HOME >  公開資料・報告書をお探しの方 > JNSA セキュリティ十大ニュース

セキュリティのプロが選ぶ! JNSA2016セキュリティ十大ニュース〜脅威の遍在化が新たな対応を求めている〜


2016年12月26日
セキュリティ十大ニュース選考委員会委員長 大木 榮二郎

IoTのセキュリティが今年のトップである。モノのインターネットの略であるが、その本質は世界のすべてのものがインターネットにつながるところにある。このIoTがBOTと化して攻撃に利用されることの危惧等にかねてから警鐘が鳴らされてきたところだ。さらに、ランサムウェアや標的型攻撃メールに代表されるサイバー攻撃は今や茶飯事となり、情報流出等の被害はとどまるところを知らない。サイバー空間はいたるところが攻撃対象とされる脅威遍在の時代になってしまった。インターネットに接続される機器類にサイバー攻撃に利用されるような脆弱性を持ち込まない対策が大事であることは言を俟たないが、そのような対策の徹底には相当の時間がかかり、攻撃者も新たな攻撃手法を繰り出してくるに違いなく、脅威のさらなる遍在の時代がかなり続くと考えざるを得まい。

このような環境では、全ての組織が新たな対応を迫られていると考えなければならない。これまでのセキュリティ対策は、リスクを分析し、リスクに応じた対策を施すという考え方に基づいてきた。このリスクという考え方の本質は、不確実な事象を統計的に捉えるところにある。しかし、我々が今直面している現実には、確率にもとづいてリスクを評価するまでもなく、遍在する脅威に取り囲まれて、対策がなければ被害に直結するという事実がある。今や、サイバー空間のこの現実を踏まえて、セキュリティマネジメントの考え方に新たな一章を書き加える段階にきていると考えるべきだ。

これまでのセキュリティ対策は、組織経営者の自主的なリスク判断に基づいて行われてきたが、脅威が遍在する環境では、個々の経営者のリスク判断に委ねる部分とは別に、社会的に一定レベルのベースライン対策があるべきという主張が力を持ってくる。ベースライン対策の例として、労働安全衛生法や食品衛生法などのように法的な規制も参考になる。一定規模以上の事業者には、衛生管理者などのようにサイバーセキュリティ管理者の設置やセキュリティ監査による確認などを義務付けることも検討すべきであろう。

2016セキュリティ十大ニュース

【第1位】10月14日 IoT機器による史上最大規模のDDoS攻撃の実態が明らかに
〜防犯カメラ等のIoTデバイスのセキュリティは喫緊の重要課題〜



【第2位】4月13日 IPAから「ランサムウェア感染を狙った攻撃に注意」と注意喚起
〜ランサムで 資料使えず キョウハクシ(今日白紙/脅迫し)〜



【第3位】7月20日 政府機関から「ポケモンGO」の利用者向けに注意喚起
〜国民全体のセキュリティ意識向上へGO!〜 



【第4位】3月12日 人工知能が囲碁の世界トップ棋士に完勝
〜AIはビッグブラザーの夢を見るか?〜



【第5位】10月24日 IPA新設国家資格「情報処理安全確保支援士」の初回申請受付を開始
〜セキュリティ人材不足の切り札となるか〜 



【第6位】11月28日 防衛省と自衛隊の情報基盤へのサイバー攻撃
〜外に開かれた防衛系大学PCを踏み台に本丸へ侵入か?〜 



【第7位】11月8日 アメリカ大統領選挙はドナルド・トランプ氏が勝利
〜トランプ現象は日本のセキュリティに向かい風か?〜 



【第8位】6月27日 佐賀県教育委員会は不正アクセス被害を公表
〜17歳の少年の犯行、ダークサイドとゲーム感覚の狭間〜 



【第9位】6月14日 JTBグループのWebサイトから大量の個人情報流出か
〜巧妙化する標的型攻撃メール、問われる日頃からの備え〜 



【第10位】4月14日 EU、一般データ保護規制 (EUプライバシー規制) 正式に採択
〜個人データの変化と脅威の遍在化に対応した新しいルール〜



【番外編】7月29日 東宝映画「シン・ゴジラ」公開
〜荒唐無稽な娯楽映画ではあるが、危機管理の映画でもある〜


<2016セキュリティ十大ニュース>選定委員・解説
委員長・大木榮二郎/青嶋信仁/織茂昌之/片山幸久/岸田 明/小屋晋吾/
小山 覚/杉浦 昌/竹内和弘/下村正洋/森 直彦


