予防は治療に勝る「プロセスのゼロトラスト化」を軸に多面的な取り組みを展開――全日本空輸 和田昭弘氏:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
一方、EDRやNDR、XDRといった対策は、そもそも「侵入はあり得ることを前提に素早く対応する」という考え方に基づいたソリューションだ。だが、前述の通り「止めてはならない」というANAのミッションを考えると、このアプローチはそぐわない。そこで「むしろ、もっと予防にこだわり、予防に徹するべきではないかと考えました」と和田氏は話す。
この予防を実現する具体的な手段として考えたのが、技術や人だけではなく「プロセス」に対してもゼロトラストの考え方を適用するアプローチだ。「信頼できる人やモノ、プロセスだけを許可し、システムに害をなすプロセスを防止する、プロセスのゼロトラスト化を考えてきました」(和田氏)
プロセスのゼロトラスト化とは、例えばEmotetのように巧妙な文面で人をだます攻撃があっても、その後の各プロセスにフォーカスし、「そもそも、そのフォルダにファイルの保存は許されているか」「許可された実行ファイルかどうか」「そのファイルからのC&C通信は許可されているか」といった事柄を一つ一つ確認し、ポリシーに反する動きは止めてしまうやり方だ。これにより、そもそもの侵害を防ぎ、サイバー被害を予防できると考えている。
業界横断連携、官民連携、そしてサプライチェーン全体の対策も推進
世の中では、より有効なサイバーセキュリティ対策を求めてさまざまなアプローチが提唱されている。和田氏は、オランダで行われた官民連携のランサムウェア対策「Project Melissa」から、多くの知見が得られたとした。
1つは、前述の予防重視とまさに重なる「Prevention is better than Cure」(予防は治療に勝る)というキーワードだ。「EDRで万全の体制を敷いていたとしても、やはり予防の方がいいと言っているのだと思います」(和田氏)
もう1つは「Expanding Partnership」、つまり官民連携の重要性だ。Project Mellisaでは、ランサムウェアに感染してしまった企業が迅速に警察に通報し、他の企業に警戒を呼びかけることで被害を最小化していった。
ANAも同様に、外部組織と連携したコレクティブセキュリティの実現に取り組み始めている。エアラインや航空機メーカー、空港などが参加するグローバルな連携組織「Aviation ISAC」に加盟し、国内では「交通ISAC」や産業横断サイバーセキュリティ検討会に参加して日々最新の脅威情報を共有し、必要に応じて体制の見直しなどに活用している。
また、自社の枠組み、グループ会社の枠組みを超え、サプライチェーン全体にまたがるサイバーセキュリティ協力体制の構築を意識し、防御能力の向上にも努めていると説明した。
顧客が飛行機を予約し、チェックインし、搭乗し、目的地に着くまでの間には、ANAだけではなくクレジットカード会社や共同パートナー、あるいは免税品や飲み物・飲食物を販売する商事会社や航空燃料の供給会社など、多種多様な会社が関わっている。「こうした会社が安全に、かつタイムリーにつながることによって、お客様にタイムリーにサービスが提供できます。この構造を理解し、サプライチェーンをしっかり守っていく活動が必要だと考えています」(和田氏)
サプライチェーン全体で完璧なゼロトラストセキュリティや、侵入された場合の即時対応体制の整備を実現できるのに越したことはないだろう。だが、予算や事業規模などを考えると、現実的には困難だ。従ってここでもやはり「プロセスのゼロトラスト化」が重要なキーワードになってくるだろうと同氏は述べた。
「自社のコア業務は何なのか、最低限、どこをどのように守っていくべきかは、今一度考えてみることが重要です」(和田氏)
また、ANAは人材育成にも力を入れている。セキュリティインシデントの発生はもちろん、システム障害、あるいは自然災害時のBCPなど、さまざまな場面を想定した訓練を自社内で実施するほか、分野横断演習にも参加してきた。社員全体のリテラシー向上とともに、セキュリティ専門人材の強化も進めており、例えば経済産業省の「中核人材育成プログラム」に人材を派遣し、技術力の向上を進めている。
