公開資料・報告書をお探しの方

【第１位】8月1日　7Pay、不正アクセス被害を受け一ヶ月でサービス廃止を発表
　　　〜　結果的に認証の普及に貢献！「ニダンカイニンショウ？」　〜

日本中が官民あげてキャッシュレス社会に突き進む中、1,500万人のnanaco会員を抱える株式会社セブン＆アイ・ホールディングスが、7月1日、QRコード決済市場に7Payを引っ提げて参入した。ところが、サービス開始の翌日にはユーザーから不正アクセス被害の問い合わせがあり、翌々日には入金処理や新規入会の停止を行う事となり、結局、一ヶ月後の8月1日には7Payサービス自体の廃止を発表する事態となった。

この事件は、システム上の問題に加えて、記者会見での社長の不用意な回答により大炎上となってしまったのが記憶に新しい。この失敗は、顧客の信頼を失ったと同時に、グループのデジタル戦略にも大きな影を落とした。この問題の教訓を明らかにする意味で、表面に現れた現象から、一部推測も含めてその奥にある真の原因に向かって考えてみよう。

1．明らかになったシステム上の問題
・2段階（要素）認証がなかった。
・生年月日を入力しなくても会員登録できた。（デフォルトで2019/01/01）
・パスワードの再設定手順で、他人のメールアドレスが指定できた。
・パスワード再設定の問題を修正したが、CSSで画面を非表示にしただけだった。
・外部連携機能において、ID（整数の数字）さえ分かればパスワードなしで認証できた。
2．システム開発時の問題
・10月の消費税対応を控え、7月1日のリリース厳守を前提とした開発となり、セキュリティ要件の検討や、脆弱性検査のスケジュールに無理があった。
・セキュリティ仕様の決定にあたって、リスク懸念はあっても利便性を優先するという判断があった、もしくは組織としてリスク判断する場がなかった。
3．インシデントレスポンスの判断ミス
原因追及が不完全なままでの一部システム停止や、小手先の脆弱性対策などが「逐次投入」されたことが、被害の拡大と現場の疲弊を招いた。
4．クライシスコミュニケーションの失敗
　緊急記者会見の会場で社長が「ニダンカイニンショウ？」と聞き返して話題となったが、「なりすまし被害」への対策について想定問答集を準備した上での会見ではなかった。仮に経営者が答えられなくとも、技術担当者が代わりに答える体制を用意すべきであった。
5．金銭を取り扱うサービスとしてのサイバーリスクの認識不足

これらの根本的な原因として、7Payサービスがポイント付与サービスと同等のリスク対策で乗り切れるという甘い認識、金銭目的の犯罪者に狙われる可能性があるというリスク認識が経営陣に欠如しており、グループ内に抱えるセキュリティ専門家等の経営資源を生かしきれなかった。

結局のところ、この件の真の原因はガバナンス不全にあると言わざるを得ない。あらゆる組織の経営陣にとって、サイバーセキュリティへの的確な認識を要求する事件ととらえたい。

---

【第２位】7月29日　米銀Capital OneでCloudから大量個人情報漏洩
　　　〜　万全なセキュリティ対策を施しているはずの金融クラウドから個人情報が・・・　〜

7月30日、日本の金融機関のIT部門に衝撃が走った。米国日付7月29日、米大手金融Capital Oneが1億600万人もの個人情報漏洩(BBCによると過去8番目)を公表したからであった。

Capital Oneといえば、クラウド化が進んでいるといわれる米国でも全業務システムをクラウド上で稼働運用させている唯一の金融機関であり、日本金融機関のクラウド化のリファレンス・ケースとなっている企業である。そのリファレンス・ケースが漏洩事故を起こしたのだから、そのときの関係者の動揺は想像に難くない。そのうえ、容疑者がクラウドプロバイダーの元社員だったという情報も火に油を注いだ形になった。

結果的に内部犯行的な要素はなく、また、クラウド環境だから発生したということではないことがわかっているが、これが公表された直後は、全世界のメディアが『金融機関がクラウドで情報漏洩』と一斉に報じたため、タイトルだけでクラウドの安全性に疑念を抱いた人も多かったと思う。

