膨大なシステムを守るキーワードは「アクセル」と「ブレーキ」

「航空会社にはさまざまなリスクがあります。航空機事故が最も大きなものですが、情報漏洩などのサイバー被害も同等のリスクがあると考えています。とりわけお客さまの個人情報は、クレジットカードなどの情報なども含まれますので、万一の漏えいがあれば事業の存続も危うくなります。だからこそ、サイバーセキュリティーを重要な経営課題に位置づけています」

そう語るのは、ANAグループのサイバーセキュリティーを担当する和田昭弘専門部長だ。

 この認識が言葉だけのものではないことは、組織体系を見れば分かる。サイバーセキュリティーを含むリスクマネジメントを統括する役割としてCRO(チーフ・リスクマネジメント・オフィサー)を置き、そこにCIO(チーフ・インフォメーション・オフィサー)が連携する形としているのだ。情報管理を経営リスクの一つに位置付けている表れであり、企業としてリスク管理に真正面から取り組む覚悟を示している。

 もう一つ、同社の組織体系で特徴的なのは、サイバーセキュリティーチームをIT部門内に設置していることだ。セキュリティー組織を独立させて、監査部門として機能させている企業もあるが、ANAは違う。その理由を和田専門部長はこう説明する。

「新たなシステムやアプリケーションの導入に取り組んでいるIT部門と、セキュリティーチームのメンバーが同じ部屋にいれば、『このアプリケーションのセキュリティはこうした方がいい』という話もできます。完成したシステムを監査するよりも、セキュリティを実装しながら構築した方が強度も増しますし、コストも抑えられます」

 先述したように、ANAではサービスや用途に合わせてさまざまなシステムインフラを整備しなければならない。「インフラを整備してからセキュリティーに取り組む」のではなく、「インフラ整備とセキュリティー対策をセットで行う」のでなければ、到底間に合わないのだ。

「車の運転に例えるならばアクセルとブレーキの両方を適切に使うことです。速く走らせることを競うレースでも、アクセルとブレーキを巧みに使い分けますよね。それに、アクセルを踏みっぱなしでは事故のリスクも高まります。同様に、ITインフラを構築しながら適切なセキュリティー対策を行うことが、迅速かつ安全なビジネスにつながると考えています」(和田専門部長)

重要インフラ「航空会社」の膨大なシステムをサイバー攻撃から守るカギは“超アナログ”な方法だった全日本空輸(ANA)
デジタル変革室 専門部長(サイバーセキュリティー)
和田 昭弘氏
1992年入社。整備系および国際線予約・発券・チェックインなどのシステム開発・運用担当を経て2014年からサイバーセキュリティーを担当している。ANAホールディングスのグループ総務部リスクマネジメントチームマネジャーも兼務。交通・運輸分野の事業者がサイバーセキュリティー向上に取り組む(一社)交通ISACの理事や経団連サイバーセキュリティー委員会サイバーセキュリティー強化WGの主査も務める。

サイバーセキュリティーを高める3つのポイント

 ますます巧妙化・高度化しているサイバー攻撃をどうやって防ぐのか。「10年前はウイルス対策ソフトを入れればある程度守ることができましたが、今は検知すら難しくなっている」と明かす和田専門部長は、サイバーセキュリティーを高めるため3つの点に留意していると話す。

「操作する人、通信を発生させる機器、システム処理のプロセス。この3点のセキュリティーを高めなければならない。そこで必要になるのがゼロトラストの考え方です」

「操作する人」のゼロトラストとは、信頼できる利用者であるかどうかの認証を常に行うということ。「通信を発生させる機器」のゼロトラストについては、ASM(アタックサーフェスマネジメント)の導入が代表例だ。ASMとは、データの暗号化や入口対策、出口対策、ウイルス侵入対策の多層防御だけでなく、クラウド環境への対策としてインターネットからアクセス可能なIT資産を調査し脆弱性を評価するという技術だ。

 では、「システム処理のプロセス」のゼロトラストとは何か。「業務プロセスにおいて、PCや予約端末などで不審な動きを許容しないことです。不審な動きがあれば即座に止める。そうすれば、仮に被害が起きても最小限に抑えることができます。ですから当社では、システムや端末ごとにポリシーを定義し、それ以外の動きを拒否しています」。

 言葉にすると簡単に聞こえるが、実現までの道のりは平坦ではなかった。全ての業務プロセスを洗い出して可視化し、定義づけしたポリシーを全部門へ周知徹底しなくてはならないからだ。理解を促しつつ「ゼロトラスト化」を浸透させるのに約1年半かかったという。今では、グループ会社(連結54社)にも、同様のポリシーを適用している。

「グループ会社がサイバー攻撃を受けた事例もあり、グループ全体でセキュリティーガバナンスを強化しています。システム構成からバージョンまで、各社のIT資産を可視化していますので、例えば古いバージョンのWindowsを使っていたら注意喚起もします。グループ会社以外でも、当社のネットワークに接続する場合はセキュリティーチェックが必須となり、使用端末も当社のポリシーに合わせるよう依頼しています」