2025セキュリティ十大ニュース

【第１位】 9月29日　相次ぐ企業へのサイバー攻撃、いまや“災害級”と指摘される脅威

---

【第２位】 11月28日　サプライチェーンに波及するサイバー被害、賠償問題に発展するケースも

---

【第３位】 4月3日　金融庁、証券口座乗っ取り被害急増で注意喚起、監督指針改正へ

---

【第４位】 2月27日　生成ＡＩ悪用し不正アクセスの中高生３人逮捕、12月にも

---

【第５位】 5月16日　「能動的サイバー防御」関連法案が成立、国家サイバー統括室の設置へ

---

【第６位】 3月25日　IoT製品に対するセキュリティラベリング制度（JC-STAR）の運用を開始

---

【第７位】 4月16日　IIJ不正アクセス、日本取引所グループや地銀など各所に影響

---

【第８位】 4月6日　東名高速や中央道などでETC障害　7都県、一部レーン閉鎖

---

【第９位】 8月28日　FeliCaのセキュリティ脆弱性報道で利用者に不安広がる

---

【第１０位】 11月20日　政府方針、2035年までに耐量子計算機暗号（PQC）に移行

---

【番外編】 11月18日　2025年11月18日はインターネットが壊れた日

---

＜2025セキュリティ十大ニュース＞選定委員・解説
委員長・大木榮二郎／織茂昌之／神山太朗／唐沢勇輔／小屋晋吾／小山　覚／
下村正洋／杉浦　昌／竹内和弘／西尾秀一／松本　泰／丸山司郎／持田啓司

---

【第１位】 9月29日　相次ぐ企業へのサイバー攻撃、いまや“災害級”と指摘される脅威
〜アサヒGHD、アスクル等のランサム障害、影響は市民にも〜

2025年9月29日、アサヒグループホールディングス（アサヒGHD）は、ランサムウェアによるサイバー攻撃を受け、大規模なシステム障害が発生したと発表した。この影響で、受注・出荷システムや物流関連の機能が停止し、全国の工場・販売現場で業務に大きな混乱が発生。商品の供給にも遅れが出た。影響はアサヒGHDに留まらず、アサヒの商品不足を補うべく、急な増産を迫られた同業他社の年末商戦にも混乱を来した。さらに調査の結果、約191万件にのぼる顧客や従業員等の個人情報が流出した可能性が公表され、個人情報保護の観点でも重大なリスクが明らかになっている。
アサヒGHDの事案がなかなか収束に向かわない中、10月19日には、物流・通販大手のアスクルでもランサムウェアによるサイバー攻撃により、同社のサービスでシステム障害が発生し、オンラインによる注文受付や出荷業務が一時停止。企業・個人事業主への供給が大幅に滞った。この被害は、アスクルの物流サービスを利用する小売・物流網にも波及し、無印良品（MUJI)、ロフト（LOFT）など他社にも影響を及ぼすと共に、医療関連資材の配送が遅延するという事態にまで発展した。また、この事案でも、個人情報がダークウェブに公開されていることが確認された。
これら2件のインシデントは、単独の企業だけでなくサプライチェーン全体ひいては業界全体、社会全体への影響を浮き彫りにしている。一企業のシステムダウンが全国レベルで商品供給や物流網全体に支障を来したほか、膨大な個人情報流出のリスクが現実化し、企業信用に深刻な影響を与えている。これは近年の台風や地震などに起因する工場の被災や物流網の被災による影響と似ており、サイバー攻撃が災害級の被害をもたらしうることが、あらためて認識されたといえよう。企業が外部に依存するIT・物流ネットワークのセキュリティ脆弱性は、ビジネス中断のリスクを増大させており、インシデント対応計画の策定や社員への教育、最新の防御技術投資の必要性が強く浮かび上がっている。

---

【第２位】 11月28日　サプライチェーンに波及するサイバー被害、賠償問題に発展するケースも
〜被害の連鎖、賠償問題から考える委託先管理の重要性と評価制度の意義〜