しかしながら、この事件にはサイバーセキュリティにおける実装考慮点が示唆されている。

1. (セキュリティ)製品の設定ミス：今回、WAFの設定ミスがあり、そこからクラウド・リソースに直接アクセスする情報を取得できた
2. 特権アカウントへの不必要な権限付与：今回、クラウドの特権アカウントに強力な権限が割り振られており、そのアカウントを使ってリソース、データへのアクセスが可能となった。
3. リソース、メタデータへの自由なアクセス経路：今回、特に制限しておらず、ネットワークによるアクセス制限ができていないとともに検知できなかった

以上3点については再度確認しておくことをお勧めする。

最後にあまり触れられていない点ではあるか、Capital Oneの発表では、センシティブ・データにおいては暗号化の他、フィールドのトークナイゼーションによるデータ保護がなされていたとのことで、今回の特権アカウントによるデータ略奪対策に一定の効果を発揮したと思われる。

また、7月17日の外部通報からインデント発見まで2日、公表まで2週間弱であったこと、公表においても件数、流出情報内容、発生原因、公表時での対応状況(原因についての対応済報告)、今後の対応と想定コスト等が含まれていたことなど評価できる点もある。さて、ここまで迅速にインシデント対応ができる日本の企業・組織は果たしてどれくらいあるのだろうか、いささか心配なところではある。

---

【第３位】11月5日　米国セキュリティ会社社員がユーザー情報を売却
　　　〜　対策の　形骸化から　フセイデル　〜

内部不正の事案が止まらない。11月にはトレンドマイクロ従業員が顧客サポートのデータベースに不正アクセスし、顧客情報の一部（約68,000人）を盗み出し第三者に売却、詐欺犯がこれを入手してサポート詐欺の電話をかけたという事件が発生した。本件は、顧客の通報から公表までに2カ月を要している。同社は当然厳しい情報管理、アクセス制限や証跡管理を行っているはずだから、内部不正を発見し調査する事はセキュリティ企業にとっても非常に難しいという事だろうか。内部不正はIPA発表の10大脅威において、毎年特にここ数年は、2014年のベネッセ事件以来常に上位にランクインしており、我々は標的型攻撃と共に内部不正の脅威を忘れてはならない。

上記事案の様な職務上知りえた顧客情報を詐欺事件の犯人に売却するなどの情報売買系以外にも、内部不正による事案は多く起きており、元勤務先のサーバーに侵入しデータファイルを不正に消去するなどの業務妨害系、業務で入手した女性の携帯電話番号を記録して女性にコンタクトをとるなどのストーカ系など枚挙にいとまがない。加えて物理セキュリティの世界でも、警備会社セコムの社員が、警備で出動した顧客宅から貴金属品を盗んだ疑いで逮捕されるという事件も起きている。

と上記の事案をもとに原稿を執筆していたが、12月6日に神奈川県庁のサーバーから取り外されたハードディスク（HDD）がネットオークションを通じて転売され、大量の行政文書が流出した、との大ニュースがスクープされた。日毎に詳細が報道されているが、事件を起こした被疑者は「ブロードリンク社」の社員であった。同社はパソコン買取り・破棄を主要な事業の柱とする情報処理関連企業で、ISMS認証は当然取得しているし、また会社の説明によれば数々のセキュリティ対策をとっているとの事だ（最も基本的な個数のチェックを行っていなかったと耳を疑う説明もあるが）。なお本事件は廃棄に関して、神奈川県庁はリース会社である富士通リースに丸投げ、富士通リースはブロードリンク社に丸投げでチェックせずという、委託側の怠慢も浮き彫りになっている。

情報セキュリティ脅威の中でこの「内部不正」系は対策がとり難い。基本的な考え方はISO27001付属書Aそのものを愚直に実施し続ける事だが、更に強調しなければならないのは、対策やルールの形骸化の進行とそれを防止する幹部の強力なリーダシップ・ガバナンスが必要という事だ。また特に、顧客の安心・安全を守るセキュリティ業界としては、この様な事案が多発すると業界の存立基盤そのものか危うくなるという危機感を共有し、早急な対応が必要だろう。

