2022セキュリティ十大ニュース

【第１位】2月24日 ロシアがウクライナへ軍事侵攻

---

【第２位】3月1日 取引先企業へのサイバー攻撃でトヨタ自動車の国内全工場が稼働停止

---

【第３位】6月23日 全市民46万人余の個人情報入ったUSBを紛失　尼崎市が発表

---

【第４位】7月2日 KDDI大規模通信障害　丸2日間

---

【第５位】10月31日　大阪急性期・総合医療センターでランサム被害

---

【第６位】5月18日 経済安全保障推進法公布

---

【第７位】11月4日　休眠から再び戻ってきたEmotetが活動再開、猛威は続く

---

【第８位】4月1日　改正個人情報保護法施行

---

【第９位】9月1日　デジタル庁発足1週年、期待と実績、改革は道半ば

---

【第１０位】7月11日 米国政府はLog4jの脆弱性に前例のない警鐘を鳴らした

---

【番外】11月1日　ISMAP-LIU運用開始

---

＜2022セキュリティ十大ニュース＞選定委員・解説
委員長・大木榮二郎／織茂昌之／唐沢勇輔／小屋晋吾／小山覚／
下村正洋／杉浦昌／須永知之／西尾秀一／竹内和弘／丸山司郎／持田啓司

---

【第１位】2月24日 ロシアがウクライナへ軍事侵攻
　　　〜国家間の戦争においてサイバー攻撃はどう位置付けられるのか？〜

2月24日にロシアがウクライナに全面的な侵攻を開始し、2022年12月現在においても終結の道筋がみえない戦争が始まってしまった。通常兵力による侵攻が開始したのは2月24日だったが、先んじて1月14日にウクライナ政府のウェブサイトにサイバー攻撃が発生し一時的にサイトをダウンさせるなどの被害が発生している（数日で復旧）。また、いわゆるワイパーによる攻撃がウクライナの複数組織に対して行われており、マイクロソフトが調査に協力しているとウクライナ政府が発表している。軍事侵攻とともに通信ネットワークへの大規模攻撃も発生し、実際に通信が遮断されているが、全体としてサイバー攻撃によって甚大な被害は出ていないというのが現時点の一般的な評価であろう。この原因については様々な分析があるが、ロシアが本格的なサイバー攻撃の準備をしていなかったためとも、ウクライナが国際的な協力も含めてしっかり準備してきたためとも言われている。最終的な評価は歴史になるのを待つほかないであろう。我々民間企業の一員としては、適切な対策を行っていれば国家規模の攻撃も防ぎうるというのは一つの重要な示唆になるのではないだろうか。

この戦争のもう1つの側面は認知領域をめぐる争いである。双方がニュースメディア、ブログ、SNSなどを活用して、偽情報も織り交ぜながら「自軍への支持」を得るための戦いを繰り広げている。現状この領域での戦いはウクライナが優勢と言えるだろう。（なお、西側諸国以外ではロシアの言説が力を持っているという分析も存在しているし、ロシア国内に限るとまだまだロシア政府を支持する国民が多いのが現状だろう。）ここまでの戦いは、政府関係者も含めて偽情報を堂々と展開するロシア側と、自国への被害を正しく伝えて西側諸国の同情を得ようとするウクライナ側という対立であったように思う。日本国内でも偽情報を展開するTwitterアカウントなどが多数確認されているが、メディアも含めた専門家の正確な情報発信によりデマを信じる人が多数を占めるような事態には陥っていない。コロナ禍のワクチンデマにも似たことが言えるが、偽情報に対しては正しい情報を大量に供給することが有効策であろうと感じる。

最後に日本でも影響のあったKillnetによるDDoS攻撃についても触れておきたい。e-Govをはじめ複数の著名サイトに影響があったため大きく報道されたが、相手がハクティビストであることを考えるとニュースになることは攻撃者を喜ばせることにしかつながらない。この手のDDoS攻撃は不幸にもターゲットになった組織が粛々と対応するのみで、特段騒がずにおく心構えも必要ではないだろうか。

