インフラ統一基準（案）が求めるセキュリティ要件と自治体の対応策

基準案の5つの柱

2026年4月の統一基準案（パブコメ中）が地方公共団体の「政府・行政サービス」分野に適用する主要要件は以下のとおりである（出典: 重要インフラ対策関連 / 国家サイバー統括室）。

1. リスクアセスメントの実施: 重要インフラを構成するシステム・ネットワークのリスクを定期的に評価し、文書化する
2. インシデント対応計画の策定と演習: サイバー攻撃を想定したBCP（事業継続計画）の整備と年1回以上の訓練
3. サプライチェーンリスク管理: ベンダー・SIer含めた調達プロセスのセキュリティ審査
4. 脆弱性管理: パッチ適用の迅速化と脆弱性診断の定期実施
5. インシデント報告体制: 2026年10月からの国家サイバー統括室への報告義務（重大インシデントは24時間以内）

ガバメントクラウドが対応する要件

上記5項目のうち、ガバメントクラウドへの移行によって直接的にカバーできる要件は以下のとおりである。

要件	ガバメントクラウドの対応機能	自治体側の残タスク
リスクアセスメント	ISMAP審査でCSP側のリスクは評価済み	自治体固有の業務フロー・権限設計の見直し
インシデント対応計画	CSPが提供するセキュリティ運用支援（SOC/CSIRT連携）	自治体内のCSIRT設置・連絡体制の整備
サプライチェーン管理	採択済み5事業者はデジタル庁による審査済み	パッケージベンダー・SIerの審査は自治体責任
脆弱性管理	クラウド基盤のパッチはCSPが自動適用	アプリ層のパッチ管理は自治体・SIerの責任
インシデント報告	主要CSPには24時間対応のインシデント通知機能	報告ワークフローの内部整備が必要

重要なポイントは**「クラウドに移行したから安全」ではない**ということだ。ガバメントクラウドはIaaS/PaaS層のセキュリティを保証するが、その上で動くアプリケーション層・データ管理・エンドユーザー端末のセキュリティは依然として自治体の責任範囲となる（クラウドの責任共有モデル）。

重要インフラ統一基準と地方公共団体への影響の詳細はこちらで、具体的な対応チェックリストと分野別の影響度マップを確認できる。

---

2026年10月までに自治体が取り組むべき実務アクション

重要インフラ統一基準の施行（2026年10月）まで残り約5ヶ月。自治体の情報システム担当者が今すぐ着手すべき事項を優先度順に整理する。

優先度高（今すぐ対応）

1. ガバメントクラウド移行の完了確認

2025年度末が移行期限だった標準20業務のガバメントクラウド移行状況を確認する。移行未完了の業務があれば、特定移行支援（デジタル庁が個別支援）の申請を急ぐ。移行済みであれば、自動適用テンプレートが正しく設定されているかを確認する。

2. 自治体情報セキュリティポリシーの更新

総務省は2024年10月に「地方公共団体における情報セキュリティポリシーに関するガイドライン」を改定し、2026年4月1日までに「サイバーセキュリティ基本方針」の策定・公表を義務付けた（出典: 総務省ガイドライン概要 / 総務省）。方針未策定の自治体は即座に対応が必要である。

3. 自治体情報セキュリティクラウドの更新計画策定

多くの都道府県では2026年度に自治体情報セキュリティクラウドの契約が終了する見込みである（出典: 自治体情報セキュリティクラウドについて / 総務省）。後継体制をガバメントクラウドとどう統合するかを早期に検討する必要がある。

優先度中（2026年7月までに対応）

4. CSIRTの設置または連携体制の整備

重要インフラ統一基準案はインシデント対応計画の策定と演習実施を求めている。単独でのCSIRT設置が困難な小規模自治体は、都道府県の支援体制や広域連携による共同CSIRTの活用を検討する。

5. ベンダー・SIerへのセキュリティ要件の明示

パッケージベンダーとの契約更改時に、重要インフラ基準のサプライチェーン要件（セキュリティ審査・インシデント報告義務）を契約条項に盛り込む準備をする。

優先度低（2026年10月以降に継続対応）

6. 年次脆弱性診断の実施体制の構築

ガバメントクラウド上のアプリケーション層を対象とした年次の脆弱性診断スケジュールを整備する。デジタル庁が提供するGCAS（ガバメントクラウド・アシスタント・サービス）の活用も検討に値する。