---

【第４位】11月8日　フィッシングサイトの月間報告が8,000件を超え過去最多に
　　　〜　フィッシング　見分ける対策　ナッシング　〜

11月6日にフィッシング対策協議会が発表した10月度のフィッシング報告状況によると報告件数は8,000件を超えており、月間報告数として過去最多を記録した。

今年はフィッシングの報告件数が特に多く、2019年8月の時点で2018年の年間報告数（19,920件）を超えている。フィッシング詐欺は2006年2月に国内での初の摘発事例があり、2012年に不正アクセス禁止法の中で明確に処罰化されたが、残念ながら今日に至るまで撲滅されることなく、むしろ増え続けている状況にある。

2019年に入ってフィッシング報告が増加しているのは、直接的にはスパムボットなどを用いてフィッシング詐欺メールが大量にばらまかれるようになったことが要因と考えられる。そうして詐取されたアカウント情報はブラックマーケットで転売される他、銀行口座からの不正送金に用いられたり、キャリア決済で高額商品を購入されて換金されたりといった被害につながっている。不正送金を例にとると、警察庁の発表で9月に436件、約4億2,600万円の不正送金被害が発生しており発生件数が最多、被害額が2番目に多い水準となっている。

つまり、ここにきてフィッシングが増加しているのは、スパムボットなどの犯罪者側の環境が整備されてきたことに加え、ネットバンクの二要素認証まで突破して即座に送金するような直接的な金銭詐取につながりやすい手法を犯罪者が見つけたことによるものと考えられる。

社会生活がますますサイバー空間に依存する中で、セキュリティ対策が行き届きにくい存在である一般ユーザーを狙う攻撃からどう社会全体を守っていくか、サイバー空間を含めた社会全体のガバナンスが問われる節目にあるのではないか。その意味で、今まで一般消費者、サービス提供事業者、警察、セキュリティベンダーなどがそれぞれの立場で行ってきた対策をハーモナイズさせる必要性に迫られていると感じる。

最後に余談になるが、フィッシングの増加にともない関連する話題がメディアに取り上げられることも多く、その中で必ずしも正しくない情報が流布されるのを目にすることがあった。（「URLがhttpsなら9割安全」など。実際には半数近くのフィッシングサイトがTLS対応している。）サイバー犯罪の手法は移り変わりが早く、常に最新の状況を知っておかなければならないと、自戒を込めて思った次第である。

---

【第５位】8月5日　リクナビの「内定辞退率」販売問題
　　　〜　学生に裏切られ感、利用した37社に行政指導、Pマーク取り消し　〜

リクナビを運営するリクルートキャリア（東京・千代田）は、同社が提供する「学生の内定辞退率を予測し販売するサービス」について、プライバシーポリシー同意取得に不備があったとして、学生と顧客企業への謝罪、当該サービスの廃止を報告するニュースリリースを出した。

同社は顧客企業から学生の氏名等の「個人情報」を受け取り、内定辞退率を予測し企業に売り渡していた。同社に個人情報を預けた学生の信頼を裏切ったことについて、8月5日の発表では、「同意取得フローの考慮不足があり、7,983名の学生の皆さまから適切な同意を得られていない状態であった」と釈明しているが、同意取得というテクニカルな問題に矮小化すべきではない。 そもそも、学生本人の内定辞退率を予測して企業に提供することの同意が取れるとは考えにくい。個人情報を扱う組織としての自覚や倫理観の欠如があったのではないか。8月5日時点での同社の認識はまだ甘いと言わざるを得ない。

8月26日、同社は個人情報保護委員会から勧告を受けリリースを出した際には、「学生視点の欠如」と「ガバナンス不全」の2点を今回の問題の根本原因に挙げている。

この根本原因を裏付けるように、個人情報保護委員会が同社に2回目の勧告を発し、さらに同サービスを利用していた37社に行政指導を行う事態に進展している。さらに厚生労働省は「サービス自体が不適切」などとして、同社に対し職業安定法に基づく行政指導を行ったほか、同37社にも「学生に不安を与えた」などとして行政指導を行った。

行政から「サービス自体が不適切」と言われることは、法人にとって死刑宣告に近い。同社のビジネスの根幹を社会から否定されただけではなく、「内定辞退率予測サービス」を看過してきた関係者が、深刻な「ガバナンス不全」に陥った責めを負うことになり、社会全体が一罰百戒の冬の時代を迎えるほどの影響が懸念される。