【第1位】 10月14日 IoT機器による史上最大規模のDDoS攻撃の実態が明らかに
   〜防犯カメラ等のIoTデバイスのセキュリティは喫緊の重要課題〜

9月下旬、米国の情報セキュリティサイトKrebs on Securityが、史上最大規模のDDoS(分散型サービス運用妨害)攻撃によってダウンした。また、フランスのインターネットサービスプロバイダーOVHも1Tbpsに近いDDoS攻撃を受けたことを明らかにした他、米国のDNSサービス企業Dynも同様のDDoS攻撃を受けたことを公表している。これらを受け、10月14日、米国国土安全保障省(DHS)配下の情報セキュリティ対策組織US-CERTは、IoT機器のマルウェア感染によるDDoS攻撃に関する注意喚起を行った。同時に、US-CERTと連携して活動している日本のJPCERT/CCやIPAからも情報の提供や注意喚起の発信、JVN情報の発信がなされた。
 報告によると、攻撃のトラフィックは600〜700Gbpsにのぼり、最大では1Tbpsにも達したという。攻撃は、IoT機器に感染するマルウェアMiraiによって構成された巨大なボットネットによって行われ、感染して攻撃に参加した防犯カメラやルータなどは14万5607台にのぼったとされる。

今回マルウェアに感染した防犯カメラは、従来は高周波ケーブルや制御線でアナログの画像信号や制御信号をやりとりしていたが、近年はデジタル化、IP化が進んでいる。しかしそのセキュリティ対策は、現状では十分ではないことが多い。このため、多数の防犯カメラが脆弱な設定を突かれてボットネットに組み込まれ、DDoS攻撃に用いられることになった。

この事件は、IoTデバイスのセキュリティが今や現実の問題となったことを示している。そしてこれは、近い将来さまざまなセンサー類や電子機器がデジタル化、IP化され、無数のIoTデバイスとしてネットワークに繋がるようになった暁にはそのセキュリティ対策が極めて重要なものとなることを意味する。
 社会の全てのモノがネットワーク化され繋がっていくIoT時代を目前に控え、そのメリットを享受しつつも情報セキュリティを確保するIoTセキュリティ技術やIoTセキュリティアーキテクチャを開発することが、我々の喫緊の課題であろう。



【第2位】 4月13日 IPAから「ランサムウェア感染を狙った攻撃に注意」と注意喚起
   〜ランサムで 資料使えず キョウハクシ(今日白紙/脅迫し)〜

ランサムウェアが猛威を振るっている。11月16日にトレンドマイクロ社から公開された「2016年第3四半期セキュリティラウンドアップ」によれば、ランサムウェアの国内検出数は前年同期に比較し24.4倍にも上るという。
 ここまでランサムウェアが増えたのにはいくつかの理由が推測される。
 まずは攻撃が容易である。攻撃者はアンダーグラウンドでランサムウェアをそれほど高くない投資で入手できる。あとはそれをメール添付しメーリングリストに送信すればよい。課金や暗号化キーの管理が面倒であれば、それらを代行してくれるサービスがアンダーグラウンドには用意されている。さらに得られるのは現金化が容易な仮想通貨だ。これまでの様に盗み出した情報を取捨選択して売りさばく必要もない。犯罪者にとっては非常に容易で見返りの良い攻撃と言えるのだろう。
 結果として多くの資金が攻撃者側に流れ、その資金で再度攻撃が生まれ、という流れにブレーキをかけるためにも社会的なベースライン対策の必要性も感じられる。
 一方、企業・個人での対策はこれまで不正プログラムに有効とされてきたものに加え、バックアップの頻度や場所の見直しが必要である。アンチウイルスソフトウェアの中にはランサムウェアの暗号化の挙動を検知して防御できるものも出てきた。これらツールの使用を検討することも有効だ。

