• 2012年
• 2011年
• 2010年
• 2009年
• 2008年
• 2007年
• 2005年
• 2004年
• 2003年
• 2002年
• 2001年

　今年の十大ニュースの選定作業は、これまでとはかなり雰囲気の異なるものであった。これまでは情報セキュリティの大ニュースがさまざまにある中で、どれを上位にするかさまざまな議論をし、そこが編集者の苦労の部分であり、また楽しみでもあった。しかし、今年は正直なところ重大なニュースといえるものに何があったかなと思い出すのに苦労をする年であった。セキュリティにかかわるニュースは数多くあったのであるが、みなニュースとしては小粒な印象なのである。

　Winny に関連するニュースが多く報道され、情報漏えいが多発したことが、今年のトップニュースに取り上げられた。情報セキュリティに対策の基本的な部分への見直しのきっかけになったさまざまな波紋を投げかけ大きなニュースになったが、これとて今年を代表するというほどの重大なニュースかとの印象がぬぐえない。

　「これこそ今年の大ニュースだ」というようなニュースが少なかった年とは、情報セキュリティにとって望ましい年であったのか、あるいはメディアも市民も情報漏えいなどに麻痺して、情報セキュリティがニュースにならなくなったのか、はたまた、地道な取り組みが効果を挙げてきたが、このような地味なものは大ニュースにはなりにくいということなのか、判断に迷う一年でもあったということもできる。

　これまでの十大ニュースの歴史を見ると、2003の「相次ぐセキュリティ事件の中に変化の兆しを見つけた年」から、2004「情報セキュリティは警鐘から淘汰の時代へ」を経て、2005は「セキュリティの基盤整備が動き始めた年」と総括してきた。この流れでいくと、2006の十大ニュースは「基盤整備は効果をあげるか、その兆しまだ見えず」と総括するのが妥当なところであろう。

　よく言えば、今までのような皆が認めるような重大なニュースは影を潜めたが、かといって基盤整備が大きな効果を挙げたとまだいえるような状況には至っていない。良くも悪くも中途半端な一年であったといえるのではなかろうか。これが、本格的に基盤整備の効果が実感できる前夜の苦悶の年であったと後年振り返ることができればありがたい。

【第1位】3月15日　Ｗｉｎｎｙ経由の情報漏えい事件多発
　　　　　　　　〜 求められる本質的な対応 〜

　3月15日、当時官房長官であった安倍総理から、「Winny を使うのはやめよう」という趣旨の異例の発言があった。政府や民間からの Winny を通じた機密情報の漏えい事件多発を受けての発言であった。
　防衛庁では私用PC を締め出すために７万台の PC発注を発表し、各種ツールベンダーは対策ソフトウェアを相次いで発表した。
　しかし、その後も機密情報の漏えいは後を絶たず、また Winny も相変わらず使用されている。情報漏えいが多発した背景にはいくつもの理由がある。
　直接の原因は「Antinny」というコンピュータウイルスであったが、それを発見するためのアンチウイルスソフトの未使用、あるいはこのウイルスには亜種が多く、その対応が遅かったアンチウイルスソフトも多かったと聞く。私用PC の持込やデータの外部へのデータの持ち出しが不用意に行われていた事も漏えいを拡大した。

　ただ、この事件の本質はもっと他にあるのではないだろうか。企業も政府・自治体などの団体も個人情報を含む機密情報の多くは電子的な情報となって存在し、それは業務の効率化に大きな貢献を果たしている。
　しかしその情報のコントロールは完全に行われていたであろうか。情報の所有者である企業・団体は、そのデータがどこにコピーされ、どのように利用され、そして廃棄されたのか把握していなかったのではないか。もしくは危険性を感じつつもそれを黙認し、あいまいにしていたのではないか。
　問題の本質はここにある。利便性の向上を図ることに走り、もっと重要なリスクの管理を怠り、あるいは軽視してしまったことにほかならない。
　いまだに情報漏えいは続いている。本質を見極めた根源的な対応を行わない限り漏えいはなくならないであろう。たとえ「Winny」がなくなったとしても。

---

【第2位】 11月21日　Ｊ−ＳＯＸ　内部統制実施基準案　発表される
　　　　　　〜 財務報告の信頼性を担保する 〜

　金融庁会計審議会から「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」が一般公開された。
　日本版SOX法（サーベンス・オクスリー法）は、金融証券取引法の一部として施行され、企業経営において必要不可欠となる内部統制に重点を置くことで、組織の財務報告の信頼性を確保することを目的としている。
　同法の対応においては、具体的にどれくらいのレベルの統制が要求されるのかはっきりせず、様々な情報、憶測が飛び交うなど、その対応に頭を悩ませた経営者、担当者も少なくなく、J-SOX法の中核をなす「実施基準」の公開が待ち望まれていた。