そして何より「サイバーセキュリティにおいてはトップの理解も重要です。もはやセキュリティの課題は経営課題であり、トップ同士が集まって信頼の輪を築く機会を設けています」と和田氏は述べた。
最後に和田氏は改めて、プロセスのゼロトラスト化は、NISTサイバーセキュリティフレームワークの最新版、2.0で言及されている「ガバナンス」や「衛生管理」に通じる取り組みであることを説明。予防という考え方を取り入れることで検知のスコープを狭め、より効率的に、より少ない工数でセキュリティが運用できるとし、ぜひこの考え方を検討してほしいと呼びかけ、講演を終えた。
関連記事
- デジタルアイデンティティこそがデジタル覇権の行方を左右する――東京デジタルアイディアーズ崎村夏彦氏
- 経営層と現場の間に横たわるギャップ解消のために心がけたい3つのポイント ――Armoris 取締役専務 CTO 鎌田敬介氏
- 生成AIは人間の仕事を奪わない。3つの懸念点を踏まえつつ、生成AIの積極的な活用を――日本マイクロソフト 西脇資哲氏
- サイバーセキュリティだけ「特別扱い」には無理がある――経営を脅かすリスクの1つと位置付け、メリハリのある対策を
- 情報漏洩にとどまらず、ビジネスリスクの観点でのサイバー攻撃対策を実践―― サプライチェーン全体を視野に取り組む凸版印刷
- 世界は変わった? 変わらない? 変化の中で引き続き求められるバランスの取れたセキュリティ対策
- サイバーセキュリティ連盟の調査で判明――日本企業のサイバー防御力、ギャップを埋める鍵はセキュリティ意識の変革から
- DX推進とサイバーセキュリティ対策、双方に不可欠なのは「経営層のリーダーシップ」――東海大学 三角育生教授
- 医療データを扱うMDV、経営層への説明と現場への関わりのコツ――メディカル・データ・ビジョン 渡邉幸広氏
- 「サプライチェーン」を人質に取るようになったランサム攻撃 ――ラックの西本氏が語る、万一への備え
- スタートアップと金融機関、2つの側面を持つbitbankのセキュリティ対策とは? ――ビットバンク 橋本健治氏
- 経営と現場の板挟みになりがちなガバナンス、優先してやるべきことを明確に――リクルート 鴨志田昭輝氏
- 調査結果が明らかにした日本企業のCISO不在。リスクを見せる化し、経営視点を取り入れながらコミュニケーションすることで改善を――NRIセキュアテクノロジーズ 足立道拡
- セキュリティ担当者が夜しっかり眠れる運用体制とは?――守りのDXで攻めのDXを支えるアステラス製薬の取り組み
- 独自の観測結果から見えてきたランサムの今と、対策のポイント――SBテクノロジー 辻伸弘氏
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- 2024年、世界で最も安全で平和な国は?
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- 機械学習やAIでセールスを変革するLayerX――BizOps部 鈴木崇之部長
- 三井化学、ロボット製造で狙う「素材屋超え」 新興企業と世界に挑戦へ
- ロボットが物流滞る「2024年問題」に対処 自宅でフォークリフトの遠隔操作も
- 迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏
- パナソニック、EV向け最新型電池の量産体制整う 和歌山工場更新、従来より5倍の容量
- 事業の多角化と外部人材で成長 国内の住宅市場にも商機 大和ハウス工業・芳井敬一社長
- 「ウサギとカメ」の本当の教訓とは?――童話の教えを疑ってかかってみると、人生の本質が見えてくる
- 日の丸半導体の復権なるか 北海道の「ラピダス」新工場、急ピッチで建設
事務局からのお知らせ
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。