しかし相変わらずの防戦一方である。攻撃者検挙も含めた「ホワイト側」からの反撃、あるいは画期的な低コストのセキュリティ対策手段は実現できるのだろうか。まだまだその予兆は見えずにいる。



【第3位】 7月20日 政府機関から「ポケモンGO」の利用者向けに注意喚起
   〜国民全体のセキュリティ意識向上へGO!〜

政府機関のNISC(内閣サイバーセキュリティセンター)から、スマートフォンゲームの「ポケモンGO 」の利用者向けに、「ポケモントレーナーのみんなへのお願い♪」が出された。政府機関が一つのゲームに注意を促すのは、異例といえるもので、事前に多くの問題と広い影響が想定されたといえる。実際に、社会的現象と言われるほど、スマートフォンをもつ老若男女問わずに多くの人が利用し、その中で、残念なことに多くの痛ましい事件事故が国内外で発生してしまった。

NISCの注意喚起の内容は、最初に個人情報を守ろうというものと、偽アプリやチートツール注意という情報系の脅威が記載され、そのあとで、利用上の熱中しすぎへの注意、不法侵入注意や不審者注意など、広い範囲で9つに分類している。特に最初の2つは、利用者の影響の大きいサービスに便乗をしてお金を得ようと色々な手で利用者を陥れようという人が、実社会だけでなくサイバー空間にも非常に多いことを意識させるものとなっている。
 また、注意喚起の表現は、特にゲームということもあり、情報セキュリティに意識の薄い子供向にもわかりやすく書かれていることである。スマートフォンなどの情報機器を子供のときから持つようになったいま、大人と同じような脅威にさらされるため、一定レベル以上の情報セキュリティ教育がほどこされるようにするなど、脅威回避のための取組を老若男女問わず、今後強化するべきものであると考えられる。
 今後も東京オリンピックをはじめ、世の中に大きく影響を与える変化が予想される。そこに発生する新たなセキュリティ脅威に対して、自分だけでなく周りの人も積極的に守れるように日常的にジャンル問わずにセキュリティへの意識を高めておく必要があるといえる。



【第4位】 3月12日 人工知能が囲碁の世界トップ棋士に完勝
   〜AIはビッグブラザーの夢を見るか?〜

3月に行われたコンピュータ対人の囲碁対局において、人工知能(AI)のAlphaGoが、世界トップ棋士の一人であるイ・セドル氏を打ち破った。五番勝負の対局に三連勝したのだ。コンピュータが囲碁のプロ棋士に勝てるのは「10年先」と言われていたこともあり、大きな反響を呼んだ。その他にも、AIがレンブラントの新作を描いたり、小説を書いて文学賞の一次選考を通ったり、センタ模試で偏差値57.1を達成するも東大合格を断念したりと、「AI」がメディアを賑わせた。
 ディープラーニング等の機械学習の進化、クラウドコンピューティングによる計算パワーの増大、IoTによる実世界情報のデジタル化の進展などが相まって、近年のAIに関連する技術の発展には目覚しいものがある。AIの発展を目にして「機械(AI)に仕事を奪われる」「将来、AIに人類が支配されるのでは」といったAI脅威論も聞くようになったが、これらは新しい技術が世にでてきた時の常としてでる不安の表れだろう。AI技術の導入によって多くの職種の仕事内容が変わっていくには違いないが、AIは人が便利になるように設計され、使われる新しい「道具」である。
 サイバーセキュリティの分野では、AIの学習能力や分類能力を活用し未知のウィルスや攻撃の検知に適用するなど、既に多くのセキュリティ製品にもAI関連技術の搭載がすすんでいる。新たな道具であるAI技術の特徴を活かし、既存の技術と組合わせたシステム設計により高い効果を発揮させている。
 一方で、新しい道具には事故等のリスクはつきものである。実際に、自動運転テスト中の自動車で死亡事故がおき、機械学習機能をもつAIチャット・ボットが差別発言をするようになるなどの問題も発生している。また、サイバー攻撃の手段に使われる、知能ロボットが人の殺傷に使われるといった、AI技術が悪用されるリスクもある。AIという高度な道具を適切に使うための技術開発、使いこなす人の育成とリテラシの向上、法律などの社会システムの確立にも取り組むことが急務である。




