【第１位】5月7日 ランサムウェアの被害広範囲に、影響は一般市民にも
　　　〜　ランサムウェア攻撃の脅威を思い知らされた1年　〜

今年は国内外でランサムウェア被害の事案が多発した年であった。 　9月に警察庁が発表した「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、企業・団体等からのランサムウェア被害報告件数は61件であり、昨年下半期の21件から大幅に増加しているとのことである。また、61件のうち大企業が17件、中小企業が40件と組織の規模に関係なく被害が発生している。一方、10月に発表された米国財務省報告書では、2021年上半期のランサムウェア被害額は5億9千万ドル（約670億円）であり、年間としては過去10年間の被害総額を上回るペースとのことである。上半期のみの数値ではあるが今年のランサムウェア脅威の重大さが数字にも表れている。

海外の大きな事案としては、5月に立て続けに2件、米国大規模石油パイプライン企業（Colonial Pipeline社）がランサムウェアにより操業停止に追い込まれた事案(7日)、世界最大の食肉加工会社（JBS社）がランサムウェアにより米豪の工場停止に追い込まれた事案(31日)が発生し、経済活動や市民生活に大きな影響を与えた。さらに、このような状況を受け、米サイバー軍司令官がランサムウェア攻撃グループに攻勢をかけていると12月に明らかにしたとのことであり、今年の十大ニュース第9位のサイバー攻撃への危機感につながる動きにもなっている。また、7月には、米国Kaseya社が提供するリモート監視・管理製品の脆弱性を突かれて、この製品をオンプレミスで使用してサービスを提供していたマネージドサービスプロバイダ（MSP）経由で、サービスを利用する多くの組織にランサムウェアが広がったという事案が発生した。この事案は、同じく十大ニュース第4位のITサプライチェーン問題でもあり、サイバー攻撃は様々なルートから拡散するということを思い知らされた事案でもあった。

国内でも上述の警察庁報告の通りランサムウェア事案が多発しているが、10月に徳島・半田病院がランサムウェア被害に遭い電子カルテなどが使えなくなり、再診や透析などの患者のみ受け入れて新規や救急は中止せざるを得ない状況に追い込まれ、地域医療に大きな影響を与えた事案が発生している。また、大手製粉会社ニップンが7月にランサムウェア被害に遭い8月に予定していた決算発表を延期せざるを得なくなったという事案が発生したが、ランサムウェア被害がこんなところにも及ぶのかと驚かされた事案でもあった。

今年のランサムウェア事案を振り返ってきたが、来年はランサムウェア攻撃が収まるだろうとは到底考えられない。ITを利用する全ての組織において、今年改めて明らかになったランサムウェアのリスクを十分に認識し、政府機関が提供する情報なども参照し、引き続きセキュリティ対策の着実な実施を怠らないことが求められる。

---

【第２位】3月17日 LINEデータ管理の不備が指摘される
　　　〜　にわかに盛り上がる経済安全保障の論議　〜

朝日新聞が2021年3月17日に、LINE利用者の個人情報に中国の関連会社からアクセス可能であったことを報道したことをきっかけに、3月20日には総務省や内閣府の個人情報保護委員会がLINEに対して報告要求をするなど大きな問題になった。LINEの親会社であるZホールディングスの対応も早く、3月19日に外部有識者による特別委員会の設置を公表している。

この問題は「何が問題だったのか」（あるいは問題でなかったか）が異なる視座で語られるためなかなか理解しがたいのだが、特別委員会の最終報告での指摘はバランスが取れており、重要な点をカバーしていると考える。すなわち、以下の2点である。