第1位となった、アサヒGHDとアスクルの両社へのランサムウェア事案は「被害は当事者にとどまらない」という現実を強く認識させる事例であった。サイバー攻撃は取引先や委託元など多くの関係者に連鎖し、見えないところで確実に損失を拡大させていく。
2025年は、11月28日の日本経済新聞の報道で示されたとおり、こうした被害の連鎖が「賠償」という形で顕在化した年であったと言える。前橋市とNTT東日本の9,500万円の和解、エムケイシステムを巡る3億円の集団訴訟、大阪急性期・総合医療センターにおける10億円の和解、複数メディアで報じられた関通による委託元への10億円の賠償負担――。いずれも、過去のサイバー攻撃が、時間を経て企業間の法的責任として噴出した事例である。賠償に応じるか／争うか、その結論が分かれた点は興味深いが、サイバー被害が賠償問題へと発展し得ることは揺るぎない事実である。
本来、責任の所在は、契約上の義務や賠償額の制限といった枠組みによって整理されてきた。これら個々の契約を見直すことは不可欠だが、限界があるのも事実である。法的安定性を確保するため、何らかの制度設計を検討すべき段階に私たちは差しかかっているのではないだろうか。
こうした被害の連鎖や賠償問題を背景に、委託先管理の重要性は一段と高まっている。経済産業省が4月14日に公表した「サプライチェーン強化に向けたセキュリティ対策評価制度」の中間取りまとめは、委託先管理問題における一つの前進である。企業ごとに異なるチェックリストに翻弄されてきた委託先、特に中小企業にとって共通の評価軸が示される意義は大きい。
サイバー攻撃は１社だけの問題ではない。サプライチェーンに連なるすべての企業が、リスクを共有する当事者として向き合い、支え合いながら全体の強靱性を高めていく――その覚悟がこれからの社会と産業を守る基盤となるはずである。

---

【第３位】4月3日　金融庁、証券口座乗っ取り被害急増で注意喚起、監督指針改正へ
〜デジタル時代の証券犯罪と20年越しの“認証”問題〜

証券口座乗っ取り被害が、11月までの累計で不正取引が7100億円超に達し、深刻な社会問題となっている。
この手口は古典的な証券犯罪であり、特定の株の買い注文を連続で出し意図的に株価をつり上げた（バンプ）後、別の口座で高値で売り抜けて利益を得る（ダンプ）という手法を、ネット経由で他人の証券口座を乗っ取り（ハック）身元がばれないように実行することから「ハック、パンプ・アンド・ダンプ」と呼ばれている。
根本原因は、証券会社を装ったフィッシング詐欺や、情報窃取に特化したインフォスティーラー（マルウェア）によって、IDとパスワードが盗まれることにある。銀行では2010年頃からフィッシング詐欺等による口座乗っ取りが多発したことから、MFA（多要素認証）の導入が進んでいたが、証券業界はMFAの導入が進んでおらず今回標的になった。
また、銀行業界では2005年頃の「偽造キャッシュカード問題」を契機に預金者保護法が成立し、サイバー犯罪における被害者補償が行われているが、証券会社は同法の対象外であるため補償の法的根拠が無く、被害が拡大するまで対策が遅れた可能性が指摘されている。
この事態を受け、金融庁と日本証券業協会は10月に監督指針およびガイドラインを改正しMFAを必須とした。また、預金者に対する補償は個社の判断で実施されている。
ただしMFAといってもメールやSMSを用いたワンタイムパスワードは、リアルタイムフィッシングに対しては耐性が低く、より耐性の高いFIDO2/パスキー認証の導入や、さらには欧州のeIDAS 2.0のようなトラストサービスの検討も必要である。この証券口座乗っ取り問題は、証券業界だけでなく、今後のインターネット上のサービスセキュリティ全体にとって大切な教訓である。