　企業の内部統制といえば、組織的な情報セキュリティの確立は内部統制そのものであり、個人情報保護法の対応に企業が躍起になったのはついこの前のことである。「今度は J-SOXに踊らされるのか、何とかしてほしい」との声も聞こえてきそうであるが、内部統制の確立はいずれにしても避けて通れない道筋であることは明らかである。余分な負担を強いられると受身で考えるよりも、これを機会に足腰を強くすると前向きに捉えた本質的な取組みに期待したい。

---

【第3位】 8月2日　ＭＳの狙われた第２火曜日
　　　　　　　〜 ゼロデイ攻撃に注意 〜

　ここ何年かのうちに、公表された脆弱性に対する攻撃のスピードが早くなってきている。公表後わずか数日で攻撃コードが出回るようになり、あたかもゼロデイ攻撃と思ったものである。
しかし、去年から今年にかけ、パッチが提供される前に攻撃される本当のゼロデイ攻撃が目につくようになってきている。最も手におえないのは、脆弱性が公表される以前にその脆弱性を攻撃されるゼロデイよりも「マイナスデイ」攻撃だ。
これらの攻撃は、アメリカを中心に全世界で利用されているシステムをターゲットにされるることが多いが、今年、驚くべきことが起こった。
ほとんど日本でしか利用されていないと思われる日本語ソフトの一太郎に対する攻撃があった。今まで、攻撃にさらされたことのないシステムまでが攻撃範囲にされてしまうと、脅威は、今までの比ではない。脆弱性の管理や公表等を行なっていないが故に、必然的にその数も増えてくるし、対策もおいつかなくなってしまう。

　ゼロデイ攻撃に加え、これまで以上に、何が攻撃対象にされるかわからない現在、OS やネットワークなど基本的なところからセキュリティ対策を施し、少しでもそのレベルを上げ、リスク軽減を地道に行なうしかなく、またその必要性が増している。

---

【第4位】11月24日　個人情報保護法に過剰反応
　　　　　　　〜 ギスギスした関係を改善していこう 〜

　個人情報保護法が施行されて早くも一年半が過ぎた。官公庁、企業含めてほとんどの組織体は苦労してそれなりに対応してきた。

　しかし、その努力が保護せんとするための過剰対応として表にでてしまい、法律の趣旨、個人の期待とずれた方向に進み、結果的に個人情報法の基本理念である『個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする』という視点から離れていっているような感が否めない。

　組織体は、個人情報を安全に管理する。これは他人の資産を預かる身としては、必要条件であろう。問題なのは、組織体は個人情報を預かって安全に管理すればいいのかという点である。個人情報を金庫にしまっているだけでは何の利益も生まない。また、個人も自分の情報を預けて利子をもらおうなんて思っていないであろう。両者に必要なのは、その個人情報を安全に適切に活用して、いかに組織体と個人の両者にメリットを生み出せるかであるはずである。

　そのような観点で、今の組織の個人情報保護の対応の仕方を再考する時期に来ているのではないだろうか。
・個人情報を出さないことだけに終始していないか
・法律で認められている開示まで拒否していないか
・個人情報保護の理由で本来のサービス提供が妨げられていないか

　また、サービスを受ける側の個人ももう一度、個人情報保護とプライバシー保護の違い、受けるサービスと個人情報保護のレベルについて認識を明確にしておく必要があるだろう。組織は個人からの過度の保護期待に対応しようとして無理をしている部分もあるはずである。

