自治体セキュリティチェックシートの書き方｜三層分離・LGWAN・ISMAP対応を解説

更新日:2026-03-06 公開日:2026-03-06 by アツシバ

自治体セキュリティチェックシートの書き方｜三層分離・LGWAN・ISMAP対応を解説自治体案件でシステムを導入する際、ほぼ必ず求められるのが「セキュリティチェックシート」です。

2024年10月の総務省ガイドライン改定（令和6年10月2日）では、LGWAN接続系端末から特定のクラウドサービスを安全に利用するための対策（アクセス制御等）をα'モデルとして規定し、委託先管理強化やサイバーレジリエンス強化等が示されました。本記事では、最新のガイドラインに基づいた記載方法を実践的に解説します。

自治体セキュリティチェックシートとは？

自治体セキュリティチェックシートとは、自治体がシステムやクラウドサービスを導入する際に、ベンダーやサービス提供事業者に対して情報セキュリティ対策の内容を確認するための質問票です。

自治体では住民情報やマイナンバーなどの重要な情報を扱うため、システム導入時にはセキュリティ対策・運用体制・法令遵守状況などを事前に確認する必要があります。そのため、調達仕様書や提案依頼書（RFP）とあわせてセキュリティチェックシートの提出が求められるケースが一般的です。

このチェックシートは、自治体がサービスの安全性や運用体制を判断するための重要な資料であり、調達や提案評価の参考情報として活用される場合もあります。記載内容によっては、自治体側の信頼性評価に影響することもあるため、正確で具体的な情報を示すことが重要です。

チェック項目は自治体ごとに異なりますが、主に次のような内容が確認されます。

情報セキュリティ体制（ISMS、社内規程など）
システムのセキュリティ対策（WAF、EDR、アクセス制御など）
クラウドサービスの安全性（ISMAP登録状況、第三者認証）
データ保護（暗号化、バックアップ、ログ管理）
インシデント対応体制（SOC、監視体制、報告手順）

特に近年は、クラウドサービスの利用拡大に伴い、三層分離モデルやLGWAN接続、ISMAP登録状況など、自治体特有のセキュリティ要件に関する確認が増えています。

まずは、自治体ネットワークの基本構造である「三層分離モデル」について整理します。

三層分離モデルとは？自治体ネットワークの基本構造

三層分離とは

日本年金機構の情報漏えい事案などを契機に、自治体の情報セキュリティ対策として三層分離が推進され、自治体のネットワークは以下の3層に分離されています。

マイナンバー利用事務系：マイナンバーや戸籍、税金関連など特に重要な個人情報を扱う層
LGWAN接続系：各自治体ネットワークを相互に閉域網で接続する層（総合行政ネットワーク）
インターネット接続系：インターネットアクセスが可能な層

4つのネットワークモデル

αモデル（従来型）
3層を完全分離。セキュリティレベルは非常に高いが、業務効率に課題。多くの自治体で採用されています。

α'モデル（2024年10月に整理が明確化）
αモデルをベースに、LGWAから特定のクラウドサービスへ直接接続できるモデル。移行コストを抑えながらクラウド利用を実現。

βモデル
業務端末の一部をインターネット接続系に配置。クラウドサービスやテレワーク対応が容易だが、VDI経由のため運用が複雑。

β'モデル
業務端末・業務システム全体をインターネット接続系に配置。最も利便性が高いが、移行コストと高度なセキュリティ対策が必要。

クラウド利用やテレワーク対応のニーズから、α'モデルやβ'モデルへの移行が進んでいます。

記載時の重要ポイント

具体的に記載する

セキュリティチェックシートでは、「対策している」だけでなく、具体的な製品名、バージョン、設定内容まで記載することが重要です。

❌ 悪い例
Q：ファイアウォールは導入していますか？
A：はい、導入しています。

⭕️ 良い例
Q：ファイアウォールは導入していますか？
A：AWS Security Groupおよびネットワークファイアウォールを導入しています。
・ネットワークACL：VPCレベルでのアクセス制御（ステートレス）
・Security Group：インスタンスレベルのステートフルファイアウォール
・AWS Network Firewall：侵入防止システム（IPS）機能搭載
・ルール管理：最小権限の原則に基づく設定、月次で見直し実施

