まさに青天の霹靂でした。サイバーセキュリティアワードについては存じ上げていましたが、私が書いた本が授賞対象になるとは想像もしていなかったので驚きました。推薦していただいた方にこの場を借りて御礼申し上げます。 会社（日経BP）からプレスリリース も出してもらいました。自分の名前がプレスリリースに載るなんて初めてのことなので嬉しいような照れくさいような（笑）。 サイバーセキュリティ関連書籍は数多く出版されていますが、その中から選んでいただいたことは大変光栄ですし、今までこの分野を追いかけてきて良かったなと思っています。授賞式後の懇親会では、以前から懇意にさせていただいている株式会社FFRIセキュリティの鵜飼（裕司 代表取締役社長）さんや株式会社ラックの西本（逸郎 技術顧問）さんや、YouTuberのハッカーかずさんをはじめとする受賞者の皆さんとお話させていただき、大変刺激を受けましたし、楽しいひと時を過ごさせていただきました。

日経BPに入社したのが1997年で、それから1～2年後にセキュリティ記事を書き始めました。その頃はまだサイバーセキュリティの黎明期で、企業の事業継続に影響を与えたり大きなビジネス市場に成長したりする前のことです。 ランサムウェアを追いかけ始めたのは2000年ぐらいからです。当初は「変わり種のコンピュータウイルス」というくらいの印象でした。メールを送り付け、リンクにアクセスしたりファイルを開いたりして感染させ、パソコンをロックして暗号化し、元に戻したければどこどこの口座にいくら振り込めという手口です。「素直にお金を支払う人なんているわけない」と思いながらニュースを書いていました。ランサムウェアという用語も広く認知されていなかったので最初は「脅迫ウイルス」という訳語を使っていました。 時を経て、ランサムウェアは本格的なサイバー攻撃に使われるようになりました。接続元のIPアドレスを偽装して送信元を特定できなくする「Tor接続」のような暗号化通信や、匿名性を維持したまま金銭のやり取りができる仮想通貨の出現によって、足がつかずに身代金を獲得できるようになったからです。初期のように銀行口座に振り込ませる方法では簡単に足がついてしまうので攻撃者側のリスクあるいはコストが高すぎたのですが、匿名化技術の発達によってその壁が崩れてしまったのです。2017年には、「WannaCry」というランサムウェアが欧米で猛威を振るい、企業の事業継続に重大な影響を与えたことで、日本国内でも急速に関心が高まりました。 2020年頃からは、「侵入型」と呼ばれる手口が見られるようになります。攻撃者が企業のネットワークに侵入し、ランサムウェアを展開し、データを暗号化して企業からお金を取るという仕組みです。それまでの「ばらまき型」よりも被害範囲が広く重大になる傾向があります。そして、データ暗号化による身代金要求に加え、盗んだ重要データを公表されたくなかったら金を払えと脅す「二重脅迫」という事案も出てきて、サイバー攻撃はますます悪質化しています。 ランサムウェアが一番のサイバー脅威になっている現状に鑑みて「きちんとした書籍を出すべき」という話が社内から上がり、初期からの変化を記者としてずっと取材・執筆してきた私が担当することになったというわけです。最近書いた特集記事などを再編集して一冊にしたのではなく、本書のためにゼロから書下ろしました。

いえ、大学の専門は計算力学です。ただ、研究室のネットワーク管理を担当していたので、UNIX MAGAZINEなどの専門誌を読んでセキュリティを勉強していました。「転ばぬ先のセキュリティ」という連載（執筆者： 山本和彦 現・IIJ技術開発室室長 ）を好んで読んでいました。日経BPに入社して配属された日経インターネットテクノロジー編集部で、担当分野の一つとしてサイバーセキュリティを選びました。

おっしゃる通りです。2000年頃は、「サイバー攻撃を受けたんですか？」と企業のシステム担当者に聞いても「その話には触れてくれるな」という感じで一切答えてもらえませんでした。ポジティブな視点から「きちんと対策していることを伝えたい、どうやって守りを固めているかを伝えたい」と取材を依頼しても、「うちの名前が出たら攻撃者から狙われてしまうから答えられない」と断られることが少なくありませんでした。 今では隔世の感があります。サイバーセキュリティアワード2026の書籍部門最優秀賞の『 サイバー攻撃　その瞬間　社長の決定 』（達城久裕 著、関通サイバー攻撃対策室 刊）や同審査委員会特別賞の『 医療機関のサイバー対策―患者と経営を守るIT-BCPと緊急対応ガイド 』（地方独立行政法人 大阪府立病院機構 大阪急性期・総合医療センター 編著、一般社団法人ソフトウェア協会 監修、メディカ出版 刊）のように、サイバー攻撃を受けた企業や病院がその顛末をまとめて自ら一般向けに公表されるようになりました。私が書いた『 ランサムウエア攻撃との戦い方　セキュリティー担当者になったら読む本 』でも、大阪府立病院機構大阪急性期・総合医療センターさんが公表された報告書の内容を参照させていただいています。攻撃の手口、被害と対応の実態に関する知識を広く共有されるご努力は、本当に素晴らしいですし、なかなかできることではないので頭が下がる思いです。 各種製品のベンダー側からも脆弱性情報が発信されるようになりました。以前は、日本法人が出す情報と米国本社が出す情報が違っていたり、米国本社が公表している脆弱性情報を基に記事を書くと日本法人から電話がかかってきて文句を言われたりすることもありましたが、最近では脆弱性の存在やインシデントの発生を隠そうとするのではなく、情報を発信・共有することによって適切に対応していくという気運が高まっています。