【第5位】10月24日 IPA新設国家資格「情報処理安全確保支援士」の初回申請受付を開始
   〜セキュリティ人材不足の切り札となるか〜

サイバーセキュリティ人材不足が叫ばれて久しい。本10大ニュースでも昨年は第4位にランクインしている。平成24年度IPAの「情報セキュリティ人材育成に関する基礎調査」、平成26年度追加分析によれば、国内のユーザ企業においてセキュリティに従事する技術者約26.5万人中、必要なスキルを満たしていると考えられる人材約10.5万人、スキル不足の人材約16万人、そもそも不足している人材約8万人としている。この数字の信憑性に関しては意見の分かれる所であるが、不足している事実に関しては多くが賛同する所であろう。
 人材育成に関しては、関係各省庁、大学、経団連、IT業界も課題の重要性を認識し、多方面にわたる活動をしている。その中でIPAは既存の試験制度と一線を画す、国家資格「情報処理安全確保支援士」制度を新設し、2017年の初回試験を前に移行措置として、過去の「情報セキュリティスペシャリスト」「テクニカルエンジニア(情報セキュリティ)」試験合格者を登録有資格者として10月24日から登録受付を開始した。本制度はその緒に就いたばかりであるが、有資格者の設置を義務化するなど実業界、各団体等における定着策を確立する事が最重要課題であろう。
 ただ見逃してならないのは、供給される人材の受け皿に構造的な問題がある事だ。実業界、各団体において現在でもIT技術者は傍流である。更にセキュリティ技術者となれば、その最たるものになる。ITは組織の競争力強化の原点だ。そのITを守るセキュリティは組織における基幹業務と言っても過言ではない。また労働市場の流動性も重要で、セキュリティ技術者が各社を渡り歩き、最終的にCISO或いは社長になる事が当たり前に語られる時代にならなければいけない。ITを事務効率化の手段としてのみ捉えている日本は、根本的な価値観の変革を求められていると考えるべきだろう。まずは何処かのテレビ局が、セキュリティ技術者を主人公とした番組を制作してくれないだろうか。




【第6位】11月28日 防衛省と自衛隊の情報基盤へのサイバー攻撃
   〜外に開かれた防衛系大学PCを踏み台に本丸へ侵入か?〜

11月、防衛省と自衛隊の情報基盤がサイバー攻撃を受け、陸上自衛隊の内部情報が狙われた疑いがあるとの報道が各種報道機関からなされた。侵入されたのは、駐屯地や基地を結ぶネットワークである「防衛情報通信基盤」で9月頃に侵入を検知したとのことである。なお、陸上自衛隊からは情報の流出はないとの説明がなされている。

報道によると、この防衛情報通信基盤は、インターネットに接続可能な「オープン系」と、外部ネットワークと遮断され防衛等に関する秘密情報を扱う「クローズ系」とに分離した構成を持つ。今回、学術系の外部ネットワークとの接続を持つ「オープン系」に属する防衛医科大のPCが侵入を受け、そのPCを踏み台として「クローズ系」の陸上自衛隊システムに侵入されてしまった可能性が高いとのことである。
 オープン系とクローズ系は分離されているが、個々のPCは切り替えにより両方のシステムに接続でき、両系は完全には切り離されてなく、堅牢に構築されたシステムの不備を突く高度な手法が用いられた可能性が高いとのことである。国家などが関与した組織的攻撃の疑いが強いのではないかとも言われている。

標的型攻撃メールによるものかどうかはわからないが、オープン系の大学PCの感染がトリガとなり、オープン系とクローズ系の間に存在した何らかのパスを使ってクローズ系に入り込まれてしまったということであろうか。
 防衛分野に限らず国の重要インフラを担う組織においては、標的型攻撃メールなど遍在する脅威への対策はもちろんのこと、国や組織が関与する高度な攻撃など自らの組織がターゲットとなり得る脅威(偏在する脅威)が何であるかを常に分析・把握し、脅威に対する関係組織も含めた総合的な抜けのない対策の構築が重要であることをあらためて認識させた事件であったと思う。