---

【第２位】3月1日 取引先企業へのサイバー攻撃でトヨタ自動車の国内全工場が稼働停止
　　　〜改めて浮き彫りになったサプライチェーン全体でのセキュリティ対策の重要性〜

3月1日、トヨタ自動車株式会社は、国内仕入先（小島プレス工業株式会社）におけるシステム障害の影響を受け国内全14工場28ラインの稼働を停止した。小島プレス工業はトヨタ自動車の主要取引先の一つで、車の内装や外装に関連する部品を製造する会社であり、システム障害の原因はサイバー攻撃によるものとのことである。
　この事案を受けて、松野官房長官が3月1日の記者会見で「産業界においては、改めてサイバーセキュリティ対策の強化に努めていただきたい」と注意喚起を行う事態に至った。

小島プレス工業が3月31日に公表した「システム停止事案調査報告書（第1報）」によれば、ランサムウエアによりサーバやパソコン端末の一部でデータが暗号化されたため、さらなる攻撃予防のため取引先及び外部とのネットワークを遮断したとのことである。また、ランサムウエアの侵入経路は、小島プレス工業の子会社において、外部企業との専用通信に用いていたリモート接続機器の脆弱性を突かれて子会社内ネットワークに侵入され、さらに親会社の小島プレス工業内ネットワークに侵入されてしまったものであった。

トヨタ自動車の工場稼働停止は取引先である小島プレス工業のランサムウエア感染によるシステム障害が要因、小島プレス工業のランサムウエア感染は子会社のランサムウエア感染が要因と、サプライチェーンを通じたある種の将棋倒し的なインシデント波及が発生した事案と捉えることができるのではないか。言い古された事ではあるが、システム全体のセキュリティ強度は、その構成要素の中で一番強度の弱い要素に依存する。サプライチェーン全体に対してもこの観点でとらえることが必要であろう。

経済産業省が公開している「サイバーセキュリティ経営ガイドライン Ver 2.0」では、経営者が認識すべき3原則の1つとして、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策の必要性が示されている。本ガイドラインは現在Ver 3.0への改定が行われており、案段階のものであるが同じ3原則の中で、サプライチェーン全体を俯瞰した総合的なセキュリティ対策を実施すべきと記載されている。各企業においては、経営者のリーダーシップのもと、サプライチェーンに対するセキュリティ対策の重要性をあらためて全部署で認識し、その対策の徹底を継続して進めることが求められる。

---

【第３位】6月23日 全市民46万人余の個人情報入ったUSBを紛失　尼崎市が発表
　　　〜情報に　対する思いの　サイイタク（差異痛く／再委託）〜

兵庫県尼崎市は、すべての市民46万人余りの個人情報が入ったUSBメモリーを紛失したと発表した。 6月21日に給付金に関する業務を委託していた業者が、市の許可を得ずUSBメモリーで個人情報を持ち運び、大阪吹田市にあるコールセンターでのデータ移管作業を行い、終了後飲食店で酒を飲み、データを消去しないままのUSBメモリーをいれたカバンを紛失したとのことであった。

この事案に関しては11月28日に第三者委員会からの調査報告書が公表されており、委託先の無断再委託・再々委託の事実や事故に至るまでの経緯、再発防止に向けた提言が記載されている。
　この事案、これまでにもたびたび発生した「委託先からの漏洩」である。

またか。

これまでも同様の事故が起こるたびにセキュリティ専門家や監督官庁などから対策方法や遵守すべき事項が再三にわたり報告され、広く企業、自治体に周知されてきているのではなかったか、参考にするべき事故の教訓はいくらでもあるのではないか。なぜ繰り返されるのだろうか。
　もしかしたら、もっと根本的なところの意識が間違っているのではないだろうか。扱う情報が個人情報であれ営業秘密であれ、委託元はその情報の重要性を正しく認識し、どのように扱うべきか理解していないのではないか。あるいは委託先にその情報を託した段階で自分の責任は果たしたと思っているのではないだろうか。
　いやいや大丈夫、十分な認識をしている。というのであれば、その認識や思いを委託先にきちんと言葉で伝え、態度で示しているのだろうか。再委託・再々委託先があるのであれば、その情報に触れるすべての人間が同じ認識や思いを共有していることが必要であろう。 この本質的な部分がないままに、契約を結び、ガイドラインをなぞったとしても、時間の経過とともにそれらは形がい化していくだけではないか。今回の事案でも委託元に無断で再委託・再々委託があったと報告されている。思いが共有されていたとは考えにくい。