　もっと組織体も個人も法律の目的にたち返って『個人情報の有用性』を相互の共通認識として理解、確認した上で個人情報保護をしていく必要があるのではないだろうか。

---

【第5位】 11月30日　航空自衛隊員個人ＰＣから機密情報流失
　　　　　　　〜 境目が無くなる、個人と組織 〜

　過去ウイルス感染に関連して、検疫ステーション或いはネットワーク接続時のウイルスチェック等の対策が採られた。パソコン盗難・紛失に関連する情報漏えいに関しては暗号化、あるいはシンクライアント化が図られた。最近のWinny による情報流失事件に関しては、業務用パソコンの完全貸与が対策として推進されている。いったい何故この様な事件が起きるのか、これは第１位「Winny経由の情報漏えい事件多発」、第９位「米国でも大規模な重要個人情報の漏えい！ 　流出元は職員の自宅」と殆ど同じ事なのだが、その理由として我々の生活・労働環境が劇的に変化している事を見逃してはならない。
　過去業務に必要な事務用品は貸与していた。しかしパソコンの急激な普及、バブル以降の費用削減の中、職場へは個人PC が次第に入り込んで来た。業務で必要な用品は本来的には組織が貸与すべき物である。その原点に戻ってパソコンの貸与は歓迎すべき事である。しかし貸与だけではセキュリティ的には改善されるにせよ、労働条件として考えた場合、種々の問題が発生する事を見逃してはならない。例えば、休日に自宅で貸与品を業務で使用した場合、それは労働時間としてカウントされるのか。あるいは使用中に事故が起きた場合、それは労災になるのか。考えればきりが無い。
　この劇的な労働環境の変化は、公私の境目をどの様に引くのかも含め、これからのワークスタイル・ワークプレースのあるべき姿に対して大きな課題を突きつけている。労使双方協力して真剣に検討すべき時期である。

---

【第6位】 11月7日　増え続けるスパムメール
　　　　　　　〜 ウイルス付メールは減少傾向にあるものの、犯罪目的のメールは増大 〜

　最近は、Winny等のP2Pソフト利用者の感染をのぞいては、単純なコンピュータウイルスによる被害は減少傾向にある。それにかわって問題となっているのが、迷惑メール、いわゆるスパムメールの増大である。

　スパムメールは、単に不愉快なだけでなくそのチェックに多大な時間が必要となったり、メールサーバのストレージを圧迫したりする困った存在であるが、さらに最近は、それが犯罪に用いられるようになってきている。
　スパムメールを使い、悪意のあるコードを仕込んだ Webページや偽の Webページにたくみに誘導し、クレジットカード番号やログオンの ID、パスワード等の情報を窃取するのである。これは組織的に行われており、従来は麻薬取引等の違法な行為で利益をあげてきた反社会的な団体がその実行に乗り出していると聞く。彼らにとってサイバー犯罪は、「ローリスクハイリターン」な魅力ある犯罪なのである。

　このスパムメールの撲滅であるが、現状ではなかなか難しい。今のインターネットは、真の発信者が誰かを特定したり、偽装した送信を防止したりする機能が不足している。送信者と名乗っている者が本当にその送信者であることを保証する「真正性」を確保するには電子署名技術の活用が考えられるが、まだ広く社会全体で利用する段階には至っていない。ログの記録・保存等も、法的な裏づけが不足しているし、実際に実施する際の費用負担の問題もある。ネットワーク側でこれらを解決することのできる NGN も、まだそのアプローチが始まったばかりである。
　当面は、スパムフィルタソフトやサービスを利用して個々人で被害を受けないよう努力しつつ、社会全体で抜本的な対策を地道に進めていくしか手はないようである。

---

【第7位】 10月28日　SoftBank Mobile　ＭＮＰの受付で基本的なＩＴ障害
　　　　　　　〜 情報インフラを担う事業者としての自覚が求められる 〜

　　ソフトバンクの携帯電話番号ポータビリティ（MNP）に関する受付業務がシステム障害により停止した問題は MNP自体の話題性も相俟って、障害発生当時にはかなりの騒動となった。
　申し込み客の集中によるトランザクション処理急増だけが今回の障害発生の原因であるならば、今後は今回ほど申し込み集中するシーンは想定できないため、取り立てた心配をする必要がないという楽観的見方をすることもできる。しかしながら、一事が万事、通信事業者のサービスの信頼性を利用者に示すために、また、情報インフラを担う通信事業者として、今後同種の故障を二度と発生させない自覚が求められる。
　MNPの話題も今は昔、記憶の遠い彼方である。話題性は一時的なもの、通信事業者に求められるのは真に顧客が求めるものを提供し続けることである。
　MNP開始後の携帯各社のシェア変動が１％程度、ソフトバンク苦戦との話も聞こえている。これは携帯利用者の携帯サービスへの様々な面での信頼性を求める気持ちを反映している部分もあるのではないだろうか。

---

【第8位】 9月19日　ＮＴＴ東西 ひかり電話が長時間トラブル
　　　　　　　〜 ライフラインとしての信頼性の確保が急務 〜

　NTT東日本と西日本の IP電話サービス「ひかり電話」が 9月と10月に相次いで繋がりにくくなり、「ひかり電話」ユーザは悲鳴をあげた。いま記事を書いている 12月5日にも NTT東日本の「ひかり電話」は繋がりにくくなっている。