�@LINEアプリにおいて送受信される（中略）日本ユーザーのデータのうち、ユーザーから通報されたものに対し、委託先中国企業からの業務に基づくアクセスがあったことについて、LINE社においてガバメントアクセスのリスク等の経済安全保障への適切な配慮ができていなかったこと（後略、下線ママ）
�ALINEアプリにおいて（中略）韓国のデータセンターに保存されていたことについて、LINE社が、LINEアプリが日本のサービスとして受け入れられることを重視したコミュニケーションをしていたこと（下線ママ）
（「グローバルなデータガバナンスに関する特別委員会」最終報告要旨より引用）

本稿をご覧になっている方には自明かもしれないが、�@で契約関係があるにも関わらず委託先企業からのアクセスを問題視するのは、それが中国企業であり、中国公安当局が日本国民の個人情報にアクセスできた（ガバメントアクセス）可能性があるためである。ガバメントアクセスは、米国であれEUであれ、もちろん日本であれ犯罪捜査等の目的で存在している。にもかかわらず中国企業が問題になるのは、個人情報保護に対する考え方の違いと、米中対立が深刻化する昨今の国際政治情勢が背景にあるだろう。

経済安全保障という概念がカバーする範囲は広く、LINE問題に象徴されるようなガバメントアクセスだけの問題ではないし、サイバーセキュリティ分野の問題だけではない。しかしながら、潜在的な敵性国家でビジネスをおこなったり、そうした国の企業と取引したりする企業にとって、ガバメントアクセスは大きな問題の１つになっていくことは間違いないだろう。なぜなら、ビジネスをするということは必ず情報（データ）のやり取りが発生するわけで、その情報に当該国の公安機関がアクセスしうるということを配慮しなければならないからである。

いずれにしても経済安全保障についてはまだ議論が始まったばかりで、自社にとって何が問題になりうるのか想像を働かせながら事に当たるしかない。最近の動向については公安調査庁のホームページも参考になるだろう。JNSAのセミナーで登壇いただいた先生が、「時代が変わってきた。それを認識して情報収集するしかない。」とおっしゃっていたが、まさにリスク感覚を新たにして取り組まなければ、LINEの二の舞になってしまうかもしれない。

---

【第３位】1月27日 EMOTETテイクダウンの朗報、しかし再燃の動きも
　　　〜　国際間協力により完全破壊するも11月には復活　〜

EUROPOL（欧州刑事警察機構）は1月27日、オランダ、ドイツ、米国、英国、フランス、リトアニア、カナダ、ウクライナの8か国国際間協力の元で”世界で最も危険なマルウェア「EMOTET」を制圧した”と発表した。

　2014年にバンキング型トロイの木馬として初めて発見されたこのマルウェアは次々と姿を変え、ついにはマルウェア単体ではなく配布機能や最新化機能を持つサイバー犯罪者の御用達プラットフォームへと進化してきた。日本でも2019年第二四半期にWebサーバーが改ざんされEMOTETの配布インフラにされた報告を皮切りに12月には被害が本格化した。当セキュリティ十大ニュースでも2019年第7位、2020年第5位と毎年ランクインしてきた。

今までも民間の通信業者、ITベンダー、セキュリティベンダーの協力によって数々のボットネットをテイクダウンさせてきたのであったが、今回は官の組織が連携協力してC&Cサーバーまで制圧しEMOTETの動きまで管理下においたのだからお見事という成果であったと思う。

しかしながら、セキュリティはやはりイタチごっこと言うべきか、読者の方もご存じのように11月中旬からEMOTETがハリーポッターのボルデモートのごとく復活、活動を再開し、どんどん拡散していることが確認されているのだ。

今回のEMOTETの活動再開には別のボットであるTrickBotによる拡散が行われたようである。TrickBotは以前、EMOTETからダウンロードされる別のマルウェアの１つとして知られていたので今回はTrickBotがEMOTET復活を助けたことになる。

このTrickBotも2020年10月にマイクロソフトをはじめとする民間企業の協力によってTrickBotコマンドの遮断やC&Cサーバー通信遮断等によりほぼテイクダウンさせられていたものであったが、しぶとく生き残り復活してしまったマルウェアである。