そう思いながら再び調査報告書を読むと、とても無機質な味わいであることに気が付いた。

---

【第４位】7月2日 KDDI大規模通信障害　丸2日間
　　　〜119番通報を含む生活インフラに過去最大級の障害〜

普段、当たり前に使っているスマホでの通話が、2日間にわたって全国でつながらなくなるというSFのような事故が起きた。

KDDIから通話障害に関する具体的な説明がないまま、通話しづらい状況がつづいたことから約13万件もの電話やメールによる問い合わせが発生し、総務省も次官級の幹部を派遣し利用者対応を指示する事態となった。

事故の詳細は、総務省の報告書に具体的に記載されているが、2022年7月2日午前1時35分頃から約61時間、KDDIの通信網に障害が発生し、3000万人規模の音声通話が利用しづらい状態となり、緊急通報を含む、運輸、交通、金融、電力など多様な生活インフラに影響を及ぼしたことで、我々の生活がいかに通信インフラに依存しているかを、身をもって実感することとなった。

事故の発端は、通信機器のメンテナンスにおいて古い作業手順書を使ったことによる操作間違いという明らかな人為的ミスによるものである。被害が全国に拡大してしまった原因は、通信障害の要因となる輻輳に対する制御装置が機能しなかったことによる。さらに復旧が長期化した理由としては、切り戻し作業においてバックアップファイルが破損してしまったり、異常を起こした交換機の停止ができなかったり、加入者データベースの不整合が発生したり等の複合的な要因が積み重なった事でこのような重大な事故につながっている。

通信キャリアの障害は、2018年のソフトバンク、2021年のNTTドコモなど過去にもいくつかの事例があり、それらの検証がなされてきたところであり、今回の検証結果も踏まえ、今後のシステムの高度化や複雑化に備えた対策をお願いしたい。さらには、国民生活の基盤となった通信インフラを確保するために、物理的な機材や通信経路などを含めた複数の通信キャリアによる相互補完関係など、国レベルでの対策を検討すべき時代になったと考える。

最後に一技術者として、復旧に携わった多くの関係者の方々のご尽力に感謝申し上げたい。

---

【第５位】10月31日　大阪急性期・総合医療センターでランサム被害
　　　〜人質は電子カルテ、外来診療や手術の停止など深刻な影響〜

またか！

この数年、医療機関へのランサムウエア攻撃のニュースを目にすることが増えてきたが、今年も地域の医療機関に大きな影響を及ぼす事件が発生した。大阪急性期・総合医療センターへの「ランサムウエア」によるサイバー攻撃である。

最近こうした重要インフラに対するサイバー攻撃が日常化して来ていると感じる。私たちの健康を維持するためにはなくてはならない医療機関の機能が停止してしまうことは、断じて許すことはできない。
　しかし、日本国内ではさらなるデジタル化を進めているところでもある。攻撃しやすい環境が広がることで、事件も多く発生することになってしまっており悩ましいところだ。

世界に比べて日本のデジタル化は遅れているといわれるが、それでも医療機関のデジタル化は確実に前に進んでいると感じる。電子カルテやレントゲン・CTといった画像診断時のデジタル化が進み、同一医療機関内だけでなく他の医療機関とのデータ連携も進み始めている。これにより、患者さんへの追加検査の省略などにより負担を減らしたり、治療の迅速化などが進んでいるのも事実だ。
病院関係者にとっても、患者にとっても利便性が向上するだけに、さらなるデジタル化やデータ連携を進めてほしいものだが、医療機関への攻撃が日常化してしまえば、安心して利用できる医療機関を選別することも考えねばならないだろう。