　電話局からの給電で動作する加入電話サービスは、停電などもしもの時に使える連絡手段であり、めったに故障しない信頼できるインフラとして社会に定着してきた。多くの国民は自宅の電話が使えないことなど思いもしないのが普通である。

　一方「ひかり電話」に代表される IP電話はインターネット技術を活用して音声通信を実現した新しいサービスである。しかし、ベースとなっている技術の違いが長時間故障の理由とは考えにくい。むしろ、新しい技術と古い技術を共存させ、安定運用することは想像以上に難しいことなのかもしれない。

　通信技術はアナログ通信からデジタル通信へそして IP通信へと急激な進化を遂げてきた。この変化に追従し、我が国の ICTインフラを支えた団塊の世代が現場にいるうちに、加入電話が経験した失敗も成功も含め、100年以上運用してきた加入電話サービスの本当のノウハウを、しっかり IP電話に引き継いでいただきたいものである。

---

【第9位】 5月22日　米国でも大規模な重要個人情報の漏えい！流出元は職員の自宅
　　　　　　　〜 現場管理は万国共通の組織課題 〜

　5月22日、米復員軍事省（VA）の管理する退役軍人の個人情報を含むデータが盗まれた。データ数は約2,650万件、過去最大級規模の情報漏えいである。盗難情報には、氏名や社会保障番号（Social Security Number: SSN）等が含まれていた。SSN は、様々な契約・手続きの際の本人確認手段としても利用されている、米国で最も重要な個人ID だ。

　同省の職員が規則に違反してデータを自宅へ持ち出していたところを泥棒に入られ、保存していた PC とともに盗まれた。同省の発表によると、情報自体を狙った犯行の可能性は低く、盗まれたデータが悪用された痕跡は見つかってはいないという。自宅の盗難被害は事故であるが、持ち出し禁止の重要情報を自宅に持ち帰っていたことは重大なヒューマンエラーだ。事故というリスクを考慮した上での対策が情報管理の基本であり、重要な個人情報の取扱い管理が行き届いていなかった典型例である。

　今年は、日本で従事者が勝手に持ち出した重要情報の Winny による流出など、情報の軽率な取扱いによる情報流出があいついだが、米国でも、こうした個人情報の流出が数多く問題となった。ヒューマンファクタによる情報流出は日本だけの問題ではない。

　個人情報は一度流出すると取り返しがつかない。個人情報の取扱いに従事している人は、掛替えのない重要な資産を顧客から預かっているという高い意識をもたなければならないし、また、組織としてはシステム技術による防止対策、規則とその運用の厳格化、従事者教育の充実など様々な面から対策整備が必要である。と言ってみるのは容易いが、それをどう現場に徹底し発生を防ぐか。公共組織・企業を問わず、不断の取組みを継続しつづけるしかないだろう。

---

【第10位】 10月25日　政府「情報セキュリティの日」を２月２日と制定
　　　　　　　〜 日本の情報セキュリティ文化の醸成に向けて 〜

　政府は、10月25日、内閣官房長官を議長とする「情報セキュリティ政策会議」第八回会合において、2月2日を「情報セキュリティの日」とすることを発表した。情報セキュリティが国の重要な政策であることを周知し、あるいは情報社会の発展に向けてＯＥＣＤで提唱されたセキュリティ文化“Culture of Security”発の醸成に向けた国民運動として盛り上げていくこと、などを目的とした新たな運動として注目したい。
また、同日10月25日には、「情報セキュリティ政策会議」において、「セキュア・ジャパン2006」の進捗報告も行われた。

　「情報セキュリティの日」制定の背景となった「第１次情報セキュリティ基本計画」は、2005年4月に発足した内閣官房情報セキュリティセンター（NISC）が 2005年12月13日に、政府の情報セキュリティ対策への全般的な取組みを行う中長期戦略として発表したものである。

　同計画では今後３年間で我が国を情報セキュリティ先進国として進展させることを目標とし、「経済国家日本の持続的発展を支える」、「安全・安心でより良い国民生活を実現する」、「我が国の安全保障におけるＩＴに起因する新たな脅威に対応する」ことを具体的理念として掲げている。

　情報セキュリティの日や前後には、行政機関や各種メディア、関係機関によるセミナやフォーラムが開催される他、情報セキュリティの取組みに関し、特に顕著な功績のあった個人又は団体が表彰される予定となっている。
これらの取組みが社会全体の情報セキュリティ意識やレベル向上に繋がることを期待したい。