GCInsightでは、ガバメントクラウドへの移行状況を自治体ごとに追跡している。重要インフラ統一基準と地方公共団体の対応状況のページでは、都道府県別のセキュリティ体制整備状況をダッシュボード形式で確認できる。

---

よくある質問（FAQ）

Q1. 重要インフラ統一基準（案）のパブコメに自治体として意見を出すべきか？

できる限り出すべきである。2026年5月17日が締切で、e-Govパブリック・コメントから提出できる（e-Gov パブリックコメント）。特に「政府・行政サービス」分野の対象範囲の明確化や、小規模自治体への配慮について意見を提出することで、最終基準に自治体の実態を反映させる機会となる。

Q2. ガバメントクラウド未移行の場合、重要インフラ基準違反になるのか？

統一基準は特定のクラウドの利用を義務付けるものではない。ただし、基準が求めるセキュリティ要件（リスクアセスメント、インシデント報告等）を満たせるかどうかが問われる。ガバメントクラウドへの移行はその要件を充足するための有力な手段であり、未移行のまま要件を独自に充足しようとすると、コスト・工数の面で大きな負担が生じる可能性がある。

Q3. インシデント報告義務（2026年10月〜）はどのような内容か？

2026年10月以降、重大なサイバーインシデントが発生した場合には国家サイバー統括室への報告が義務付けられる予定である。具体的には①発生から24時間以内の第一報、②72時間以内の詳細報告が想定されている。報告ルートと様式は施行前に確定する予定であり、国家サイバー統括室の重要インフラ対策関連ページで随時更新される。

Q4. さくらのクラウドはセキュリティ面でAWS・Googleと同等か？

デジタル庁の採択基準（305項目）はいずれの事業者にも共通して適用される。さくらのクラウドは生成AI機能に関する6項目を除く299項目を充足し、2026年3月から本番提供を開始している（出典: 令和8年度募集 調達仕様書 / デジタル庁）。ただし、各事業者の提供リージョン・SLA・サポート体制には差異があるため、業務特性に応じた選定が必要である。

Q5. 重要インフラ統一基準の「実施計画」の策定期限はいつか？

現時点では「2027年夏を目処」という方向性が示されている。能動的サイバー防御法の施行スケジュール（資産届出: 2027年4月予定）と連動しており、自治体は2027年春までには実施計画の骨格を固めておく必要がある。

---

まとめ：ガバメントクラウドは「コスト削減ツール」から「セキュリティ基盤」へ

2026年4月に公表された重要インフラ統一基準（案）は、自治体のサイバーセキュリティへの向き合い方を根本から変えるものだ。

• 地方公共団体の行政サービスは重要インフラ15分野の一つとして明示的に位置付けられた
• 2026年10月のインシデント報告体制の施行を皮切りに、2027年夏に向けて実施計画策定が求められる
• ガバメントクラウドは、ISMAPによる事前審査・ゼロトラスト設計・監査ログの自動収集等を通じて、この基準の多くの要件に対応する基盤として機能する
• ただし、アプリ層・エンドユーザー端末・ベンダー管理は依然として自治体の責任範囲であることを忘れてはならない

「どのクラウドを使うか」という議論から、「どのセキュリティ水準を達成するか」という議論へ。そのための最も合理的な出発点がガバメントクラウドへの移行である。

最新の移行状況・コスト動向・セキュリティ体制の整備状況は、GCInsightダッシュボードでリアルタイムに確認できる。また、移行コストの試算や他自治体との比較についてはコスト効果ページも参照されたい。

---

参考文献・出典

• 「重要インフラ統一基準（案）」に関する意見の募集 / e-Govパブリックコメント
• 重要インフラ対策関連 / 国家サイバー統括室
• 重要インフラ(全15分野)の概要 / NISC
• 令和8年度募集 調達仕様書 / デジタル庁
• 地方公共団体情報セキュリティポリシーに関するガイドラインの概要 / 総務省
• 自治体情報セキュリティクラウドについて / 総務省