【第7位】11月8日 アメリカ大統領選挙はドナルド・トランプ氏が勝利
   〜トランプ現象は日本のセキュリティに向かい風か?〜

アメリカ大統領選挙はドナルド・トランプ氏が勝利した。選挙期間中の論点にサイバーセキュリティ対策の具体的な議論はなかったが、対立候補のクリントン氏は私用メール事案がくすぶり最後までサイバーセキュリティ問題に悩まされた。さらに、ロシア政府がアメリカ大統領選挙にサイバー攻撃で介入するとの情報をウィキリークスが流し、米国政府高官が追認する事態に発展し、サイバーセキュリティが国際政治にも影響することを世界中に見せつけた。

トランプ現象をアメリカ第一主義と理解すると、右傾化する社会が進んでいく先に、冷戦時代のCOCOM(対共産圏輸出統制委員会)を思い出してしまうのは私だけだろうか。現在、COCOMは解散しWA(ワッセナーアレンジメント)にその任を引き継いでいる。しかしTPPでさえ脱退を宣言するトランプ氏がWAの枠組みをより厳しいものに、例えばサイバーセキュリティ分野で自国の利益を守る為、セキュリティ技術の輸出制限を強化した場合、社内に導入しているセキュリティデバイスのライセンス更新ができず機能が停止することも想定しなければならない。

セキュリティ対策はグローバルな情報共有を前提に進めてきた。この輪が瓦解する事態だけは避けたいものである。




【第8位】6月27日 佐賀県教育委員会は不正アクセス被害を公表
   〜17歳の少年の犯行、ダークサイドとゲーム感覚の狭間〜

佐賀県教育委員会は不正アクセスによって生徒や保護者、教職員の個人情報、成績関連情報などが外部へ流出したと発表した。17歳少年の犯行である。

巷では犯罪の低年齢化が懸念されている。サイバー犯罪分野では1995年に逮捕されたアメリカ史上最悪のハッカー「ケビン・ミトニック」が、サイバー犯罪に手を染めたのは少年時代であった。現在はホワイトハッカーとしてFBIにも協力する同氏であるが、当時は金銭目的の詐欺行為など身勝手な理由で、不正侵入を繰り返し何度も逮捕された。佐賀の少年も本事案とは別にB-CASカードに関連する不正競争防止法違反の疑いで6月6日にも逮捕されている。少年達をダークサイドに引きずり込むハッキング行為は、スリルと好奇心から理性による抑止が難しい面がある。まさにゲーム感覚そのもの、少年達は犯罪という意識すら希薄なまま堕ちていく。今回の事件が教訓となることを願っている。

一方で不正侵入された教育委員会も、不正アクセスの可能性を認識しながらも1年以上放置しており、犯罪を助長したと非難されても言い訳は難しい。
 分野が異なるが、地域の犯罪を減らすため割れたガラス窓を無くすと効果があるそうだ。この「割れ窓理論」はインターネットの犯罪抑止のアナロジーとしても使えそうな気がする。例えば脆弱なシステムを放置せず、適切なセキュリティ対策と再発を防止する運用が、ネット社会の犯罪抑止につながるといった考えだ。
 脆弱なシステムやIoT機器の大掃除は大変だが、子供たちの健全な育成だけでなく、日本の信頼向上の為にも取り組むべき重要課題である。




【第9位】 6月14日 JTBグループのWebサイトから大量の個人情報流出か
   〜巧妙化する標的型攻撃メール、問われる日頃からの備え〜

6月14日、大手旅行代理店のJTBは、グループ会社のi.JTB(アイドットジェイティービー)のサーバへの不正アクセスにより、最大793万人分の個人情報が流出した可能性があると発表した(後に名寄せの結果として678万8443人に修正)。流出した可能性のある情報には、同社の3つのWebサイトで旅行の予約をした顧客の氏名、性別、生年月日、メールアドレス、パスポート番号などが含まれるという。

この事案は、誰もが知っている大企業グループで起きたこと、流出した可能性のある個人情報の多さなどから、少なからず世間の注目を集めることとなったが、セキュリティに関わる者にとっても多くの教訓を提示している。