官民協力、国際間協力までしてマルウェアを撲滅しようとする動きに対して”マルウェア軍”も協力して生き残りを図るという総力戦の様相を呈している。これを対岸の火事として見過ごすことをしてはいけないと考える。この戦いの最前線にいるのは、我々ひとりひとりなのだから。

---

【第４位】5月26日 ProjectWEBへの不正アクセスで官公庁等の情報が流出
　　　〜　今後のITサプライチェーンの課題は？　〜

今年5月、富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスのニュースが目に入った。 多くの官公庁や重要インフラで利用されている情報共有ツールであり、情報が流出するに至ったそもそもの原因究明と、流出した情報の確定が気になるところであり、その後の経緯を見守った。

同社がツール上の情報が流出したことを第一報で発表したのは5月25日。

その後８月11日に第二報で、本ツールの何らかの脆弱性を悪用したものである可能性が高い、としたが、原因の特定までには至らなかったようだ。また、外部有識者による「検証委員会」を設置したことも発表されている。

9月24日の第三報では、10月1日付で専任のCISOを任命することを発表。専任CISOがいなかったことは個人的には驚きであった。

12月9日第四報による直近の発表では、ProjectWEBは利用を終了し、新たなプロジェクト情報共有ツールを導入することとしたらしい。

長年使われていて脆弱性の解析が難しかったり、ITサプライチェーンを意識したツール設計ではなかった可能性など、多くの解決できない問題のために新ツールへの移行が決定されたと思われる。しかし、これらの発表において、ProjectWEBには数種類の脆弱性が存在したが、悪用された脆弱性の特定には至らなかったという点は大変気になるところではある。

今回の問題はITサプライチェーンで利用されるツールにおけるメーカーとしてのリスク管理をどう考えていくのかということだろう。

国を挙げてのデジタル推進の時代の中で、様々な組織や利用者が一つのツールでつながって行く世界が来ている。利用する側の注意だけではなく、ツール提供側のメーカーにおいても、完璧はないものと考えて、脆弱性があることを前提にしたツールのチェックやアップデート、運用面での監視方法の見直しや利用側への注意喚起など、メーカーにしかできない対応があることを考えてほしい。

今後はITサプライチェーン上でつながっているすべての関係者が、同じ空間で経済活動に関わっていると意識をして、社会全体が進化し続けていくことを期待したい。

---

【第５位】11月26日 みずほ銀行のシステム障害多発に金融庁が業務改善命令
　　　〜　日本企業の経営層に求められるITに対する理解　〜

11月26日、金融庁は「みずほ銀行」及び「みずほフィナンシャルグループ」に対して業務改善命令を発出した。2月から9月にかけて大規模なシステム障害を８回も発生させたことへの行政処分である。

　2月28日の障害では、システムに高い負荷がかかりやすい月末にデータの移行作業を実施した結果、多数のATMが稼働を停止してしまい、取引停止に加えて通帳やカードの取り込みを引き起こしてしまった。また9月30日の障害では、マネーロンダリング予防の確認をせずに外国為替送金を行い、外為法（外国為替及び外国貿易法）違反にも問われることになった。

　金融庁は改善命令の中で、システム上およびガバナンス上の問題があるとした上で、その真因として、「システムに係るリスクと専門性の軽視」「IT現場の実態軽視」「顧客影響に対する感度の欠如、営業現場の実態軽視」「言うべきことを言わない、言われたことだけしかしない姿勢」があると、みずほ銀行及びみずほフィナンシャルグループの経営や組織運営の不備を厳しく指摘した。

　八年間の歳月をかけて完成したみずほ銀行の勘定系システムMINORIは、その稼働開始時に「もっとも重要視したのは安全性・安定性の向上である」と、インタビューに答えた執行役員は述べている。社会の根幹を支えるメガバンクとしては当然の判断であろう。しかし稼働した後はシステムの開発にかかわった人材を異動させたり運用費用を削減したりしたことがわかっている。ITシステムやその運用に対する理解が根本的に不足していた可能性がある。