ISMAP対応（α'/β'モデルで重要）

クラウドサービスを利用する場合、案件や調達要件によってはISMAP登録（または同等水準）を求められることがあります。提出時点のクラウドサービスリストで最新状況を確認することが重要です。

記載例
Q：利用するクラウドサービスについて教えてください
A：AWS（Amazon Web Services）を使用しています。
・ISMAP登録状況：ISMAPクラウドサービスリストに登録済み
※最新の登録状況・登録番号は提出時点のISMAPリストで確認
・データ保管場所：日本国内（東京リージョン）
・追加認証：ISO/IEC 27017、SOC 2取得済み

ISMAPクラウドサービスリストは随時更新されるため、提出時には必ず最新版を確認してください。

α'モデル対応の4つの要件

α'モデルを想定した自治体向けには、以下の4つの要件への対応状況を明記します。

多要素認証（MFA）：全ユーザーにMFA必須化、管理者はハードウェアトークン必須
条件付きアクセス制御：IPアドレス制限、デバイス制限（MDM登録済み）、時間制限
LGWAN接続系からのアクセス制限：専用VPN接続、LGWAN-ASP接続実績の明示
クラウドサービスの選定：ISMAP等の公的評価・第三者認証の有無を確認し、同等水準の管理策を満たすことを説明

EDR/XDR対策（β/β'モデル）

β/β'モデルでは、従来のウイルス対策ソフトに加えて、EDR（Endpoint Detection and Response）製品の導入がガイドライン上強く推奨されています。端末がインターネットに接続されることでマルウェア感染リスクが高まるためです。実際の自治体の調達仕様書では、EDR/XDRを必須要件として指定するケースも多く見られます。

記載例
Q：EDR/XDR製品を導入していますか？
A：CrowdStrike Falcon（最新版）を全端末に導入
・リアルタイム脅威検知（マルウェア、ランサムウェア対策）
・24時間365日のSOC監視、異常検知時は平均15分以内に対応
・β'モデル環境での稼働実績：○○市、△△町等5自治体

β/β'モデルではエンドポイントセキュリティが特に重要です。境界防御、ネットワーク防御、エンドポイント防御、アプリケーション防御、データ防御を組み合わせた多層防御が推奨されます。

クラウド利用時の責任共有モデル

クラウドサービスを利用する場合、クラウド事業者と利用者（当社）の責任範囲を明確にすることが重要です。

当社（利用者）の責任範囲

アプリケーションレベルのセキュリティ対策（WAF、脆弱性診断）
データの暗号化（保管時: AES-256、通信時: TLS1.3）
アクセス権限管理（IAMポリシー、多要素認証）
ログ監視・インシデント対応（24時間監視、SOC体制）
バックアップ・災害復旧（日次バックアップ、クロスリージョンレプリケーション）

クラウド事業者の責任範囲

物理的セキュリティ（データセンターの物理的保護）
ネットワークインフラ（ハードウェア、ネットワーク機器）
仮想化基盤（ハイパーバイザー、仮想ネットワーク）

よくある間違いと対策

間違い1: 曖昧な表現

❌ 「セキュリティ対策を実施しています」
⭕ 「AWS WAF（OWASP Top 10対応）、EDR（CrowdStrike Falcon）、脆弱性診断（年2回）を実施」

間違い2: 古い情報の記載

以下を定期的に確認しましょう。

・2024年10月改定の総務省ガイドラインを反映しているか
・ISMAPの最新登録状況（随時更新される）
・自社のセキュリティ認証（ISMS、Pマーク）の有効期限

間違い3: 個人情報保護法の報告期限の誤り

❌ 「個人情報漏洩時は72時間以内に報告」（これはEU GDPRの基準）
⭕ 「個人情報保護委員会への報告は速やか（概ね3〜5日以内を目安）に実施。本人への通知も状況に応じて速やかに実施」