まず、JTBによる発表のタイミングである。報道されているところによると、i.JTBのオペレータが標的型攻撃メールを開き、PCがマルウェアに感染したのは3月15日であった。その後、サーバに不審なファイルが作成・削除された痕跡が見つかり、さらにそのファイルに個人情報が含まれていた可能性が高いことが判明したのが4月、これらのことがJTB本社に報告されたのが5月とのことであり、流出した可能性のある個人情報の件数の確認などを経て発表に至った。事態が進行している最中に適切な発表のタイミングを判断するのは難しいことではあるが、顧客保護の観点からは、流出の痕跡が未確認、件数などが不明の状態でも、流出の可能性を発表すべきであったとも考えられる。
 次に、i.JTBに送りつけられた標的型攻撃メールは極めて巧妙なものであったという。送信者のドメインは普段から取引がある企業に偽装し、メール本文と添付ファイルの内容もオペレータの業務と合致しており、さらに添付ファイルの名前まで社内でよく利用するものを使っていた。まさにi.JTBの業務を調べ上げて作られた標的型攻撃メールである。このような巧妙なメールが実在することが改めて明らかになったことから、添付ファイルを開いてしまうことを前提として、感染を早期に検知して実害を食い止める手段の導入が強く求められていると言える。

JTBグループでは、今回の事案を受け、既に様々な対策を実行中とのことである。インシデントが発生する前に、同様の事案が自分の組織で発生した場合、適切な対応や判断が適切なタイミングで実行できるか、日頃から検証しておくことが肝要である。




【第10位】4月14日 EU、一般データ保護規制 (EUプライバシー規制) 正式に採択
   〜個人データの変化と脅威の遍在化に対応した新しいルール〜

4月14日、欧州議会は一般データ保護規制(General Data Protection Regulation: 以下GDPRとする)を正式に採択し、2018年5月25日に発効と決まった。このGDPRは1995年のEUデータ保護指令に代わるものである。これまで、EU参加各国はこのデータ保護指令に基づき、国ごとにデータ保護法を制定してきたが、2018年5月25日以降は、EU地域内はひとつのデータ保護ルールで強力な運用が行われることになる。
 今回のGDPRはデータ保護指令が発行された1995年以降の急速な技術革新による個人データの変化や脅威の遍在化に対応させるべく、また、今までEU加盟国毎に立法化してきた個人データ保護法を一本化させるべく制定されている。これらによって、データ主体個人に対しては「個人データ取扱いに対する権利の強化」、行政機関・企業に対しては「EU域内での個人データ取扱の統一性強化による個人データ保護にまつわる作業の効率化とコスト削減」等の効果が見込めるとされている。

企業は現在のEUデータ保護指令に新たな定義や権利への対応、個人データ保護の明確な組織化が求められる。たとえば、「個人データの範囲(識別)の拡大、明確化」、「規制対象企業の明確化」、「消去の権利(忘れられる権利) 」、「データポータビリティの権利」、「プロファイリング含め、取扱いに意義を唱える権利」、「監査当局を中心とする強力な執行制度の確立」等があり、GDPRの対象となる企業・組織は、個人データ保護対応組織、処理プロセスの明確化含めて対応が求められる。今まで構築してきた仕組みを見直し拡張することで対応できることもあるが、新たに構築しなければならない仕組みも出てくると考えられる。そして、EU域内に拠点をもつ企業だけではなく、EU域内の個人に商品・サービスを提供している企業はあまねくGDPRを遵守しなければならなくなるので注意が必要である。

個人データの第三国移転(日本はこれに当てはまる)に関する違反に関しては監査当局より、最大2,000万ユーロか前会計年度の全世界年間売上高の4%までの、どちらか高い方を制裁金として科される恐れもある。今まで大丈夫だったからと言い切れない、EUの個人データ保護に対する本気度が見えてきている。