ところでセキュリティ業界の者としてこのニュースを見たときには、言い表せないもどかしさを感じたものだ。特に今回の事件は、医療機関が直接攻撃されたわけではなく、給食提供業者のシステムからランサムウエアが侵入した可能性があるということで、サプライチェーンの中で、どのようにしたら被害を広げない社会を作ることができるのかという視点で見るべきだろう。

当然医療機関のシステムに関しても構築や運用をしているシステム会社がいただろうし、ある程度のセキュリティ対応はしていたはずであろう。その中で、システム会社はサプライチェーンとのデータ連携上のリスクは確認していなかったのか？確認できていて対応はされていたのか？

昨今の医療機関への攻撃事件を受けて、厚生労働省では今年3月に情報セキュリティに関する指針を改定し、ランサムウエア対策の具体策を示していた。医療機関とシステム会社が厚生労働省の指針を共有できていて、その指針に沿った適切な対応ができていれば、今回の事件は防げたのではないだろうか？
　もちろん医療機関自らが気を付けねばならない問題ではあるが、セキュリティ業界全体として、待ちの姿勢ではなく積極的に最新の指針やガイドラインを把握し、それに沿ったセキュリティ対策を顧客に提案していくことが求められてきているのではないかと感じたニュースであった。

---

【第６位】5月18日 経済安全保障推進法公布
　　　〜国民生活や国家の安全確保の一端をサイバーセキュリティが担う時代が到来〜

第208回国会で「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(通称:「経済安全保障推進法」)案が政府から提出され、5月11日成立、同月18日に公布された。この法律では国民の生活および経済活動、また国家の安全を守るために「重要物資の安定的供給の確保」、「基幹インフラ役務の安定的提供の確保」、「先端的重要技術の開発支援」、「特許出願の非公開」の4つの制度が新たに創設された。

これらのうち、「基幹インフラ役務の安定的提供の確保」は、外国からのサイバー攻撃を想定していること、「特許出願の非公開」は軍事転用可能な技術情報の国外への流出防止を狙っており、どちらもセキュリティの要素・要件が含まれている。また「先端的重要技術の開発支援」には、テロ・サイバー攻撃対策も含まれており、この法律がセキュリティと深く関係していることが伺える。
　政府は基幹インフラとして14事業分野を政令で絞り込んでこの法令を適用させていくようであるが、サプライチェーンセキュリティを考えると14事業分野で収まらず、多くの企業・組織の対応が求められる。
　また、「特許出願の非公開」によって合法的に特許技術が手に入れる方法が狭められてしまう。合法的にその技術を得られない企業・組織・国はそれを得る手段としてサイバー攻撃を選択することが想定されるのでより一層の注意、対応が必要と考える。今でも学者や研究者に対するサイバー攻撃は後を絶たず、警察庁が注意喚起を発表した。

この経済安全保障推進法をきっかけに自社・自組織中心のセキュリティからサプライチェーンまで含めたセキュリティに移行する企業・組織が増えていくことを期待したい。

また、この法律では先送りにされたセキュリティクリアランスの制度化も検討が進んでいる。欧米では法律によって民間人にも展開されている制度であるが、日本では個人情報保護の観点とコスト面から民間企業で採用時の身辺調査を行うといったことはほとんど行われてこなかった。しかしながら、諸外国と先端技術に関する共同研究、共同開発、ビジネスを行っていく上では必須の資格(制度)であるので遠からず制度化されるものと思われる。どのような形で制度化されるのか注意深く見守っていきたい。

---

【第７位】11月4日　休眠から再び戻ってきたEmotetが活動再開、猛威は続く
　　　〜活動開始から8年、進化を続けるEmotetに終焉は来るのか〜

Emotetは当セキュリティ十大ニュースに2019年以来4年連続のランクインとなっている。Emotetという名のマルウェアによって毎年ニュースタイトルを飾られることは、セキュリティ関係者として、なんとも悔しい限りである。

