米国の公共部門は、社会基盤を支えながら市民の機微データを守るという、非常に重要な役割を担っています。しかし現在、政府機関や教育機関はサイバー攻撃の主要なターゲットとなっており、これまで以上に確実な対策が求められています。
KnowBe4の最新レポート「Securing the Public Sector at Scale: How Unified Human Risk Management Drives Cyber Resilience」(英)は、厳しい現実を浮き彫りにしています。公共部門では技術的な防御が強化されているものの、絶え間ない脅威、慢性的なリソース不足、複雑化する規制対応という複数の課題に向き合わなければなりません。こうした状況を乗り越えるには、技術偏重の対策から一歩進み、ヒューマンリスクマネジメントを中核に据えた戦略へ転換する必要があります。
KnowBe4のレポートでは、政府や教育機関が上げている主な課題として、次の4つを挙げています。
継続的な攻撃: ランサムウェア、フィッシング、BEC(ビジネスメール詐欺)などの攻撃は高い頻度で発生しています。2025年のデータによると、ランサムウェア被害の約43%が地方自治体に集中していました。これらは単なる無差別な攻撃ではなく、公共サービスに関わる人の心理や環境を突くよう、巧妙に設計されています
リソースの制約: 攻撃側が国家支援や潤沢な資金を持つ一方で、公共部門のITチームは、限られた予算と限られた人員で対応せざるを得ないケースが少なくありません。このリソースの差が、防御上の課題となっています
コンプライアンスへの対応コスト: 年々厳格化する規制やガイドラインへの対応には、多大な事務的負担が伴います。その結果、脅威の早期発見や具体的な防御策に割くべき時間が、事務作業に奪われてしまうという側面があります
公共部門は、社会保障番号や医療記録など、重要なデータを大量に保持しています。そのため、攻撃者にとっては非常に価値の高い標的となります。さらに、限られた予算とリソースのなかで運営されているため、攻撃者にとっては格好の標的となります。
民間企業の場合、被害は主に自社の損失として表れますが、自治体や学校が攻撃を受けると、緊急サービスの遅延や公共料金の処理停止など、住民の生活に直接的な影響が及びます。サイバーセキュリティは今やITの課題の枠を超え、公共サービスの継続性を左右する重要な要素となっています。
これまで、セキュリティ研修は年に一度の動画視聴で済ませるなど、形式的な取り組みと見なされがちでした。しかしKnowBe4の調査が示す通り、こうした従来の手法では、現代の脅威には対抗できません。
これからは、人を管理対象として見るのではなく、共に組織を守る存在として捉えるヒューマンリスクマネジメントの考え方が重要です。AIエージェントの活用、リアルタイムコーチング、実践的なトレーニングなどを通じて、一人ひとりが自然と適切な判断を下せるようなセキュリティ文化を醸成していくことが、組織全体のレジリエンス(回復力)を高める鍵となります。
2026年がさらに進むにつれ、防御と攻撃の双方においてAI活用はいっそう加速していきます。攻撃者はすでにAIエージェントを使い、かつてない規模でフィッシングや認証情報の窃取を自動化しています。
公共部門は、攻撃者以上の資金を投じることはできません。これから必要なのは、働く人々が、より的確なセキュリティ判断を下せる組織をつくることです。人を最大の弱点から「最強の防御」へ変えていくことこそが、公共の使命を守り、市民の安全を支える唯一の道です。
原典:Erich Kron著 2026年3月5日発信 https://blog.knowbe4.com/navigating-the-u.s.-public-sectors-unrelenting-cyber-crisis