2018年5月まであと1年半を切った。来年2017年はGDPRの対応準備完了の年となることを期待したい。日本企業が大量に摘発されないために。




【番外編】7月29日 東宝映画「シン・ゴジラ」公開
   〜荒唐無稽な娯楽映画ではあるが、危機管理の映画でもある〜

庵野秀明監督の東宝映画「シン・ゴジラ」が公開された。幅広い観客層の人気を獲得し、1954年に公開された本多猪四郎監督の「ゴジラ」に次ぐ名作との声もある。多くの評論家や識者がこの映画についてさまざまに語り、オンラインビジネス誌芸術総合誌科学雑誌でも特集が組まれるなど、一部で社会現象化した感もある。興行収入も80億円を突破し、12月に至ってもいくつかの劇場でロングラン上映が続いている。実写の邦画では、興行収入87億円を記録した「永遠の0(ゼロ)」以来の大ヒットとなっている。

ヒットした理由の一つに、リアリティあふれる描写があろう。荒唐無稽な「怪獣映画」でリアリティというのも妙な話ではあるが、舞台装置や小道具一つとっても非常にリアルである。閣僚の執務室や会議室、対策室などの舞台セットは本物の雰囲気を忠実に再現しているし、秋田県出身という設定の総理の執務室に郷里の名産品が飾ってあったり、壁に片岡球子の富士山の絵画がかかっていたり、応接室の机に龍村美術織物のテーブルセンターが置いてあったりと、極めてリアリティあふれる画面作りとなっている。

そして、ストーリーの中核となる政府の対応の描写もまた非常にリアルである。例えば冒頭近くのシーンで「緊参チーム(緊急参集チーム)に参集指示が出た」「連絡室を対策室に改組」などいう会話があるが、これは実際の政府の初動対処の手順通りである。2011年3月11日に発生した東日本大震災(以下3.11)においても政府はこのように動いた
 このようなリアリティを追求するため、映画製作者は、防衛省や政府・関連機関、関係者へのヒアリングを何度も行ったという。3.11発生当時の官房長官である枝野幸男氏や過去に防衛大臣を務めた現東京都知事の小池百合子氏などへの取材も行っており、映画のエンドロールにもその名が載っている。

この映画は、荒唐無稽な虚構の娯楽作品ながら、危機管理に関する群像劇としても十分鑑賞に堪える内容となっている。たかが娯楽映画、されど娯楽映画である。このような映画が多くの人の目に触れることによって、危機管理に対して関心を抱く人が増えてくれれば幸いである。


編集後記                                        JNSA事務局長 下村正洋

今年も十大ニュースを発表する時期になりました。今年は、「シンゴジラ」を番外編として選出しました。これは2位の票を集めたのですが、十大ニュースなのか?いやそうではないとの議論があり、結論として、委員全員がどうしても残しておきたく、番外編としました。選出理由は本文に書きましたが、筆者はそれとは別に役に立たない有識者と言うことに委員各位が自虐的に共鳴したのではないかと推測しています。
 選考会の模様ですが、昨年同様、今年も候補がたくさん出ました。総数は30件(昨年は29件)です。候補を列挙したときはバラバラな印象でしたが、選考を開始すると案外スムーズに1位から10位を決定しました。これは、幾年も選考会をやっていることで委員の協調性が育まれたのかもしれませんが、もう少し白熱しないと編集後記に書くネタが無くなります。来年からは、編集後記のことも考えてもらいたいものです。
 さて、選外には「ブロックチェーンのセキュリティ問題」、「クラウドセキュリティCSマーク取得企業増加」、「災害便乗型サイバー攻撃」、「Apple VS. FBI」などがありました。この編集後記を書いている間にも「米Yahoo新たな10億人データ漏えい」、「米大統領選サイバー攻撃ロシア疑惑」の報道があり、情報セキュリティとサイバーセキュリティの問題がひと昔前より社会に対するインパクトが大きくなっていると感じます。サイバー空間は従来の社会構造と関係なく横断的かつ網羅的に拡大していますので、これに対応すべく官民挙げてのより一層の協力が必要だと感じます。JNSAも少しでも協力できたらと感じています。
 それでは、いつものことですが、来年の10大ニュースには明るいニュースがもっともっと多く入ることを祈念して、編集後記を終わります。


◆本内容は、必ずしもNPO日本ネットワークセキュリティ協会(JNSA)の見解を示すものではありません。

JNSAソリューションガイド