　第一勧業銀行，富士銀行，日本興業銀行を祖とする名門のメガバンクがどうしてこのようなことに、と残念に思う方も多いだろう。しかしこれはみずほ銀行に限ったことではなく、多くの日本企業にも共通することではないだろうか。

ガバナンスの不備、リスクの軽視、顧客の要望や現場の軽視、ビューロクラシーと社内政治の蔓延、そしてそれらに加え、ITが企業の命運を左右する決定的な要因であることに対する認識不足。これらは多かれ少なかれ昨今の日本企業が抱える共通問題であるようにも感じる。

　近年DX（デジタルトランスフォーメーション）が叫ばれ、米国をはじめとして欧州や中国などの世界中の多くの企業が、業務プロセスやビジネスモデル、自社のビジネスのありかたまでもITの力で変えていこうとしている。変えていかなければ企業の存続が難しくなる。そんな時代に、ITを変革の武器とするどころか日常の道具として使うことにさえ四苦八苦している日本企業は多い。日本が抱える問題は大きいと言わざるを得ない。

---

【第６位】1月29日 Salesforce設定ミスによる情報流出にNISCが注意喚起
　　　〜　クラウド・バイ・デフォルト時代における新たな責任の自覚　〜

発端は、昨年12月にPayPayと楽天が、クラウド設定不備による第三者によるアクセスの可能性を公表し、セールスフォースドットコムが「一部製品、または機能を利用するユーザーにおいて、Salesforce上の組織の一部情報が第三者より閲覧できる事象が発生している」と公表したことに始まる。 年が明けてNISCから注意喚起が行われた後に、金融機関や自治体を含む企業や団体から同様のプレスリリースが続き、公開情報だけでも30件以上あることから、実態はこれ以上の組織が影響を受けているものと考えられる。

従来、情報流出といえば、ソフトウエアの脆弱性や、管理側の設定不備などが主な原因だったが、今回の事件が特徴的なのは、「脆弱性起因の問題ではなく、利用者によるクラウド設定が適切に行われていない場合に起こる問題」ということにある。

デジタル庁が設置され、政府としてもシステム運用の効率化とセキュリティ水準の向上を目指してクラウドを第一候補として推進する中、水を差すような事件ではあったが、クラウドシフトした新しい時代におけるシステム利用の責任モデルを問い直すいい契機になったとも考えられる。

日本型のビジネスモデルにみるシステム管理は、取り決めのないことやトラブルなども含めてSIerに丸投げで「よろしくね」で済ませてきた。

しかし、クラウドの利用が前提になれば世界標準の約款や利用規約に従い、その取り決めに従ったサービス提供のみが行われる中で、トラブルも含め取り決めのない事は、利用側で責任をもってシステムの設定まで気にしなければならない。一方で、構築を請け負うSIerや機能を提供するクラウドサービス事業者についても「セキュア・バイ・デフォルト」を意識し、既定の設定や通常の使い方であれば、重大な情報流出などのインシデントにつながらないサービス設計をすべきであることは言うまでもない。

タイミングよくNISCから「クラウドを利用したシステム運用に関するガイダンス」が公表されたので、今後クラウド利用を考えているすべての方々に読んでいただきたい。

---

【第７位】10月21日 NTTと東京オリパラ大会組織委員会、サイバーセキュリティ対策を報告
　　　〜　懸念されたサイバー攻撃を防御し、東京オリパラは無事終了　〜

2021年夏、東京2020オリンピック・パラリンピック競技大会(以下大会)が開催された。新型コロナウイルスの感染拡大をうけ1年延期となった上、緊急事態宣言下の中で大半の競技が無観客開催となるなど、異例ずくめの大会となった。それでも、フィジカル、サイバー両面で大きな問題はなく無事終了することができたのは、運営に関わった多くの人の努力の結果であると感謝したい。