11月4日、JPCERT/CCからマルウェアEmotetの感染再拡大に関する注意喚起を発表した。2021年11月後半より活動の再開が確認されているマルウェアEmotetの感染に関しての相談を多数受けているらしい。

Emotetは2014年「バンキング型トロイの木馬」として活動開始し、2017年より他のマルウェアをダウンロードする運び屋として進化、2021年1月にはEUROPOLE(欧州刑事警察連合)と欧州8カ国によってEmotetのテイクダウン成功とされた。しかし、同年11月より活動が再開され、2022年2月の第一週よりEmotetの感染が急速に拡大しており、Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数が2020年の感染ピーク時の約5倍以上に急増していることも確認されている。
　その後2022年7月中旬よりEmotetの感染に至るメールは国内では観測されていなかったが、11月2日から悪意のあるメールの配布が再度観測されてきている。

Emotet感染の手口は進化を続けており、2022年4月25日頃より、ショートカットファイル（LNKファイル）を悪用してEmotetへ感染させる手口を確認されている。ショートカットファイルがメールに直接添付されている場合やショートカットファイルがパスワード付きZIPファイルとして添付されている場合があり、このショートカットファイルをダブルクリックなどで開くとEmotetに感染させられる。
さらに、2022年11月2日から、メールに添付されたExcelファイル内に書かれている偽の指示が、コンテンツの有効化を促す内容だったものから、Excelファイルを記載したフォルダにコピーして開かせる偽の指示と変化した。この指示どおりに、Excelファイルを、記載されたTemplatesフォルダにコピーして開くと、マクロを無効化する設定にしていても、ファイルに含まれている悪意のあるマクロが強制的に実行されてしまう。これは、コピー先のTemplatesフォルダが“信頼できる場所”としてデフォルトで設定されているためで、このフォルダに格納されたファイルは、安全性の高いファイルとみなされ、マクロが実行可能になる。

11月中旬より活動は再度停止したが、いつ再発するのだろうか。今年で活動開始から8年が経過し都度、添付の形やEmotetバイナリに変化（進化）がみられることから今後もEmotetは変化に適応し続ける可能性がある。我々は今後の感染第N波への対応として、「with Emotet」とならぬよう引き続きEmotetへの対策が求められる。

---

【第８位】4月1日　改正個人情報保護法施行
　　　〜迅速な法整備とそれに足並みを揃えた社会への展開が課題〜

4月1日、個人情報の保護に関する法律、いわゆる個人情報保護法が改正された。従来は行政機関の個人情報保護は行政機関個人情報保護法によっていたがこれは同日付けで廃止され、行政機関の個人情報保護も今回の改正法の対象に統一された。

従来は5,000件を超える個人情報（データ）を保有する規模の事業者を対象としていたが、今回の改正ではその制限がなくなり、小規模事業者も対象となった。また、外国の第三者への個人情報の提供や、オプトアウトによる個人情報の提供なども厳格化された。
　一方、情報の一部を削除して匿名性を確保する「匿名加工情報」に加え、他の情報と照合しない限り匿名性が保たれる「仮名（かめい）加工情報」の概念も導入し、ビッグデータやAIによる情報活用にも対応した。この法律の目的である、個人情報を適切に保護・管理した上でその効果的な活用を実現しようとするものである。

今回の改正は、2016年（平成28年）１月に設置された個人情報保護委員会による見直しの結果である。本員会は内閣総理大臣の直轄となっており、日本の個人情報保護の司令塔の役割を果たしている。
　今、世界はビッグデータやAI、クラウドなど最新のIT技術を駆使してグローバルな競争が行われる時代となった。このような中、個人情報にまつわる急激な環境変化にいち早く対応するため、今後は個人情報保護委員会の主導のもとで3年ごとに本法律の見直しが行なわれる。
　本法律に対しては、国際的な整合性が不足しているという意見や3年ごとの見直しでは遅いという意見もあろう。しかし、最初に個人情報保護法が成立したのは2003年でその後2015年に改正された。今回は2020年に改正され、今年2022年に施行となっている。十分ではないが、法整備もドッグイヤーで進んでいくIT業界をフォローアップしようとしているように見える。

