【速報】政府機関 12省庁で脆弱性──「標準未達」の管理体制が明らかに

【経営層向け1分要約版】

政府機関12省庁で58システムに脆弱性
会計検査院の調査結果（2025年9月12日発表）

12機関の58システムでアクセス権管理やパスワード認証が基準未達
全356システム中16.3%に相当する深刻な状況

重要なポイント

公共セクターで「見えないリスク」が浮き彫りに
システムは稼働していても、基準未達は"攻撃者に隙を与える"状態
自社も同じ課題を抱えていないか、自己診断が急務

経営層が確認すべき3点

• アクセス権限の最小化運用が徹底されているか
• パスワード・多要素認証が基準を満たしているか
• 標準・ガイドラインに準拠した監査が行われているか
• 「標準遵守」がサイバーレジリエンスの土台です。

【詳細版】

会計検査院の最新調査で浮き彫りになった国家レベルのセキュリティリスク

会計検査院の最新調査で、12の日本政府機関において
計58の情報システムがサイバー攻撃に対して
脆弱な状態であることが判明しました。

調査対象には、アクセス権管理やパスワード認証が政府標準を
満たしていないシステムが含まれており、
国家規模のリスクとして強く問題視されています。

1. 事故の概要

発表： 2025年9月12日公表
調査機関： 会計検査院（Board of Audit of Japan）
対象： 12の中央省庁、58の情報システム（全356システム中16.3%）
調査期間： 2021年度～2023年度（3年間）

問題点：

• アクセス権管理の不備
• パスワード認証基準未達
• ログ監査不足
• ソフトウェア脆弱性対策の未実施

影響：
標的型攻撃に悪用されれば、
国民の個人情報・行政データが一気に流出する危険性

2. なぜ重要か？

公共セクター＝国民の信頼の基盤
国家機関の脆弱性は、社会全体に不安を広げる要因となります。
会計検査院は「第三者が侵入し重要な情報を窃取、破壊するといった攻撃を防ぐため、
基準で定めるアクセス権限やパスワード認証機能の管理などが不適切だった」
と指摘しています。

見えないリスクの顕在化
「システムは動いているから大丈夫」と思いがちな運用が、
重大な盲点を生んでいました。
実際、情報システムIDが付番されていないシステム（137システム）では、
脆弱性対策実施率が著しく低い結果となりました：
ソフトウェア脆弱性対策：61.1%（ID付きシステムは95.8%）
ログ取得：32.0%（ID付きシステムは92.1%）

標準未達の深刻さ
政府統一基準群への準拠が不十分で、
「各機関で統一基準群に準拠した運用を行う必要性の認識が欠けていた」
「基本対策事項についての理解が十分でなかった」ことが判明しました。

3. 今回の事例から学ぶポイント（サイバーレジリエンス視点）

ガイドライン遵守の徹底
政府や業界団体が定める標準を「形式」ではなく
「実装」として確認することが不可欠です。

自己診断・自己点検の重要性
外部監査を待たず、自社内での脆弱性診断や
権限チェックを習慣化する必要があります。

ログ監視・多要素認証の強化
攻撃を「受ける前提」で異常を検知できる
仕組みの構築が求められます。

業務委託先の管理強化
調査では「業務委託に係る調達仕様書等に定めるべき事項が定められていない契約」
が多数発見されました。

透明性と迅速な改善
問題が発覚した際の即時対応と情報公開が信頼維持の鍵となります。

4. チェックリスト（自社で今すぐ確認すべきこと）

□ アクセス権限は「最小権限」で運用されているか
□ パスワード認証は標準（桁数・複雑性・更新頻度）を満たしているか
□ 多要素認証が導入されているか
□ 管理者権限の利用ログを定期的に監査しているか
□ 政府や業界ガイドラインに準拠しているか
□ システム台帳による適切な管理が行われているか
□ 業務委託契約にセキュリティ要件が明記されているか
□ 情報セキュリティ監査が計画的に実施されているか

まとめ

「政府機関ですら標準未達で脆弱性を抱えている」という事実は、
どの組織にも他人事ではないことを示しています。

会計検査院の指摘は、統一基準群への準拠、業務委託先管理の強化、
継続的な監査体制の構築の重要性を浮き彫りにしました。

皆さまの組織でも、いま一度自己点検と標準準拠の徹底をご確認ください。

引用元・参考資料
時事通信社 - "12機関で脆弱性対策せず 政府の情報システム実施状況―検査院"
https://www.jiji.com/jc/article?k=2025091200870&g=soc
（2025年9月12日18時19分配信）

会計検査院 - "各府省庁等の情報システムに係る情報セキュリティ対策等の状況(随時)"
https://www.jbaudit.go.jp/pr/kensa/result/7/pdf/070912_point.pdf
（2025年9月12日発表）

日本経済新聞 - "政府システム16%、サイバー攻撃の弱点対策に不備 被害なら影響甚大"
https://www.nikkei.com/article/DGXZQOUD08B1G0Y5A900C2000000/

テレ朝NEWS - "12機関58システムで脆弱性対策せず 会計検査院が行政機関の情報セキュリティー対策を調査"
https://news.tv-asahi.co.jp/news_economy/articles/000452781.html

東京新聞 - "政府システム16％に不備 脆弱性対策で検査院指摘"
https://www.tokyo-np.co.jp/article/435450

毎日新聞 - "省庁サイバー攻撃対策 システム16％不備 検査院指摘"
https://mainichi.jp/articles/20250913/ddn/041/040/009000c

このメルマガは2025年9月17日時点の公開情報に基づいて作成されています。
最新情報については各公式サイトをご確認ください。

※今号はAIで執筆した文章を筆者が監修しています。

弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。

つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく
立ち位置を意味しています。

目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を提案致します。

そして、弊社は、ITインフラとセキュリティの
プロフェッショナル集団として
多数の実績を誇る株式会社アイロバと
密接なパートナー関係にあります。

同社は国産独自開発のソリューションも多数保有しています。

******************************
サイバーレジリエンス株式会社　
日本レジリエンス株式会社
〒103-0026
東京都中央区日本橋兜町17番1号
日本橋ロイヤルプラザ706
Tel 03-6823-8902
E-mail: info@japan-resilience.co.jp
https://japan-resilience.co.jp/cyber
******************************

投稿者プロフィール

サイバーレジリエンス

最新の投稿

• 情報2025年9月30日ランサムウェア・DDoS被害は依然"高止まり"
• 情報2025年9月19日【速報】政府機関 12省庁で脆弱性──「標準未達」の管理体制が明らかに
• 情報2025年9月19日鉄道会社で乗客データ流出──インフラ業界も標的に　
• 情報2025年9月4日【緊急警告】今すぐアップデートを！CISAが警告する連鎖攻撃 - WhatsApp×Apple連鎖攻撃が現実に