10月21日、大会の通信サービスの提供を担ったNTTと東京2020組織委員会から、大会のサイバーセキュリティ対策に関する報告があった。世界中の注目が集まるイベントであるオリンピック・パラリンピックはサイバー攻撃の格好の対象となる。大会期間中には、ネットワークシステムへの不審なアクセスにより4億5千万回にものぼるセキュリティイベントが観測されたが、全て適切に対処・ブロックし、大会運営に影響を及ぼすサイバーインシデントにつながることはなかったという。ネットワークシステムへの直接攻撃以外のサイバー攻撃も多数あり、組織委員会幹部を装う等のフィッシングメールが6000件以上も送り付けられていた。訓練の成果もあり、組織関係者でIDなどを入力した事例はなかったという。また、公式サイトに類似したドメインが約3000件確認されていた。これらのサイトを継続的に監視するシステムを作成し、偽のチケット販売サイトや動画配信サイトに利用されるなどの違法な動きがみられたものは閉鎖する手続きを取ったとのこと。12月7日にはNISC(内閣サイバーセキュリティセンター)からも有識者会議の報告がなされている。

これらの報告から、東京2020大会を無事終えることができた要因を筆者なりにリストアップしてみた。

・リスクアセスメントによるセキュリティリスクの評価
・適切なセキュリティシステムの導入
・脅威情報のモニタリングと情報共有
・過去事例や最新攻撃手法を分析し、最悪の事態を想定した訓練や監査
・侵入テスト等によるシステムのセキュリティ向上
・高い技術と意識をもつメンバの育成と適切な配置
・海外を含めた関係機関、関係事業者などのステークホルダとの連携、調整

こうしてあげてみると、セキュリティマネージメントを適切に実行した結果であるということが見えてくる。もちろん、国際的な一大イベントである東京2020大会は、規模、複雑さはとてつもないものであったに違いない。それを完遂したことは、推進した方々に敬意を表するしかない。

一方で、国をあげ、人とお金をかけての取り組みであったからこそ可能であったことだろう。東京2020大会のサイバーセキュリティ対策の実行を通して得た成果、知見、経験は、日本全体のセキュリティ向上に資する、まさにレガシー(有益な遺産)として活用していく必要がある。

---

【第８位】1月12日 ソフトバンク元社員を不正競争防止法違反で逮捕
　　　〜　社員による会社情報持ち出しの抑止力となるか？　〜

2021年1月12日、楽天モバイルに転職したソフトバンク元社員が不正競争防止法違反で逮捕された。

ソフトバンクが2019年の年末に退職した元社員の社有PCから、技術情報が送信された痕跡を確認したのが2020年2月である。奇しくも同年5月にはロシア元外交官によるソフトバンクに対するスパイ事件が明るみになり、退職者や内部不正による情報の持ち出しに加え、経済安全保障につながるスパイ活動のリスクが身近にあることを知らしめた。

　ソフトバンクは2021年5月6日1000億円超の損害賠償請求権を主張し、楽天モバイルと元社員に対する10億円の損賠賠償の訴訟を提起した。この訴訟は競合他社である楽天モバイルを牽制する派手なパフォーマンスにも見えるが、ロシアスパイ事件も念頭におき「社員による会社情報の持ち出し」を再発させないため、同社が示した強い姿勢とも受け取れる。

情報の持ち出しは、先端技術やノウハウを持つ企業だけではなく、企業と雇用契約を結んでいる技術者や営業マンにも、転職を考える際には頭の痛い問題である。

　ソフトバンクの元社員は2004年から2019年まで在籍した。技術者として蓄積したノウハウを頭の中に貯めるだけではなく、見読性のある情報として残したかったとしても不思議ではない。その情報を楽天モバイルに持ち込んだかどうかは裁判の結果を待ちたいが、自ら作成した技術資料やプレゼン資料を持っておきたい気持ちは理解できる。まして就業中の社員であれば尚更だろうが、決して許される行為ではない。