同時に、この法律の内容をどのように迅速かつ効果的・効率的に日本国内の企業や団体に周知し展開していくかが重要となる。おそらく官民学が総力をあげて取り組まなければならない大きな課題であろう。
　自らが個人情報を扱うと同時に企業や団体に対して調整や指導を行う立場の官、顧客や従業員の個人情報を扱う一方で個人情報保護をビジネスチャンスとして生かす立場の民、学生や教職員の情報を保有する一方で法制度やITなどに関する深い知見を提供しそれを世の中に広めていく立場の学、それぞれが立場は異なるものの、同じ目標に向かって活動しオールジャパンの総合力が発揮されるようにする必要がある。
　変貌し続けるIT技術の最先端を法律が迅速にカバーしていくだけでなく、それを速やかに現実社会に展開するという、車輪の両面のように調和のとれた活動が重要となる。

---

【第９位】9月1日　デジタル庁発足1週年、期待と実績、改革は道半ば
　　　〜全員参加で大胆な改革を！〜

9月1日、デジタル庁が発足1周年を迎え、「デジタル庁活動報告書」を公開した。デジタル庁は、2021年9月1日に当時の菅内閣の政策の目玉のひとつとして、行政サービスや民間におけるデジタル化の遅れを取り戻すべく、日本のデジタル化や行政DXを強力にリードする司令塔として創設された組織である。「誰一人取り残されない、人に優しいデジタル化を」をスローガンにスタートしたが、設立当初は、民間からのデジタル監起用や大量の民間人の採用、紀尾井町の最新オフィスビルへの入居、テレワークや兼業は当たり前という働き方など、活動そのものよりも「まずは形から」といった話題が多かった。行政サービスの電子化の遅れ、国や自治体のバラバラなシステム、マイナンバーカードの利便性や安心感の問題など、長年、先送りにされてきた課題が山積である状況下で、デジタル庁って楽しそうだけど何をしているのかよくわからないという声も聞こえてくる中、職員の皆さんはどのような気持ちで1周年を迎えたのだろうか。

「活動報告書」では、1年で着実に改革やサービスを前進させたとして、「デジタル社会の実現に向けた重点計画」の閣議決定、キャッシュレス法の成立、ガバメントクラウドの対象となるクラウドサービスの決定、新型コロナワクチン接種証明書アプリの運用開始などの成果を強調する一方で、わずか1年間で2回も担当大臣が交代したり、事業者向け共通認証サービス「gBizID（GビズID）」のシステム不具合による利用者の個人情報漏洩(2022年3月)や、メール誤送信事案の連続発生（2022年4月）など、行政DXを推進する立場であるデジタル庁に対する不安を頂かせるような事案も発生しており、期待したほどの成果が出ていないのではないかと論じられることもしばしばある。

しかし、このような期待値とのギャップは、デジタル庁に対する期待の裏返しでもあると考えられる。発足記念の挨拶で当時の菅総理が、「立場を超えた自由な発想で、スピード感をもちながら、行政のみならず、我が国全体を作り変えるくらいの気持ちで、知恵を絞っていただきたいと思います。」と述べている。我が国全体を作り変えるような「改革」は、決して一年間やそこらで成し遂げられるものではなく、また、デジタル庁の職員の皆さんだけで達成できることではないだろう。我々も、デジタル庁に対して目先のわかりやすい成果だけを求めるのではなく、本質的な「改革」の推進を期待すると共に、市民目線、民間企業目線で、積極的にこの「改革」に参加をしていきたいものである。

---

【第１０位】7月11日 米国政府はLog4jの脆弱性に前例のない警鐘を鳴らした
　　　〜既に侵入されている？動き出した攻撃者に対策は間に合うのか〜

7月11日 米国DHSに設置された Cyber Safety Review Board (以下、CSRB) は、Apache Log4j(以下、Log4j)の脆弱性対応に関する前例のないレポートを出し、「Log4jの脆弱性が重大なリスクとして10年以上もシステムに残りつづける」と警鐘を鳴らした。