セキュリティ関連のベンダー、専門家、草の根で情報発信されている方々の努力の積み重ねですね。メディアも少しは貢献してきたと思っています。最近はセキュリティの記事を書く記者も増えました。専門誌だけでなく一般紙でも書かれるようになりました。セキュリティインシデントが非常に増え、その被害が伝えられることによって、他人事ではない現実のリスクとしてとらえられるようになってきたという面もあります。 ただし、あまり変わっていないなと感じるのは、エンドユーザーの多くはサイバーセキュリティについてほとんど興味が無いということです。セキュリティ情報にはなかなかリーチしにくいものですし、セキュリティに詳しいからといって何か楽しいことが起きるわけでもありません（笑）。 私が所属している日経クロステックでセキュリティの記事を書けば、興味がある人は読みに来てくれますが、興味が無い人たちは全く来ない。本当は興味もリテラシーも無い人たちにこそ届けたい情報なのに、そういう人たちにはなかなかリーチできないというジレンマをずっと感じています。例えば、フィッシュング詐欺などはわりと単純な手口ですから知ってさえいれば被害は防げるのですが、興味関心が無い人たちにフィッシュング詐欺の情報を伝え届けるということは非常に難しい。このことは、セキュリティ記者として30年近くやってきた私自身の経験の中であまり変わっていない点です。

伝え方を創意工夫していくしかないと思います。真正面からセキュリティの話をしてもなかなか聞いてもらえません。少し前の話になりますが、あるソフトメーカーは、ショッピングモールで実施した戦隊ヒーローショーで、セキュリティを注意喚起するビラを配っていました。どの程度効果があったか分かりませんが、面白い取り組みだと思いました。 企業の場合、セキュリティ対策はどうしても「コスト」ととらえられてしまって、なるべく抑えたい、できればやりたくないと腰が引けてしまいます。どうしたものかと考えて、セキュリティに力を入れれば会社のポジティブな評価や競争優位につながるというロジックで「攻めのセキュリティ」といった前向きなスローガンを打ち出して特集を組んだりしましたが、手ごたえはいまひとつでした。 読者の反応が良いのは、「コストはかかるけれども、対策しておかないと大損害を受けますよ」という“脅し”系なんです。「お金で考えるセキュリティ対策」という特集を組んだら、これはウケましたね（苦笑）。結局、“恐怖”に訴えかけるしかなのかなと思いました。少し悲しい結論ですが。

企業全体を動かすには、経営トップがセキュリティの重要性を認識してトップダウンで指示を出さなければなりません。そして、経営トップに一番刺さる言語は「お金」なんですね。それはセキュリティに限らないことかもしれませんが。

私としては、できるだけ幅広い層の読者に広く知ってもらいたいという願いから「ランサムウエア攻撃の脅威」というようなシンプルなタイトルを想定していたのですが、出版担当者から「誰をターゲットにしているか分からない本は売れない。そもそも普通の人たちは手に取らない」と率直に指摘されまして（笑）。この本の情報を欲しがるのはどんな人かを考えてみると、一般の人ではなく、既に専門家として活躍している人でもなく、セキュリティ担当者に任命されたばかりで知識も経験も全く無いか不十分というような人物像が浮かんできたのです。そういう人の情報ニーズは非常に強いだろうということで「セキュリティ担当者になったら」という文言を付け加えて、あなたのための本ですよということを明確にしました。1万部、2万部と売れるようなものではありませんが、現場の最前線で頑張っている担当者の皆さんが必要とする情報を提供したいという思いを込めて執筆しました。

やはりAIでしょうか。特に「AIエージェント」の危険性、怖さについては既に指摘されているところです。OpenClawのような自律型AIアシスタントがセキュリティリスクの新たな温床になり得ますし、Anthropic社のClaude Mythosを使えばシステムの脆弱性を簡単に見つけられてしまい、ゼロデイ攻撃（脆弱性が発見したら即座にサイバー攻撃を行うこと）が頻発する恐れがあります。そういった深刻な危機がもはや絵空事ではなくなっているのです。 ただし、警鐘を鳴らしても具体的にインシデントが起こらないと現実味をもって受け止めていただけない。しかし、インシデントが頻発してから後追いで報道していたのでは遅い——。セキュリティ記者としては、とても悩ましいジレンマです。