12月には、同社が行ってきた過去（2月以前）のサービス提供形態にまで議論が及んでいる。当時は氏名等の個人情報の代わりにブラウザに埋め込まれたCookie情報を利用して、内定辞退率の情報提供サービスを行っていた。報道によると個人情報保護委員会のある委員から「提供先で個人データになることをあらかじめ知りながら、非個人情報として第三者に提供する、法の趣旨を潜脱するようなスキームが横行しつつある」との懸念が示され、11月29日個人情報保護法の制度改正大綱の骨子案で、Cookieについても利用規制の対象になることを示すに至っている。

ドイツ、イギリス、フランスでは今年になって「eプライバシー指令」などに基づくCookie規制強化を相次いで打ち出しており、Webサイト訪問者の行動を分析して、広告やコンテンツをカスタマイズするサイト運用者への規制が厳しくなっている。日本も同様の方向に動き出したようであるが、わが国のCookie規制が健全なビジネスの発展を妨げるものにならないよう祈るばかりである。

---

【第６位】8月23日　AWS大規模障害で多数のサービスに影響
　　　〜　DX本格展開に、クラウドサービスの可用性意識が必要　〜

8月の連日の酷暑続きのなかで思考回路が途切れそうになりながら資料作りの調べ物をしていた時に、そのニュースが飛び込んできた。米Amazon Web Servicesが提供するクラウドサービス「AWS」の東京リージョンのデータセンターで、8月23日午後1時ごろから障害が発生したのである。

クラウドサーバの「Amazon Elastic Compute Cloud」（EC2）とクラウドデータベースの「Amazon Relational Database Service」（RDS）で障害が確認され、この影響で、決済サービスの「PayPay」、シェアサイクル「ドコモ・バイクシェア」、仮想通貨取引所「Zaif」などのほか、ローソンやスターバックスコーヒーといった日常頻繁に利用する店舗でも影響が出た。

クラウドサービスが世に出始めた当時は、セキュリティ面での懸念からオンプレミスからの移行はなかなか進まなかったが、多様なクラウドサービスが出現する中で、クラウドサービスへの不信感は徐々に消え、ハードウェアの耐用年数や、OSのアップデートを気にしなくてよいといった様々なメリットを考えてクラウドの利用は急速に進んでいる。DXの本格的な展開を推し進め、各企業の競争力維持・強化を図るためにはクラウドの活用が避けては通れないところだが、今回のニュースは利用者側の見えないところで、クラウドサービスをインフラとして、多くの便利なサービスが提供されていることを改めて実感させられるものであった。

このニュースは、業務継続性という観点で社会インフラ化しているサービスに影響が出ると、一般利用者に大きな影響が出るという点で、考えさせられるものであった。特にセキュリティ対策では、これまで機密性や完全性を優先としていた傾向が強い。プロバイダーは可用性を考えて、いかに冗長化を強化して、サービスダウンしない構成とするのかなどが重要となるだろう。また、ユーザーとしては、利用するサービスがどのレベルの稼働率を維持していないとビジネス上で困るのかを考えて、最低限の稼働率が提供できるサービスを利用することが必要だろう。

ビジネスのデジタルトランスフォーメーション（DX） を減速させないためにも、クラウドプロバイダー、クラウドユーザーそれぞれが可用性を考えたセキュリティ対策の強化が必要だと再考させられるニュースであった。

一時、利用推進に暗雲が立ち込めかけたクラウドサービスだが、これからさらなるDXの加速化でクラウド活用は急激に進んでいくだろう。今回の件ではクラウドサービスを利用する際に、サービスごとの許容範囲の明確化や代替手段の検討など、検討しておくべきことを教えてくれた事件でもあった。 今回の事件を糧にしてサービスプロバイダーの対策が進むことで、多くの利用者に安心安全な未来を期待しよう。