Javaのログ出力ライブラリであるLog4jは、無料で利用できるオープンソースであるため、多くの製品やサービスに利用されている。ベンダー企業でさえ自社製品がLog4jを利用しているかどうか認識していないケースもあるそうだ。ましてユーザー企業では推して知るべし、どこで使われているか判らないLog4jの対策は、どこで使われているか根気よく調査することから始まる。自社のシステムがLog4jを使っているとは思いもよらず、調査すら行わなかった企業は、重大なリスクが見過ごされていないか確認をお願いしたい。

2021年12月 Log4jの脆弱性が公表された当時は、最大級に危険な脆弱性の1つとして大きく取り上げられた。しかし予想に反して「目立った攻撃活動は起きなかった」と言われている。この意味を裏返しに考えると、俗に言う喉元過ぎれば暑さを忘れるではないが、大規模な攻撃が起きなかったことで、企業側の危機感が高まらずLog4jの脆弱性対策が不十分なまま、サイバー攻撃に対して無防備なシステムが数多く残されている可能性がある。

そして、11月16日にはCSRBの警鐘を裏付けるように、米国CISAとFBIが共同でセキュリティアドバイザリーを発行した。イラン政府が支援する攻撃者が連邦文民行政局に行った、VMware Horizon ServerのLog4j脆弱性を悪用したサイバー攻撃と、その対策に関する情報提供と強い推奨が目的である。やはり水面下で攻撃は起きていたのだ。
　ほとぼりが冷めた頃に動き出した攻撃者と米国政府の攻防を見て、明日は我が身と心配している場合ではない。むしろ気づかぬまま既に被害者になっている可能性を疑うべきである。いまユーザー企業がやるべきことはただ一つ、社内で利用している全てのシステムを調査して、Log4jが利用されている場合は修正パッチを当て、既に侵入されていないか、しっかり確認することである。

Log4jの脆弱性が公表されて1年が経過した。この記事を読んで尚「知らなかった」では許されない。自社にあるシステムの総点検をお勧めしたい。

---

【番外】11月1日　ISMAP-LIU運用開始
　　　〜Low-ImpactはHigh-Impactになるか、その影響力に期待〜

11月1日NISC、デジタル庁、総務省、経済産業省はISMAP―LIU（ISMAP for Low-Impact Use）の運用を開始したと発表した。ISMAP-LIUとは2020年6月に運用を開始した「政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program: ISMAP）」のSaaS用の認証制度であり、読んで字のごとくセキュリティリスクの影響度が低い業務や情報処理に利用するSaaSサービスを対象としている。

そもそも、ISMAPは政府およびその関連組織が安全に、かつ、効率よくクラウドサービスを導入することを目的としていると言える。つまり、各々の組織で利用しようとするクラウドサービスを個別にリスク評価することは効率が良くなく、また、その評価もばらつきが出ることを避けることである。ただし、利用する業務や取扱う機密情報を限定せずに汎用的な側面で認証することから取得のための監査項目が多くなり、外部監査組織の工数は自ずと増加し、クラウドサービス事業者にとってはISMAP取得のための費用が大きくなる傾向がある。

一方、政府機関が利用しようとするクラウドサービスのうち、取扱う情報の機密性はあるがさほど高くない情報もあり得る。例えば、名刺情報や職員などの安否確認に使用する情報とそれらのシステムであり、利用シーンも限定することができる。この限定することを利用して取得のための監査工数を減らそうとするのがISMAP-LIUである。資料によると認証取得するための監査すべき管理策は5分の1になると記載されている。ただし、この業務を限定するためにひと工夫してあり、対象となる業務と情報についての事前審査プロセスが必要とのことである。