---

【第４位】 2月27日　生成ＡＩ悪用し不正アクセスの中高生３人逮捕、12月にも
〜圧倒的なAIパワーの光と影　攻撃もAI、防御もAI〜

AI技術が爆発的に進化しており、さまざまな分野で大きな成果をあげている。しかしそのパワーは、正の効果だけでなく負の効果も生みだしている。2月、自作したプログラムで携帯電話会社大手の「楽天モバイル」にアクセスして不正な利益を得たとして中高生3人が逮捕された。12月にはインターネットカフェ大手の「快活CLUB」に不正アクセスを行ったとして高校生が逮捕され、いずれも攻撃プログラムの作成にAIの助けを借りていた。いずれもチャットGPTで作業の効率化や処理速度の向上システムの防御策をすり抜ける方法、不正アクセスを試みる最中にエラーメッセージが出た際の対応を質問し、機能を改善させていたという。
近年は通常のプログラム開発でもAIを活用する試みが進められており、特に初学者には効果があることがわかっている。今回の事件はそれがセキュリティに悪用されたわけで、AIの正しい活用を「光」とするなら、今回のような悪用は「影」と言えるだろう。
セキュリティにおけるAIの悪用はプログラム開発だけにとどまらない。8月、ヨーロッパのサイバーセキュリティ企業ESET社が、AIを使う新しいタイプの攻撃プログラムを発見したと発表した。このプログラムは、クラウド上のAIに適宜問い合わせを行いながらターゲットとなったコンピュータ内の機密性の高いファイルを探したり暗号化したりといった不正な攻撃活動を行う。AIを悪用することによって、高度な攻撃を大量に行うことが可能となりつつある。
しかし一方では、セキュリティにおける「光」の活用も盛んになっている。従来から「アノマリー検出（異常検出）」と呼ぶ手法で攻撃を検知する試みがなされてきたが、これをAIにやらせることによって、膨大な通信の中からさまざまなサイバー攻撃や犯罪行為を迅速に検出できるようになる可能性がある。また、守るべきシステムに対してあらかじめAIを活用した疑似攻撃を行い、脆弱（ぜいじゃく）な箇所をみつけだす試みもある。
AIが強力なパワーを発揮するようになった現在、セキュリティも、AIを正しい目的のために活用することが重要になってきたと言えるだろう。

---

【第５位】 5月16日　「能動的サイバー防御」関連法案が成立、国家サイバー統括室の設置へ
　 〜欧米主要国並みのサイバーセキュリティ抜本強化を期待〜

長らく議論されてきた「能動的サイバー防御」関連法案であるサイバー対処能力強化法及び同整備法が可決・成立した。これにより、サイバーセキュリティ戦略本部の本部長を内閣総理大臣とし、全ての国務大臣を本部員とする組織に改組された。
また、これを受けて7月には内閣サイバーセキュリティセンター（NISC）を発展的に改組し、サイバー安全保障分野の政策を一元的に総合調整する国家サイバー統括室（NCO）が設置された。
この法律で具体的に行える活動は今後議論の上で詳細が決められていくが、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させることを目標にした法律であり、主なポイントは�@官民連携（強化法）、�A通信情報の利用（強化法）、�Bアクセス無害化措置（整備法）だ。
今年は特に、ランサム攻撃により被害企業の業務が停止することで、システムだけでなく多くの物流が止まり、取引企業だけでなく消費者である個人にまで多大な影響をもたらす事件が発生した。また、今年の参議院選挙では外国勢力による選挙介入の指摘や、海外のハッカーによる国内メーカーへのゼロデイ攻撃など、武力攻撃には至らないものの安全保障上の懸念を生じさせる重大なサイバー攻撃などが発生している。
社会インフラを支える企業が積極的にDXを推進し、より便利で快適な市民生活が送れる環境になっている実態を改めて認識することとなったともに、この便利で快適な環境をさらに発展させていくためには、海外からの脅威も想定しながら安心・安全な社会を作っていくことが必要だろう。
「能動的サイバー防御」関連法案には適切な運営がなされるのか不安視する意見もあるようだが、法制化の趣旨である「国民生活や経済活動の基盤」と「国家及び国民の安全」をサイバー攻撃から守るため、能動的なサイバー防御を実施する体制を整備することで、DX推進によるさらなる社会の発展と生活への恩恵を享受できるための土台となって欲しいと思う。
※参考：内閣官房　サイバー安全保障に関する取組（能動的サイバー防御の実現に向けた検討など）
https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/index.html