---

【第７位】11月27日　マルウェア Emotet の感染に関する注意喚起
　　　〜　Emotet　感染広がる　ソシキカン　〜

JPCERTコーディネーションセンター（以下JPCERT/CC）は11月27日にEmotetに関する注意喚起を発信した。10月後半より感染に関する相談を多数受けており、特に実在の組織や人物になりすましたメールに添付された悪性なWord文書ファイルによる感染被害の報告を多数受けていると報道された。JPCERT/CCでは 2018年3月にIoT機器に感染するMiraiの亜種に関する注意喚起を出して以来、マルウェア関連では1年8ヶ月ぶりの注意喚起であった。

このマルウェアは主にメールに添付されたWord形式のファイルを実行し、コンテンツの有効化を実行することで感染する。感染の影響は、
- 端末やブラウザに保存されたパスワード等の認証情報が窃取される
- 窃取されたパスワードを悪用され SMB（Server Message Block） によりネットワーク内に感染が広がる
- メールアカウントとパスワードが窃取される
- メール本文とアドレス帳の情報が窃取される
- 窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される
などとされている。

このマルウェアの怖いところは、受信するメールが、Emotet により窃取した情報を元に独自に作成されているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返信を装うものがある。そのため、取引先の担当者から送られているようにみえるメールでも、実際はEmotet が窃取した情報を元に攻撃者側から送られている「なりすましメール」である可能性があり、結果として受信者が警戒心なくマクロを実行させてしまうことである。

これだけセキュリティ対策が進んだ今日、なぜ単一マルウェアの感染が広がるのか多少不思議ではあったが、上記の特徴に加えて、日に数回ダウンロード先やペイロードの内容が変わるとのこと。既存のアンチウイルスソフトウェアだけでは対策が後手に回ることも多そうだ。攻撃者側はこの感染率の高さを武器に他ウイルスの感染インフラとしてのサービスまで行っているとの情報もある。

サイガというウシ科の動物がいる。この動物は絶滅危惧種で、2015年にその生存数の60%に当たる20万匹が大量死した。研究者によるとその死因は細菌によるものとのこと。この細菌、通常であれば犬や猫でも持っているような細菌で、これ自体が致命傷になるケースはあまりないとのこと。ところが2015年の気温が平均よりも高温多湿だったために異常増殖し殺傷能力が高まったとのことである。

インターネットという環境変化で凶暴化するウイルスに私達はどう対抗すればよいのか、生き残りの条件を探さなくてはならない。

---

【第８位】10月23日　Googleが量子コンピュータで量子超越性を達成と発表
　　　〜　来るべき未来に備え、暗号技術の継続的な革新が必要　〜

量子コンピュータの話題がホットである。10月23日、Googleは自社の量子コンピュータで「量子超越性」を達成したと発表した。現在のスーパーコンピューターでは1万年かかる問題を200秒で解けることを示したという。

これで、既存の暗号アルゴリズムも無力化されてしまうのか、というと「現時点」ではそんなことは全くない。あくまで既存のコンピュータでは計算が困難な「特殊」な問題を、量子コンピュータでは現実的な時間で計算できることを実証したにすぎないからだ。しかし、量子コンピュータが提供する計算能力(量子計算)は、情報セキュリティにとって脅威なのは事実である。現在の公開鍵暗号の原理となっている素因数分解問題や離散対数問題が、量子計算により効率的に解けることが理論的には示されているのである。ただし、現時点の量子コンピュータは50量子ビット程度であるのに対し、暗号鍵長2,048ビットのRSA暗号の解読には800万量子ビットが必要と考えられている。2030年までにこの規模の量子コンピュータの実現の可能性があるとの見積もりもあるが、一般的に使えるようになるのはさらにその先となる。

誰でも量子コンピュータが使えるようになるにはまだまだ時間がかかるとしても、悪意のある者が利用できるようになれば、現在の公開鍵暗号基盤そのものが危殆化し破壊的な影響をうける可能性がある。12月2日に、アマゾンのAWSから量子コンピュータを利用できるサービスの提供の発表があったが、将来、「実用的」な量子コンピュータがクラウド上で使えるようなれば、研究用途で利用しているものがネットワーク経由で不正利用される危険性がでてくる。