事前申請プロセスとは利用者（つまり省庁）が利用における影響度評価を行い、サービスプロバイダーがこの影響度評価を含めて事前申請を行う。事前申請が了承された後、認定審査を受けることとなる。したがって、事前申請にかかる工数が利用しようとする組織とサービスプロバイダーにISMAPより内部工数が増加することが予想される。この事前申請のための工数がISMAPと違って必要となることから、外部監査の費用が減るものの、この影響度評価の内部工数との総額がいかほどになるのかが注目されるところとなるであろう。

ISMAPとISMAP-LIUがこれからどのように浸透し、そして活用されてゆくかは、政府機関だけが活用するのではなく、民間においてもこの認定を受けたサービスをどう評価し、参考として活用してゆくのがキーとなるであろう。認定ということは、それなりに認定を受けるものにコストが発生するものであり、それに見合った利用が増えるなどの効果が見込めないと、いずれは使われなくなってゆくものである。また、監査という現在のところはアナログ的なもので評価していることが、もっと効率的な方法で評価できる方法が見つかればいいのではないだろうか。

制度は作ったところがゴールではなく、出発点であると考える。この制度を運用してゆく中で、様々な課題が出てくるであろうが、それらを解決しつつ、政府機関のみでなく民間も活用できる制度になってもらいたいと考える。その意味においても、来年にISMAP-LIUのみならずISMAP全体がどのようになってゆくかは注目すべきであることから、番外としてあえて取り上げた次第である。

---

編集後記　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　JNSA事務局長　下村正洋

今年も十大ニュースの季節が来ました。新型コロナが収束せずとも、ウクライナで戦争（ロシアは戦争とは言っていませんが）が起こっても、きちんと年末は予定通りやってくるものです。思い起こせば、十大ニュースはネットワークリスクマネジメント協会（NRA）が2001年12月に発表し、それより毎年休まずに今年で通算22回目になります。JNSAは2009年に引継ぎました。

第1回目より大木先生が委員長を務められています。ありがとうございます。他に第1回目より委員を務められている方は小屋委員、小山委員、竹内委員の三名の方々です。22年間ご苦労様です。これからもよろしくお願いします。また、今年は2名の方が退任され、新任の方と交代しました。退任された方は片山委員と岸田委員です。片山委員は2001年初回から、岸田委員は2003年から委員を務められました。ありがとうございます、おかげさまで22年間継続することができました。この場を借りて、お礼を申し上げます。新任の方は須永委員と西尾委員です。これから、よろしくお願いします。お名前の挙がらなかった委員の方には紙面の都合もありますので、割愛させていただきます。いずれご紹介いたしますので、それまでは必ず委員を続けてください。

さて、選考委員のことについては、これぐらいにして選考委員会の雰囲気と選外になったニュースを紹介します｡

今年の選考委員会はスタートが遅くなりました。いつも選考委員会を牽引していただいている小屋委員が大変忙しく時間が取れなかったためです。とは言え、大木委員長をはじめ委員全員の協力をいただいて短期間でまとめることができました。大変感謝しています。やればできるじゃないか、なんて言う言葉がどこからか聞こえてきます。時間がないとわかると集中できるものだと思いますが、委員の方には寝る間（仕事中も含め）を惜しんで書いていただいたのではないかと感謝いたします。加えて、小屋委員の社員2名の方、選考委員会の裏方をありがとうございました。

選外になったニュースで取り上げておきたいものは「メタップスペイメント46万件のカード情報漏洩」と「コインハイブ逆転無罪」です。メタップスペイメント事案はサイバー空間の信頼構築を参加者の自主性に委ねることの難しさを露呈したと考えられます。コインハイブの件はネットワークに様々な所有者のパソコンなどの機器が密接につながる中で不正とは何かについて考えさせられる判決であり、このような判決が積み重なって社会的なコンセンサスが形作られるものだと考えます。両方とも十大ニュースに入るべきものかもしれませんが、10という限られた数に収めるために選外となりました。

今年を象徴する漢字は「戦」でした。来年は「和」になることを願って、編集後記を終わります。

それでは、皆様、よいお年をお迎えください。

---