---

【第６位】3月25日　IoT製品に対するセキュリティラベリング制度（JC-STAR）の運用を開始
〜適切なセキュリティ対策を備えたIoT製品の普及に期待〜

3月25日、経済産業省より、「IoT製品に対するセキュリティラベリング制度（JC-STAR）の運用を開始」との発表がなされた。この制度は、インターネットと接続可能なカメラ、センサなど様々なIoT製品を対象として、これら製品に具備されているセキュリティ機能を共通的な物差しで評価し、その結果に基づきラベル付けし可視化する仕組みを提供するものである。デジタル化の進展に伴い様々なIoT製品が急激に増加している状況の中で、IoT製品の購入者・調達者が、この制度のラベルを確認することで、自らが求めるセキュリティ水準の製品を容易に選択可能となることを目指している。
具体的には、★１（レベル1）から★４（レベル4）の4種類のラベルが定められている。★１は共通して求められる最低限のセキュリティ要件、★２は製品類型ごとの特徴を考慮した★１への追加基本セキュリティ要件を定めるものであり、IoT製品ベンダー自らが自製品を評価しラベルへの適合を宣言する仕組みである。これに対し、★３と★４は、第三者がラベルへの適合を評価する仕組みであり、政府機関や重要インフラ事業者、地方公共団体、大企業等の重要なシステムでの利用が想定されている。
12月16日時点でレベル1適合として135製品が登録されている。レベル2の申請受付は2026年以降の開始を計画とのことであり、第三者評価が必要なレベル3については、一部製品類型のセキュリティ要件・適合基準についてのパブリック・コメント募集期間が終了した状況である。
IoT機器を狙うサイバー攻撃の脅威が課題となる中、この制度は重要な役割を果たす制度と考える。現時点のレベル1での運用状況を踏まえ、制度の今後の着実な展開を期待したい。また、IoT製品ベンダー、IoT製品を含むシステムの設計・構築事業者それぞれにおいてこの制度を活用いただき、IoT製品単体だけでなく、IoT製品が関わるシステム全体のセキュリティレベルの確保に取り組んでいただくことが望まれる。

---

【第７位】 4月16日　IIJ不正アクセス、日本取引所グループや地銀など各所に影響
〜セキュリティ維持には持久力と自救力と〜

IIJセキュアMXサービスへの不正アクセス事案は、当初最大400万件超の漏洩可能性が発表された重大インシデントとなった。この影響は、日本取引所グループ（JPX）や複数の地方銀行といった企業にも波及し、専門家を含むすべての関係者に衝撃と重要な教訓を与えた。高い技術力を持つIIJでも破られるという事実は、サイバー攻撃の高度化と、従来のセキュリティモデルの限界を明確に示している。
この事案が示す教訓は、ITサービス提供事業者と利用側の双方にとって重い。
まず、事業者への教訓は、「絶対安全神話の完全なる終焉」だ。どれほど防御技術を投入しても、脆弱性や設定ミス、サプライチェーンのどこか一点を突かれるリスクはゼロではない。これからは、「侵入されることを前提」としたセキュリティ戦略への転換が不可欠だ。システム設計では、万が一侵入された際に「早急に検知できる仕組み」、すなわち監視の強化を最優先しなければならない。 防御の多重化も併せて必要性が高まる。さらには変化する脅威に応じて継続的な防御体制の見直し、強化が必要となってくる。機密情報を預かる以上、防御失敗時の「被害極小化」こそが企業の社会的責任となる。
IIJが示した再発防止策は、この教訓を体現している。具体的には、「サービス設備における振る舞い検知機能の強化。Webアプリケーションファイアウォールの多層化による防御の強化。サービス全体における再発防止を目的に社長の直轄プロジェクトを発足。」と発表された。
次に、サービス利用側への教訓である。利用者は、ベンダーのブランドや技術力を過信してはいけない。サービス選定時、価格や機能だけでなく、「データがどのように保護されているか」「インシデント対応の透明性」を基準に加えるべきだ。そして何よりも、自己防衛の徹底が求められる。パスワードの使い回しを避け、MFAを適用する「自己責任原則」を改めて徹底する必要がある。
結論として、今回の事件は、セキュリティが一度導入すれば終わりではなく、継続的な改善と検証が欠かせない終わりなきマラソンに違いないことを認識させてくれた。事業者と利用者が相互にリスクを認識し、連携を強化していくことが、これからの時代に求められる。

