予防は治療に勝る「プロセスのゼロトラスト化」を軸に多面的な取り組みを展開――全日本空輸 和田昭弘氏:ITmedia エグゼクティブセミナーリポート(1/2 ページ)
予防にこだわり、予防に徹するべきではないかと、これを実現する具体的な手段として、技術や人だけではなく「プロセス」に対してもゼロトラストを適用するアプローチを考えた。
全日本空輸のデジタル変革室 専門部長(サイバーセキュリティ)和田昭弘氏航空会社が何よりも優先しているのは「安全」だ。事故を起こすことなく、顧客を確実に目的地に送り届けるために、さまざまな努力が重ねられてきた。
そしていま、この延長線上にサイバーセキュリティがあるという。全日本空輸のデジタル変革室 専門部長(サイバーセキュリティ)を務める和田昭弘氏は、「安全、安心のために、経営課題で取り組むANAのセキュリティ対策 ANA流フレームワーク、プロセスのゼロトラスト化とは?」と題するセッションにおいて、「われわれは安全と同格の扱いとして情報の安全を定義し、これを実現するためにサイバーセキュリティ対策に取り組んでいます」と述べ、統合報告書でも報告されている対策の一端を紹介した。
セキュリティ対策は自社での多面的な取り組みだけでなく、集団防御が必要
現実の世界には地理的な隔たりがあり、国境がある。この境目で警察や入国管理局が犯罪グループを取り締まることも可能だ。だが、サイバー空間にはそうした境目がなく、愉快犯にはじまり、いわゆるサイバー犯罪グループ、さらには国家組織などさまざまな攻撃者と直接対峙(たいじ)しなければならない。
こうした特殊性を踏まえ、「システムにおいては多層防御が必要ですし、インテリジェンスを活用し、さまざまな情報を得ながら活動していかなければなりません。自社のみの防衛能力では無理があり、コレクティブセキュリティ、つまり集団防御が必要だと考えています」と和田氏は述べた。
ANAではこうした考え方をベースに、1000台を超えるサーバで構成される運航や整備、営業、空港などでの業務を支える217システムのセキュリティ対策に取り組んできた。
軸となる考え方はいくつかある。「ゼロトラスト」や、NISTのサイバーセキュリティフレームワークに基づいた「多層防御」、そして、後付けではなくシステム企画・設計の段階からセキュリティを組み込んでいく「セキュリティ・バイ・デザイン」などだ。
さらに近年、サプライチェーンセキュリティのリスクが指摘されていることを踏まえて、再委託先も含め、開発の各工程でセキュリティチェックを実施するほか、クラウド活用の広がりを背景にしたクラウド環境の防御も進めている。
こうしたシステム面での取り組みに加え、ITシステム関連の契約に一定のルールを課す、AIの活用法に関するルールを定める「デジタルガバナンス」の推進、そして規定・プロセスの整備や体制作り、人材育成など、全方位的な取り組みを進め、ANAグループ全体でセキュリティ対策を推進してきた。
止めてはならないシステムを守る、プロセスのゼロトラスト化
一方、サイバー攻撃は激化するばかりだ。和田氏は、主に5つに分類して考えているという。
かねて脅威としていた「標的型攻撃」。また、OSや業務システムの脆弱性を突いて情報漏洩や改ざんを行う「脆弱性攻撃」、大量のアクセスを行って正常な利用を妨げる「DDoS攻撃」、他人のIDやパスワードを用いて不正に情報や金銭を入手する「なりすまし」、そして社員など関係者による「内部犯行」だ。
量では標的型攻撃と脆弱性攻撃が全体の90%以上を占めており、ANAでも重視して対策を進めている。ただ同時に、確率としては非常に低いものの、万一内部犯行やなりすましが発生すると会社に与えるインパクトは非常に大きいものがあり、こうした傾向や影響を考え、さらに「自社のシステムはどうなっているのか」をしっかり踏まえた上で対策を進めているという。
ここで見落としがちなのが「人」の要素だ。「人間は間違えるものです。相手も、人の間違いにつけ込んで攻撃を仕掛けてきます。ヒューマンエラーへの対策にフォーカスを当て、まずはエンドポイントをしっかり守ることが重要ではないかと考えています」と和田氏は話す。
エンドポイントのセキュリティ対策は、昔からセキュリティ対策の基本だった。歴史を振り返ると、当初はパターンマッチング型のウイルス対策ソフトが主流だったが、もはや検知率は3割以下ともいわれており、なかなか止めることができない。そこで注目を集めているのがEDRだが、時間との勝負であり、迅速な判断が求められるため、対応には高度なセキュリティ人材が必要になるというのが実情だ。
このように、いずれもすっきりとした解決策とはいい難い中、ANAではシステムに影響を与える動作を防ぐという狙いで、プロセスのゼロトラスト化を導入している。
サイバー攻撃に限った話ではないが、もしANAのシステムの稼働が妨げられると影響は甚大だ。過去には、障害のためにシステムが一時間以上停止した結果、10万人もの顧客に影響を与えたこともある。「万一システムを止めると、これほどの影響があることを理解した上で、われわれは対策を練らねばなりません」(和田氏)
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- セブン手ごろ価格帯強化、イオンは値下げ 小売り大手が価格政策で消費者つなぎ止め
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- パナソニック、EV向け最新型電池の量産体制整う 和歌山工場更新、従来より5倍の容量
- 人はゆっくり老いるにあらず 44歳と60歳前後の2期に加齢変化が集中 米研究で判明
- 機械学習やAIでセールスを変革するLayerX――BizOps部 鈴木崇之部長
- 2024年、世界で最も安全で平和な国は?
- 10年の経験を経たRecruit-CSIRTに見る、平時とこれからのCSIRTのあり方――リクルート 鴨志田昭輝氏
- 日本ブランドが強み、ペットケアの海外進出が加速 国内は頭数減で市場は頭打ち
- 花やしきに宇宙人オーパーツ? 「不思議ムー園地」が期間限定で開幕
- 生成AI 企業・自治体で活用広がる どうする人材・ノウハウ不足
事務局からのお知らせ
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。