このような将来をも予測し、量子コンピュータとその活用技術の研究開発をすすめていく必要がある。折しも11月27日に内閣府の「量子技術イノベーション戦略」の最終報告案が取りまとめられた。量子コンピュータや量子通信・暗号技術についても主要技術領域として国をあげた研究開発の方針が示されている。また、耐量子コンピュータ暗号技術の研究も世界的にすすめられている。来るべき未来に備え、暗号技術の継続的な革新が必要である。

---

【第９位】2月20日　政府のIoT機器“侵入調査”｢NOTICE｣開始
　　　〜　無差別の侵入、やりすぎ、などの声もあった調査をどうとらえるか　〜

IoT機器を対象としたNOTICE（National Operation Towards IoT Clean Environment）と呼ばれる取り組みが2月20日より開始された。総務省、国立研究開発法人情報通信研究機構（NICT）及びインターネットプロバイダが連携し、サイバー攻撃に悪用されるおそれのあるIoT機器を調査するとともに、調査により危険性が検出された機器の利用者へのプロバイダー経由での注意喚起を行う取り組みである。また、当該機器の利用者による適切な対策をサポートするためのNOTICEサポートセンターも設置されている。

NOTICE実施開始については、2月1日に総務省より報道発表が行われ、合わせてお笑いタレントを起用したNOTICEポスターも公開された。

NICTの業務にサイバー攻撃に悪用されるおそれのある機器の調査等を追加（5年間の時限措置）する「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」（2018年11月1日施行）を根拠として行われる活動ではあるが、本調査はインターネット上で外部からアクセスできるIoT機器に、容易に推測される約100種類のID・パスワードを強制的に入力することにより設定が脆弱な機器を特定するというものであり、無差別の侵入、やりすぎ、なし崩し的に侵入範囲が拡大されるのではないか等の批判や危惧の声もあったと聞く。

このような状況で開始されたNOTICEの実施状況は定期的に公表されている。10月25日公表の実施状況は次の通りである。
　・調査対象IPアドレス：約10億アドレス
　・調査対象となったIPアドレスのうち、ID・パスワードが入力可能であったもの：約98,000件
　・上記の内、ID・パスワードによりログインでき、注意喚起の対象となったもの：延べ505件
現時点では容易に推測されるID・パスワードを設定しているIoT機器の数は少ない状況と評価されているが、利用者に対し、引き続き適切なID・パスワードの設定やファームウェアの最新版へのアップデート等のセキュリティ対策の徹底に努めることの重要性が強調されている。

NOTICEについては、報道発表やポスター公開、定期的な実施状況公表などによるIoT機器へのセキュリティ意識の醸成という面では一石を投じた活動であると考える。一方、2018年10月3日に総務省より公表された「IoTセキュリティ総合対策」では、(1)脆弱性対策に係る体制の整備、(2)研究開発の推進、(3)民間企業等におけるセキュリティ対策の促進、(4)人材育成の強化、(5)国際連携の推進の5つの柱（施策群）が示されており、5月31日に公表された総合対策プログレスレポート2019では、NOTICEは上記施策(1)の�E（利用者に対する意識啓発の実施や相談窓口等の設置）及び�G（サイバー攻撃の踏み台となるおそれがある機器に係る脆弱性調査）に位置づけられている。

今後、NOTICEによる意識醸成を始めとする、IoTセキュリティ総合対策で示される各施策の取り組みが着実に進展し、我が国における情報インフラ全体のセキュリティ向上につながることを期待したい。

---

【第10位】8月7日　東京五輪にAIを活用した顔認証技術を導入
　　　〜　AIのセキュリティ分野への活用広がるが　〜

2020年に開催される東京オリンピック・パラリンピック競技大会の組織委員会は、セキュリティ対策としてAIによる顔認証技術を用いることを発表した。不正な入場を阻止するとともに、選手や大会関係者の円滑な入場を可能にするという。

現在、AIに対する期待が高まり、さまざまな分野で活用しようとする試みが進められている。自動運転などの新しい応用だけでなく、金融分野や医療分野、オフィス業務や業務支援の分野など、従来からの分野に適用することによって、効率化やコスト低減を実現し、さらに新たな価値を創出するような成果もあげつつある。

セキュリティもそれらの分野の中の一つである。実際の適用はまだ緒についたばかりだが、AIに対する期待は大きい。海外のセキュリティ企業が行った調査では、セキュリティ担当者の八割強がAIセキュリティに効果があると回答したという。