IPAが行った「企業における営業秘密管理に関する実態調査2020」によれば、「退職者による秘密情報持ち出しは36.3%、内部不正を原因とする情報漏えいは減少せず」だそうだ。リモートワークが普及し、自宅にあるパソコンやどこからでもアクセス可能なクラウド上で、営業秘密を取り扱う企業は増えていることだろう。しかし長期化するコロナ禍でガバナンスやモチベーションの低下が懸念される状況では、社員に対する罰則強化は退職者を増加させ逆効果となる可能性もある。

ニューノーマルな情報管理は、情報セキュリティの範疇では収まらず、事業継続や経済安全保障につながる問題に発展しかねないことを理解して取り組まねばならない。

---

【第９位】7月28日 「戦争の原因になり得る」とサイバー攻撃に強い危機感
　　　〜　対岸は存在しないサイバー空間の攻防　〜

米国のバイデン大統領が7月27日、「大国間による撃ち合いの戦争が起きるとすれば、（米国への）大規模サイバー攻撃によって引き起こされる可能性がある」と職員向けに演説し、「ロシアと中国によるサイバー攻撃の脅威への警戒を呼びかけた」と報道された。背景には米中・米露の対立が表面化したことによる国家間の緊迫した情勢があり、いつ有事が起こってもおかしくないという専門家もいる。この脅威は当然ながら日本にも影響を及ぼし、9月の警察庁発表によれば4月の宇宙航空開発研究機構（JAXA）をはじめとした国内企業等へのサイバー攻撃を実行した集団の背後には中国人民解放軍の関与の可能性が高いと結論付けている。同月に改定された日本政府のサイバーセキュリティ戦略では中国・ロシア・北朝鮮をサイバー攻撃の脅威として名指ししている。

　このような情勢の変化を踏まえて我々民間人、特に企業はどのように身を守っていくべきなのであろうか。DXに象徴される企業のIT利用が急速に進む中、システムに存在する脆弱性の対策はこれまで以上に急を要する。利用しているクラウドサービスの設定不備にも注意したい。また、怪しいメールやWEBサイトをすべて見分けることは不可能だが、対策システムの利用や従業員教育によりリスクを低減することは可能であろう。これら基本ともいえる対策の完成度はさらに高めていく必要がある。加えて脅威の常時監視やインシデント発生時の対策を強化する必要もあり、社内の担当者のみならずセキュリティの専門家や同業他社を含めた外部の協力体制を作り上げることも必要となっている。

企業が生き残るためには環境変化に対応することが絶対要件と言われる。サイバーセキュリティ脅威の変遷もこの環境変化に当たることを再度認識する必要がある。

---

【第10位】9月28日 VPN狙い撃ちの被害続く中、米政府堅牢化のガイダンスを公開
　　　〜　攻撃は境界型防衛への最後通告か　〜

本年2021年、世界はコロナ禍の未曽有の天災から抜け出す事のできないトンネルの中にあり、12月21日現在、感染者数2億7547万人、死者536万人を記録している。昨年の十大ニュース第1位は、「新型コロナウイルス感染症・緊急事態宣言　〜問われるテレワークのセキュリティと働き方〜」であった。今年の十大ニュースにおいては、第1位は「ランサムウェア被害」になっており、また十大ニュースのタイトル上はコロナの文字は現れていない。一見サイバーの世界ではコロナ禍は影をひそめた様に見えるが、皮を一枚はがしてみると、実はこれ等のキーワード間に密接な関連がある事が明らかになる。というのも、警察庁発表による「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、「ランサムウェア被害」の感染経路の割合の半数以上が「VPN」機器からの侵入と報告されており、「VPN」はコロナ禍において利用が急加速した「テレワーク」に関する基本的な要素技術であるからである。