---

【第８位】 4月6日　東名高速や中央道などでETC障害　7都県、一部レーン閉鎖
〜システム改修の不具合が、大きな社会混乱をもたらす〜

4月6日未明、NEXCO中日本管内の高速道路でETCシステム障害が発生し、1都7県、17路線106箇所の料金所でETCレーンが利用できないという事態が生じ、復旧まで38時間を要した。2km以上の渋滞が10か所以上で生じ、多くの利用者に影響が出た。
直接的な原因はシステム改修においてデータ破損を引き起こしてしまい、一部正常なETCカードが「通行不可」と誤って判定されたためだ。障害発生時の既存マニュアルに基づいて料金所ごとに個別対応を行っていたが、広域障害を想定した統一的なマニュアルがなく現場判断が分かれたため、「バーを下ろしたまま一台ずつ後日精算」という案内をしたことが料金所の通過が大幅に遅延した主な要因のようだ。また、情報提供についても各支社の判断にゆだねられていたため、どこで何が起きているのか・どうすれば良いかが利用者にとって分かりづらい状況が続いた。
ITシステムに関わる者にとってバグはつきものであり、ETCのような実社会に大きく影響を及ぼすシステムであればシステム障害が社会に影響を与えるという事も容易に想像できる。一方で、そうしたシステムを運用する企業としてBCPの想定の中に大規模システム障害というものが想定されていなかったということが今回の問題の背景にありそうだ。OT領域のデジタル化がますます進んでいく昨今、ITシステムの障害によっていかに社会インフラを止めないようにするかという知恵がますます求められるようになるだろう。その際重要なのは、当該ビジネスにおいて「何を優先するか」を企業として周知しておくことではないだろうか。再発防止策の中でも「基本方針」として「交通の流れを止めないよう、現場で即座に必要な対応を行う」と記載されていた。このような基本的な考え方が周知徹底されていれば、想定していない障害が発生した際にもあるべき対応がなされるようになるのではないだろうか。
参考）NEXCO中日本「広域的なETCシステム障害発生時の危機管理検討委員会」
https://www.c-nexco.co.jp/corporate/pressroom/2025_crisis-management_etc/

---

【第９位】 8月28日　FeliCaのセキュリティ脆弱性報道で利用者に不安広がる
〜脆弱性情報の伝え方や報道の在り方は正しかったのか〜

2025年8月28日、共同通信のFeliCaに関する脆弱性報道をきっかけに、大きな社会的混乱と報道に対する炎上が生じた。開発元のソニーを始めFeliCaカードを発行している主要企業は直ちにそのリスクと安全性についてコメントを発表した。この状況を受け、経済産業省は公表前の脆弱性関連情報について関係者内だけの正確な情報共有の重要性を示し、過度な不安を避ける情報発信の必要性を示した。
FeliCaは交通系ICカードや電子マネーなど、日本の生活インフラを支える基盤技術であるため、「脆弱性」という言葉が報じられた段階で利用者の不安が急速に拡大した。さらに影響範囲や実害の有無が十分に整理されないまま複数の地方新聞で続報が報じられたことによって、実際には影響が限定的で、直ちに被害が発生する状況ではなかったにもかかわらず、問題が過度に大きく見えてしまった、また、日本社会には公共サービスに対するゼロリスク期待が強く、リスクの存在自体が許容されにくい文化的背景もこの不安を助長してしまったと考える。
セキュリティ脆弱性の報告、報道においては世界的にコーディネーテッド・バルナラビリティ・ディスクロージャ（CVD）が定着している。これは、発見者と提供者が事前に調整を行い、対策を準備した上で段階的に情報公開する仕組みである。
米国ではCISA、EUではENISAなどが調整役を担い、社会的影響の大きい事案ほど慎重な情報開示が行われる。日本でも経済産業省と情報処理推進機構（IPA）等セキュリティ団体が中心となり脆弱性情報の調整・公表についてのガイドラインが整備されている。今回もこのプロセスに則って関係者は動いていたにも関わらず事前報道がされてしまった。
今一度、公表前の脆弱性関連情報を取り扱う者はその報告・開示プロセスの存在や意義を理解し、技術的な正確性だけでなく、「不安をどう抑えるか」を軸にした情報公開と説明責任が不可欠であろう。