AIは、セキュリティ対策のさまざまな局面で力を発揮する可能性がある。大量のデータを学習することによって、固定的な攻撃パターンだけでなく、通常とは異なったふるまいに加えて、データやトラフィックなどに潜む危険を検知することが可能となったり、人間が気付かなかったセキュリティ上のリスクを検出したりすることが期待される。さらに、AIに新たなリスクの検出や新たな攻撃手法を開発させようとする研究もなされている。

しかし、当たり前の話だが、AIは全てを解決する魔法の技術ではない。使い方によっては負の効果を生み出す可能性もある。AIをセキュリティ対策に使うことが出来るのなら、攻撃に使うことも可能であろう。そうなった場合、攻めるAIと守るAIのどちらが勝つのか。高い能力を持ったAIが勝つのであれば、最強のAI技術を握った者が世界を支配することになるのか。

また、監視カメラや各種のセンサーによってAIが常に国民を監視するような社会となるおそれもある。さらに、現状ではAIがどのような根拠に基づいて判断したのかを人間が知ることが難しいため、本当にAIが正しい判断をしているかどうかわからない。SF小説やSF映画にあるような、AIを握った独裁者あるいはAI自身が世界を支配するディストピア的な未来が出現してしまうのではないか。

もちろんこれらの心配が現実のものとなるまでにはまだ時間がかかるであろうし、本当に未来がそうなるかさえもわからない。しかし、備えを進めておくことは必要であろう。幸い、AIがもたらすインパクトの巨大さゆえに、さまざまな取り組みがなされている。説明可能なAIの実現やシンギュラリティ、AIの倫理、AI自体に対する攻撃の可能性など、課題は多いが、最終的にAIは人類にとって役に立つものとなり、それはもちろんセキュリティ対策にとっても有益なものとなり、それが人類に素晴らしい未来をもたらしてくれることを信じたい。

編集後記　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　JNSA事務局長　下村正洋

今年もJNSAセキュリティ十大ニュースを発表できました。大木委員長はじめ委員の方々に感謝申し上げます。振り返れば、この十大ニュースは2001年にネットワークリスクマネジメント協会（NRA）が始められました。この年は9.11テロが発生した年で、当然ながらその年のセキュリティ十大ニュースの第1位になっています。この初回から委員を務められている方が大木委員長を含め5名、その数年後に就任された方が2名、現委員総数12名中7名の方が長く委員を務められています。本当にご苦労様です。2009年にJNSAが引き継いでから10年が経ちました。改めて第1回目からを読むと大変面白いですので、時間がありましたらざっと眺めていただくのもいいかと思います。と書いていると、ふと思ったのですが、もしかしたら私たちセキュリティ業界の中堅をなす方々は、2001年はまだ社会人ではなかったのでしょう。その方々にも、一読されることをお勧めします。案外と言うか予想通りと言うか情報セキュリティ（サイバーセキュリティではありません）はあまり変化がないのではと思った次第です

さて、前置きが長くなってしまいましたが、選考会議の様子と選外となった候補についてお伝えいたします。まず選考会議の様子ですが、今年の選考会議は昨年の失敗、つまり、せっかく開始時期を早めたのにもかかわらず、それが有効に働かなかったことを反省して、今年はギリギリまで開催しませんでした。それでも、とにかく、何とか間に合わせることができました。候補に上がったのは約50件で、ダントツで第1位の7Payが入りました。その他も昨年と同様に順調に決定することができました。ますます委員の方々の協調性が育まれてきたのではないかと思っています。惜しくも選外になった候補は「FaceBook多額の制裁金」、「Coinhive事件無罪判決」がありました。その他に今年の世相を記憶しておくために「中国製ドローン米国の警告」、「情報銀行の始動」、「オリンピック大規模サイバー演習実施」、「NISCサイバーセキュリティ協議会発足」、「中国監視社会強化で個人格付け」、「JNSAセキュリティ事業者倫理行動宣言発表」、「GAFA対策検討本格化」、「度々起こる暗号資産流出」を記述しておきます。

それでは、来年は十大ニュースに明るいニュースがたくさん入ることを願いつつ編集後記を終わります。

---