一方、EDRやNDR、XDRといった対策は、そもそも「侵入はあり得ることを前提に素早く対応する」という考え方に基づいたソリューションだ。だが、前述の通り「止めてはならない」というANAのミッションを考えると、このアプローチはそぐわない。そこで「むしろ、もっと予防にこだわり、予防に徹するべきではないかと考えました」と和田氏は話す。
この予防を実現する具体的な手段として考えたのが、技術や人だけではなく「プロセス」に対してもゼロトラストの考え方を適用するアプローチだ。「信頼できる人やモノ、プロセスだけを許可し、システムに害をなすプロセスを防止する、プロセスのゼロトラスト化を考えてきました」(和田氏)
プロセスのゼロトラスト化とは、例えばEmotetのように巧妙な文面で人をだます攻撃があっても、その後の各プロセスにフォーカスし、「そもそも、そのフォルダにファイルの保存は許されているか」「許可された実行ファイルかどうか」「そのファイルからのC&C通信は許可されているか」といった事柄を一つ一つ確認し、ポリシーに反する動きは止めてしまうやり方だ。これにより、そもそもの侵害を防ぎ、サイバー被害を予防できると考えている。
世の中では、より有効なサイバーセキュリティ対策を求めてさまざまなアプローチが提唱されている。和田氏は、オランダで行われた官民連携のランサムウェア対策「Project Melissa」から、多くの知見が得られたとした。
1つは、前述の予防重視とまさに重なる「Prevention is better than Cure」(予防は治療に勝る)というキーワードだ。「EDRで万全の体制を敷いていたとしても、やはり予防の方がいいと言っているのだと思います」(和田氏)
もう1つは「Expanding Partnership」、つまり官民連携の重要性だ。Project Mellisaでは、ランサムウェアに感染してしまった企業が迅速に警察に通報し、他の企業に警戒を呼びかけることで被害を最小化していった。
ANAも同様に、外部組織と連携したコレクティブセキュリティの実現に取り組み始めている。エアラインや航空機メーカー、空港などが参加するグローバルな連携組織「Aviation ISAC」に加盟し、国内では「交通ISAC」や産業横断サイバーセキュリティ検討会に参加して日々最新の脅威情報を共有し、必要に応じて体制の見直しなどに活用している。
また、自社の枠組み、グループ会社の枠組みを超え、サプライチェーン全体にまたがるサイバーセキュリティ協力体制の構築を意識し、防御能力の向上にも努めていると説明した。
顧客が飛行機を予約し、チェックインし、搭乗し、目的地に着くまでの間には、ANAだけではなくクレジットカード会社や共同パートナー、あるいは免税品や飲み物・飲食物を販売する商事会社や航空燃料の供給会社など、多種多様な会社が関わっている。「こうした会社が安全に、かつタイムリーにつながることによって、お客様にタイムリーにサービスが提供できます。この構造を理解し、サプライチェーンをしっかり守っていく活動が必要だと考えています」(和田氏)
サプライチェーン全体で完璧なゼロトラストセキュリティや、侵入された場合の即時対応体制の整備を実現できるのに越したことはないだろう。だが、予算や事業規模などを考えると、現実的には困難だ。従ってここでもやはり「プロセスのゼロトラスト化」が重要なキーワードになってくるだろうと同氏は述べた。
「自社のコア業務は何なのか、最低限、どこをどのように守っていくべきかは、今一度考えてみることが重要です」(和田氏)
また、ANAは人材育成にも力を入れている。セキュリティインシデントの発生はもちろん、システム障害、あるいは自然災害時のBCPなど、さまざまな場面を想定した訓練を自社内で実施するほか、分野横断演習にも参加してきた。社員全体のリテラシー向上とともに、セキュリティ専門人材の強化も進めており、例えば経済産業省の「中核人材育成プログラム」に人材を派遣し、技術力の向上を進めている。
そして何より「サイバーセキュリティにおいてはトップの理解も重要です。もはやセキュリティの課題は経営課題であり、トップ同士が集まって信頼の輪を築く機会を設けています」と和田氏は述べた。
最後に和田氏は改めて、プロセスのゼロトラスト化は、NISTサイバーセキュリティフレームワークの最新版、2.0で言及されている「ガバナンス」や「衛生管理」に通じる取り組みであることを説明。予防という考え方を取り入れることで検知のスコープを狭め、より効率的に、より少ない工数でセキュリティが運用できるとし、ぜひこの考え方を検討してほしいと呼びかけ、講演を終えた。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授