---

【第10位】 11月20日　政府方針、2035年までに耐量子計算機暗号（PQC）に移行
〜量子コンピューターを悪用する「ハーベスト攻撃」に備えよ〜

国家サイバー統括室は11月20日、政府機関などにおける耐量子計算機暗号への移行方針「政府機関等における耐量子計算機暗号（PQC）への移行について（中間とりまとめ）」を公表した。
このPQCシフトと呼ぶべき方針は、量子コンピューターの登場で暗号の解読が容易になり、既存の公開鍵暗号の安全性が低下するため、PQCを導入することで重要情報を守る取り組みである。国内では金融業界が昨年から検討を開始しており、今後は政府方針に引っ張られる形で、他の重要インフラ事業者にも波及し、其々のサプライチェーンに展開していくものと思われる。
似て非なる話であるが、欧州では脱炭素社会実現を錦の御旗に、2035年までにエンジン車の新車販売を禁止しEVシフトを目指してきたが、他国のハイブリッド車やEVとの競争に押されて旗を降ろしかねない状況に陥っている。しかし、EVシフトと異なりPQCシフトの旗は簡単に降ろせない、経済効果で評価すると判断を間違えかねない問題であるからだ。
その理由の一つが、国家を背景としたサイバー攻撃集団の存在である。彼らは不正に窃取した「解読できていない暗号化情報」を大量に貯めこみ、量子コンピューターの登場を待ち望んでいる。「ハーベスト攻撃」を仕掛ける攻撃者が量子コンピューターを手にする前に、既存の暗号技術をPQCに入れ替えることが、国の安全保障に直結すると説明されれば腑に落ちる。
とはいえ、民間企業ではリスクが顕在化していない段階で、10年先のセキュリティ対策は考えることすら難しい。その中で、金融業界が先行して動くモチベーションは、グローバル金融システムを健全に維持し、その一員であり続けることが、各銀行の生き残りに繋がるからかもしれない。金融業界を手本とするならば、民間企業におけるPQCシフトの意味は、セキュリティ強化よりも企業の生き残りをかけたコンプライアンス問題と理解すべきではないだろうか。10年後に笑うのが攻撃者でないことを祈りたい。