VPN機器への攻撃は、2020年から増加し始めていたが、2021年は機器等の脆弱性の報告が増え、また脆弱な機器のアドレスが公開される等により急増した。更にVPN機器はセキュリティ機器と言うよりも、ネットワークの機器であり、パッチあてや機器の更新が迅速にできない等の基本的な対策の困難さを内包しているので、攻撃急増の大きな原因となっていたと考えられる。この様な中、米国のCISA(国土安全保障省、Cybersecurity & Infrastructure Security Agency)とNSA(国家安全保障局：National Security Agency)はVPN製品の選定および堅牢化のガイドとなる「Selecting and Hardening Remote Access VPNs」を公開した。内容はタイトル通り、VPN製品の選定に関する考え方や堅牢化のための種々の対策について述べているほか、従来から提唱されているセキュリティ対策に関しても触れられている。

ただし、この様にVPN等を用いサイバー空間を外と内とに分け、そのさかい目で防御する境界型防衛については数年前から限界が指摘されており、今はゼロトラストを基本とするセキュリティアーキテクチャに移行すべき時期に来ているとも言われている。確かにサイバー空間上いたる所に脅威が存在する現在、当然の帰結と言えるかもしれない。しかしこのゼロトラストの考え方は専門技術者の少ない中小規模の組織、あるいは一般個人にとって技術的に難解で、また投資にも限界があり、雲をつかむ様な話である。今や、コンピュータおよびネットワークのサイバー・インフラストラクチャそのものを、ゼロトラストを基本コンセプトとした、利用者に負担を強いない、新たなアーキテクチャとして再構築すべき時期に来ているのではないだろうか。

編集後記　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　JNSA事務局長　下村正洋

今年も始まりました十大ニュース選考会議。昨年に続いてオンライン会議です。昨年は編集後記で紹介したように小屋委員のアイデアと周到な準備によりオンライン選考が順調に進みました。今年も同じですので、順調に進むと思っていましたが、まったく予想は外れてWeb会議そのもので躓きました。Web会議に参加できなくて迷子になっている人、参加できてもファイルの共有ができない人、ボタンが見つからないと言う人、Web会議を別のものにしろ〜と言う人・・一時は騒然としましたが、なんとか選考会を開催することができました。このような混乱とストレスはいろいろなところで発生しているのではないでしょうか。もしかしたら、これが今年のトップニュース？かも。主催者の苦労と参加者のイライラ、待たされた時間。やっぱりリアルがいい！飲み会付きがいい！トイレに行く時間が欲しい！という声が聞こえてきたような。前年の編集後記ではオンライン化を評価したのですが・・・一瞬先は闇。でも、進歩しているのだと信じたいですね。

さて、選考会議のドタバタの紹介はこれぐらいにして、恒例ですので、選外になったニュースを紹介します。

惜しくも選外になったのは「デジタル庁の発足」、これは昨年の十大ニュース第３位に「デジタル庁の設置」として入っていたこと、重点計画を策定中で来年早々に発表するとのことで、来年に評価することにしました。デジタル庁の関係者の方々の奮闘を祈念しております。

ISMAPも昨年に引き続いてノミネートされましたが、これもまだまだ認定進行中との理由で選外になりました。その他、通信インフラやクラウドサービスなどのインターネット基幹系の障害がありました。

そうそう、「Log4j脆弱性」はどうしたとの声が聞こえてきそうですが、「Log4j脆弱性」については、選考会終了後に発表されたことから対象になりませんでした。影響度から考えると当然入選すると思われますが、その影響の大きさについてもまだまだ定かではないことから来年にしました。この件で昼夜を問わず対応作業に追われている多くの関係者の方々、縁の下の力持ち！の方々に感謝しつつ編集後記を終わります。

来年は新型コロナも落ち着き、平安な日々が取り戻されるように祈っております。

皆様、くれぐれもお体をお大事に。それでは、よいお年をお迎えください。

---