ゼロトラストに必要なのは「トラスト」なコミュニケーション
強固なセキュリティー対策は立案した。でも従業員の理解が十分ではなく、現場で徹底されていないーー。多くの企業が突き当たる壁だろう。実際、和田専門部長も社内やグループ会社にセキュリティー対策の重要性と必要性を説いて回ったが、当初はなかなか浸透しなかったという。ではどうやってこの壁を乗り越えたのだろうか。
「何度も壁に突き当たって、『IT部門』として話をするとうまくいかないことに気づきました。そこで、視点を変えて、IT部門ではなく『総務』の立場から話をしてみたら受け入れてもらえた」
「ルールを守れ」ではなく「会社の円滑な運営に協力してほしい」というスタンスで臨んだのが功を奏したのである。
また、グループ会社に対しては、グループ社長会などの場でCIOやCROから伝えてもらったあとに実際に訪問して、「社長会でこんな話が出ましたのでご検討ください」と伝えることもあるという。
「トップダウンが逆効果な場合もあります。大切なのは、メールだけで終わらせずに、顔を合わせて話をすること。セキュリティーは『ゼロトラスト』が基本ですが、それを実現するためには『トラスト』なコミュニケーションが必要です。そもそもビジネスを動かしている人はアナログな存在なのですから」
もちろん、セキュリティー対策にはデジタルテクノロジーが不可欠だ。しかし、テクノロジーを使いこなすのは「人」である。和田専門部長は、「(人による)運用が最も重要です。それぞれの現場でしっかり運用できるように旗振り役を担うのが、セキュリティーチームの役割だと考えています」と語る。
セキュリティーチームが適切に指揮をとり、現場がしっかりと運用する。この体制を固めるため、セキュリティー人材の育成やリテラシー向上にも力を注いできた。2017年から情報セキュリティー対策の実務実施機関、情報処理推進機構(IPA)に毎年社員を1年間派遣して中核人材を育成するほか、役員が参加するセキュリティー訓練も実施。万一ランサムウェア攻撃を受けたときの経営判断トレーニングをしている。
「従業員向けの施策としては、eラーニングや体験型セキュリティー訓練を行っています。当社は重要インフラを担う立場から、『安全』を絶対的な価値として位置付けていますので、全体的に情報セキュリティーに対する意識も高いのですが、日常業務も忙しいのが現実です。そこで総務や人事部門の協力も得ながら、インセンティブを付与するなど取り組みやすい環境整備も行っています」
サイバーセキュリティーというと、PCに向かってシステムやツールを駆使しているイメージを抱きがちである。しかしANAは、アナログなコミュニケーションで各部門やグループ会社を巻き込み、強固なセキュリティー体制を築いている。その「人へのトラスト」を大切にする姿勢は、今後もめまぐるしく変わるサイバー攻撃のトレンドに振り回されず、的確な防御体制を堅持するための有効なヒントといえそうだ。