---

【番外編】 11月18日　2025年11月18日はインターネットが壊れた日
〜世界的に露呈した“デジタル社会の単一障害点（SPOF）”問題〜

2025年は、日本国内に限らず、世界中のサービスが停止・不安定化する重大なデジタルインフラ障害が相次いだ年だった。象徴的な出来事が、10月19日のAWS障害と11月18日のCloudflare障害である。いずれも単一事業者の内部トラブルであるにもかかわらず、波及した影響は極めて広範囲に及び、SNS、決済、行政サービス、オンラインゲーム、AIサービスなど、利用者が日常的に依存する数多くのデジタルサービスが一時的に機能不全に陥った。
かつてのインターネットは、中小規模の事業者や大学・企業が分散的にサービスを提供する構造で、特定箇所の障害が全体の停止につながることは比較的少なかった。しかし近年は、クラウド基盤、CDN、認証サービス、セキュリティゲートウェイといった基盤層が、少数のデジタルインフラ事業者へ集約されている。これにより、多様なデジタルサービスが“見えない形で”、特定のクラウド基盤やネットワーク基盤、認証・制御基盤、あるいは一部リージョンや特定コンポーネントに依存する「集中型構造」が形成されてきた。
10月のAWS障害は米国東リージョン（us-east-1）で発生した限定された問題に過ぎなかったが、多くのサービスが認証やデータ管理の一部をこのリージョンに依存していたため、世界中で2000以上の企業やサービスに影響し、日本の利用者にも大きな影響が及んだ。11月のCloudflare障害でも同様に、設定ミスやネットワーク不具合が瞬時に世界へ伝播し、Webアクセスの基盤そのものが揺らぎ「インターネットが壊れた」とも表現された。これらは、デジタル社会の表面には見えない「依存関係の連鎖」が、一箇所の障害を増幅させる構造を露呈させた事例である。
2025年の一連の障害は、デジタル社会においてデジタルインフラの集中が進む一方、その依存関係が十分に可視化・認識されてこなかったことを浮き彫りにし、結果として“見えない集中化”が新たな構造的リスクとなり得ることを示唆した。

【お知らせ】　　　　　　　　　　　　　　　　　　セキュリティ十大ニュース選考委員会委員長　大木榮二郎

2001年に始めましたセキュリティ十大ニュース、今回で四半世紀を過ぎました。この間当ニュースをご愛読いただきました皆様、編集に参加いただきました皆様、支えてくださったスタッフの皆様にあらためて御礼申し上げます。私自身もこのニュースに毎年取り組むことで多くのことを学ばせていただきました。

この25年の節目を持ちまして十大ニュースを卒業させていただきます。後任は今回委員に加わっていただきました松本 泰さんです。深い技術への理解と洞察で十大ニュースの的を射た解説が皆さまを引き付けること間違いありません。どうぞ引き続き十大ニュースをご愛顧いただきますようお願いいたします。

皆さま、本当に永い間ありがとうございました。

編集後記　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　JNSA事務局長　下村正洋

今年も「JNSA十大ニュース」を無事に出すことができました。これもひとえに、大木委員長と委員のみなさんのおかげです。心より感謝申し上げます。

今年の委員会における最大のニュースは、やはり大木委員長の退任です。2001年にネットワークリスクマネジメント協会（NRA）で始まったこの企画を、2009年からJNSAに引き継ぎ、長きにわたり委員長として牽引してくださいました。あの強力なリーダーシップがなければ、ここまで続けられなかったと思います。長年にわたるご尽力、本当にありがとうございました。
後任は松本泰さんです。JNSAの立ち上げ当初から活動を支えてくださり、現在もフェローとしてJNSAの活動を牽引していただいています。今回から選考委員会に加わり記事も執筆していただきました。これからもよろしくお願いします！
また、委員の交代もありました。須永委員が退任され、新しく神山さん（あいおいニッセイ同和損害保険株式会社、JNSAインシデント被害調査WGリーダー）が参加してくださいました。こちらもどうぞよろしくお願いします。
今年の選考委員会はスケジュールがかなりタイトでしたが、委員長の迅速な頭書きの執筆に刺激され、各委員も一気に執筆が進みました。おかげで予定通り公開できました。ありがとうございます。やればできる！来年も新委員長のもと、この勢いでお願いします。……なんて書いてると「お前は気楽でいいよな、こんな駄文で済むんだから！」って声が聞こえてきそうですが。
選外になったニュースの中では、個人的にセキュリティ業界の再編が気になりました。サイバーセキュリティは優秀な技術者の力に依存しがちですが、最近は総力戦、つまりパワーゲームに移りつつあるように感じます。
そうこうしているうちに、アスクル社の最新レポートが出ました。認証情報の窃取が始まりだとのこと。認証方式と運用のチェックは急務です。セキュリティ担当のみなさん、頑張ってください！
今年の漢字は「熊」。世界情勢も「熊」と「ライオン」に振り回されているように見えます。来年はもう少し穏やかになっていただくことを願いつつ、編集後記を終わります。

それでは、よいお年をお迎えください。

---