日本の個人情報保護法では「速やかに」報告することが求められています。
実務上は、
・初動報告：概ね3〜5日以内
・確報提出：30日以内
といった運用が一般的です。

自治体案件特有の注意点

LGWAN環境での実績

LGWAN環境での稼働実績は、自治体にとって重要な判断材料となります。LGWAN-ASP接続対応、導入実績（自治体数、接続方式）、環境特有の制約への対応ノウハウを記載します。

マイナンバー対応

個人情報保護委員会のガイドライン準拠、アクセス制御（ロールベース）、暗号化（AES256ビット）、全アクセスログ記録、マイナンバー取扱者への特別教育（年2回）、法定保存期間に応じた自動削除機能を明記します。

BCP（事業継続計画）対応

マルチAZ構成による可用性99.99%、自動フェイルオーバー（60秒以内）、RPO（目標復旧時点）5分以内、RTO（目標復旧時間）2時間以内、定期復旧訓練（四半期ごと）、大規模災害時の優先復旧体制を記載します。

エビデンスの準備

セキュリティチェックシートに記載した内容は、後日エビデンス提出を求められる場合があります。各種認証書（ISMS、Pマーク、SOC2）、セキュリティ診断報告書（直近1年以内）、データセンター認証書、BCPマニュアル、情報セキュリティ規程類、教育実施記録、システム構成図などを事前に準備しておきましょう。

まとめ

自治体案件におけるセキュリティチェックシートは、サービスやシステムの安全性を確認するための重要な資料です。自治体は住民情報やマイナンバーなどの機微な情報を扱うため、ベンダーやクラウド事業者に対して詳細なセキュリティ対策の提示を求めるケースが一般的です。

特に近年は、クラウド利用の拡大に伴い、三層分離モデル、LGWAN接続、ISMAP登録状況など、自治体特有のセキュリティ要件が確認されることが増えています。

自治体向けのセキュリティチェックシートを作成する際は、次のポイントを押さえることが重要です。

項目	ポイント
一次情報に基づく正確な記載	総務省ガイドライン（特に2024年10月改定版）を参照
具体的な記載	製品名、バージョン、設定内容まで明記
クラウドサービスの選定	ISMAP等の公的評価・第三者認証を確認（案件により必要）
EDR/XDRの導入状況	β/β'モデルでは強く求められる（必須指定されるケースも多い）
責任共有モデルの明確化	クラウド利用時は責任範囲を明示
エビデンスの準備	認証書、診断報告書を事前に用意
自治体特有の要件	LGWAN、マイナンバー、BCP対応を明記

セキュリティチェックシートは、自治体との信頼関係を構築するための重要なコミュニケーションツールでもあります。最新のガイドラインや制度を踏まえ、正確で具体的な情報を提示することが重要です。

よくある質問

自治体のセキュリティチェックシートとは何ですか？

自治体がシステムやクラウドサービスを導入する際に、ベンダーやサービス提供事業者の情報セキュリティ対策を確認するための質問票です。セキュリティ体制、クラウド利用、データ保護、インシデント対応などの項目について回答が求められます。

自治体のセキュリティチェックシートではどのような内容を確認されますか？

主に以下のような内容が確認されます。

情報セキュリティ体制（ISMSなど）
システムのセキュリティ対策（WAF、EDR、アクセス制御）
クラウドサービスの安全性（ISMAP登録状況など）
データ保護（暗号化、バックアップ、ログ管理）
インシデント対応体制

自治体案件ではISMAP登録は必須ですか？

案件や調達要件によって異なります。クラウドサービスを利用する場合、ISMAP登録済みのサービスが求められるケースもありますが、同等のセキュリティ対策や第三者認証で対応できる場合もあります。

【主な参考情報】
本記事の内容は執筆時点（2026年2月）の情報に基づいています。ガイドラインや基準は定期的に更新されるため、最新の情報は各公的機関の公式サイトでご確認ください。

1.総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」令和6年（2024年）10月版
2.ISMAPクラウドサービスリスト（随時更新）
3.個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」