情報の科学と技術 最新号

特集：「情報セキュリティ」の編集にあたって

本特集では，近年注目を集めている情報セキュリティのうち，主に自治体や図書館が取りうる対策の検討に資することを主眼としました。サイバー攻撃は，国内外，企業規模にかかわらず，被害にあう事例がめずらしくなくなりつつあり，ほとんどの図書館にインターネット環境が整備され，Webサービスの提供やメールなどによる通信を行っていることからも，どの図書館がサイバー攻撃の被害にあってもおかしくない状況にあります。『情報の科学と技術』では1996年5月号，2000年2月号，2012年8月号，2020年5月号，2023年3月号で情報セキュリティについて取り上げてまいりましたが，今回は情報セキュリティ全般を扱っていた2012年8月号をもとに特集記事を考えました。

総論では，国立情報学研究所の下田様には，サイバー攻撃全般について取り上げていただきました。サイバー攻撃については，人を欺いて行われるものとシステムの脆弱性を狙うものの２つに分けて概観いただき，個人の対策と組織の対策についてふれていただきました。

各論としてまず，日本セキュリティ心理学会の内田様には，セキュリティ心理学についてご執筆いただきました。セキュリティ心理学は，“システム利用者等を心理学や行動科学等の観点から考察を行うもの”で，まずヒューマンエラーをはじめとした人について理解したうえで対策をする必要性についてふれていただきました。

続いて，仙台高等専門学校の和泉様には，セキュリティ対策における人材育成として，セキュリティ教材についてご執筆いただきました。ご自身で開発された体験型謎解きゲームをはじめとしたセキュリティ教材についてご紹介いただきました。

各論の最後では，那覇市教育委員会の島袋様に，那覇市立図書館で起きたランサムウェア攻撃の被害についてご執筆いただきました。被害時に那覇市立図書館の内部でなにが起き，どう対応していったのかを時系列で詳細にふれていただきました。図書館システムが復旧できないなか，図書館サービスをどう継続していくかが焦点となっており，攻撃後の課題や教訓についてもふれられています。

コラムでは，EGセキュアソリューションズ株式会社の黒木様に，不正アクセスへの対策についてご執筆いただきました。不正アクセスは，システムの脆弱性を狙うもののためシステムの開発段階から検討すべき観点についてふれていただき，リリース時やシステム運用時に必要なセキュリティ対策についてもふれられています。

本特集が，セキュリティ心理学や人材育成といった，これからの対策の検討に資するための分野を広く取り上げることができたことで，情報セキュリティの現状を理解し，サイバー攻撃への対策を検討するきっかけになれば幸いです。

最後に，本特集記事の執筆をお引き受けくださり，ご寄稿いただきました執筆者の皆さまに，深く御礼申し上げます。

（会誌編集担当委員：赤山みほ（主査），野村周平，森口歩，渡辺麻子）

サイバー攻撃・犯罪の被害に遭わないためのセキュリティ対策

世間では，「インターネットをよく使うけど，サイバー攻撃やサイバー犯罪についてはあまり意識していないか対策が不十分」となる傾向があり，小さな被害から大きな被害までいろいろなところで報告されている。なるべく被害に遭わないように最低限必要なセキュリティ対策について，「サービスを提供する人」と「サービスを利用する人」の両方の視点から，図書館の蔵書検索が可能なWebOPACシステムも含め次の構成で紹介する。“2章「当たり前」に気付いていない？”，“3章 こんなサイバー攻撃”，“4章 不正アクセス禁止法”，“5章 自分でできること”，“6章 組織がやるべきこと”，“7章 被害を未然に防ぐための参考書”

セキュリティ心理学の構築を！

国内では，情報セキュリティは，技術的セキュリティであり，非技術的セキュリティはあまり対象として考えて来なかった。これは，『当社に情報セキュリティ不要だ！信頼できない社員はいない。だから，犯罪者を捕まえるためのセキュリティ製品の導入を考える必要はない』と言われることがしばしばあったと聞いている。しかし，最近の傾向では，人間への攻撃は，80％とか90％と言われている。また，窃盗事件も散見される。金融機関では，数億，10億円と言った窃盗がマスコミに掲載されている。考えてみると，大手企業でのグループ利益は，1兆円，2兆円と言った報告がされており，20億円の費用損害に対し，2兆円のグループ利益であれば，20億円の損害でも，0.1％程度であり，金融機関の経営者であれば，無視する程度と考えても不思議ではない。ただ，多額の金銭の不祥事に対し，「レピューテーションリスク」の考え方がでてくる可能性がある。かつて，大手金融機関のニューヨークでの不祥事で，11億ドル（1,100億円）の巨額損失があり，この事件以降，大手金融機関では，本店のセキュリティや監査が厳しくなったと言われている。

参加型アクティビティの要素を導入したセキュリティ教材

情報技術が発展している今日の社会において，様々な情報セキュリティインシデントが発生し，社会的に大きな問題となっていることからセキュリティ人材育成が求められている。本研究では特にセキュリティインシデントや情報セキュリティ技術に関する深い知識を持たない人を対象にそれらの脅威や対策技術について興味を持って体験し学ぶために参加型アクティビティの要素を導入したセキュリティ教材を開発する。本稿では教材の構成と特徴を説明し，実際に科学の体験イベントに出展した際に得られた知見を報告する。

ランサムウェア攻撃からの教訓：那覇市立図書館の事例に学ぶ

企業だけでなく，公共部門も含めて手あたり次第に仕掛けてくるサイバー攻撃。これまで，一時的なシステム障害への対策は行っていたが，データ消失は想定したことがない。図書館は，利用者，司書職，事務職，システムベンダーなど様々な立場の方が関わっている。業務を正常化させるために，何を優先させ，何を割り切って処理するのか。それぞれの立場からその考え方も異なり現場は混乱した。サイバー攻撃を完全に防ぐことは難しい。大事なのは，被害を最小限にするためのバックアップデータの保存方法の見直しや，指示系統の明確化，復旧作業の日々の報告を確実に行うといった当たり前のことをしっかりと行うことだと思う。

大阪大学における研究データ管理教育の展開と実践的人材育成の展望，ベルリン自由大学との協働に向けて

本稿では，大阪大学における研究データマネジメント（RDM）教育の最近の展開について報告する。大阪大学は，「AI等の活用を推進する研究データエコシステム構築事業」において，研究データ管理人材の育成環境の構築に取り組んでいる。本稿では，その育成環境の構築に向けた最新の取組状況を共有するとともに，その一環として進めている大阪大学とベルリン自由大学（Freie Universität Berlin, FUB）との協働に焦点を当てる。大阪大学は，基礎から応用まで体系化された教材群を開発しており，人文社会科学向けの分野特化型教材も含まれている。一方，FUBは分野特化型RDM教育における専門性を確立してきた。これらの強みを基盤として，両大学はRDM教育における国際的な連携の可能性を模索しており，その初期的な取組はジャパン・オープンサイエンス・サミット（JOSS）2025で紹介された。最初の共同イニシアチブは人文学分野に焦点を当てているが，その展望はより広範なプログラム開発へと広がっている。