コミュニティ活動を通して人材育成を進め、サイバーの世界でも安全を追求するANAの取り組み：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

ANAグループではコミュニティ活動を通して共助の在り方を実践している。セキュリティ情報やノウハウ、時には悩みを共有し、協力し合うことで、多くのセキュリティ人材を育成し、サイバー攻撃者により強力に立ち向かうことができる。

[高橋睦美，ITmedia]

　セキュリティでは自助、公助と並んで「共助」が重要だ。情報やノウハウ、時には悩みを共有し、協力し合うことで、多くのセキュリティ人材を育成し、サイバー攻撃者により強力に立ち向かうことができる。

　全日本空輸（ANA）グループではそうした共助の在り方を、コミュニティ活動を通して実践している。ANAのデジタル変革室でサイバー領域を担当している和田昭弘氏が「昨今のサイバー攻撃とその対処方法とそれを支えるセキュリティ人材育成としてのコミュニティ活動」と題したセッションを通して、取り組みの一端を紹介した。

全日本空輸 デジタル変革室 専門部長 和田昭弘氏

　空の安全を常に追求している航空事業をはじめ、ANAグループでは全ての事業において安全理念と行動指針を示し、仕組みの整備や文化の醸成など、さまざまな取り組みを通して、経営基盤である「安全」の堅持に務めている。

　「情報」という領域も例外ではない。ANAグループでは、航空機を利用している年間5000万人以上の顧客情報や、4000万人以上に上るフリークエントフライヤープログラムの情報など、個人情報の塊を保持しているが、「万一これらが何らかの理由で漏洩すれば、お客様に大きな迷惑をかけてしまいます。ですので、航空の安全と同様に情報の安全にも取り組んでいます」と和田氏は述べた。

　航空運送事業には、自然災害など一般的なリスクもあれば、航空会社特有のリスクもある。ANAでは、サイバーセキュリティも含めたリスク全体への対応に当たる担当役員として「チーフESG（Environment Social Governance）プロモーションオフィサー」を設けて企業統治を推進している。その上で、サイバーセキュリティに関しては技術的な観点も求められることから、システムに関連する領域についてはグループCIOが担当し、その下にグループ全体を見る「ANAグループCISRT」を設置し、のべ18人で4万人以上のセキュリティを統括している。

高度化する攻撃を前に、セキュリティに関する考え方の転換期に

　和田氏は続けて、昨今のサイバー攻撃動向を俯瞰した。

　昨今の攻撃は大きく、ランサムウェアやフィッシング攻撃などを含む「標的型攻撃」、セキュリティパッチが適用されていないOSやVPNの脆弱性を突いて侵入し、データ改ざんや情報窃取を行う「脆弱性攻撃」、一斉にアクセスを仕掛けて業務を妨害する「DDoS攻撃」、他人のIDとパスワードを利用して不正送金や不正なマイル交換を行う「なりすまし」、正しい業務手順で知り得た情報を悪用する「内部犯行」の5つに分類できるという。

　そして和田氏は「サイバー攻撃の90％以上は、このうち脆弱性攻撃と標的型攻撃になるため、ここに注力するのが最も有効だと考えています。一方、情報漏洩のみにスポットを当てると、80％以上はなりすましや内部犯行によって占められます。こうしたデータを勘案しながらの、バランスのよい対策や投資が求められるのではないでしょうか」と述べた。

　このうち標的型攻撃については、ターゲットの環境に元々存在している正規コマンドを悪用して攻撃を行う「Living off the land攻撃」が80％弱を占めている。こうした環境依存型ウイルスはEDRやNDR、XDRで検知しようとしても見えづらくなっているのが現状だ。

　一方、ばらまき型の攻撃についても、組織化された攻撃者がビジネスとしてランサムウェアやフィッシングメールを運用するRansomeware as a Service（RaaS）やPhishing as a Service（PHaaS）が展開され、その上、AIの活用によって自然な日本語によるフィッシングメールが大量に送信されるようになってきた。

　さらに、プログラムされたとおりに攻撃を実施するのではなく、入力されたプロンプトに基づいて動的にコードを生成して攻撃を行うAI駆動型マルウェア「LameHug」も報告されている。

　「我々のシステムの弱いところを探し、どのような攻撃をすれば侵入できるかをその場で生成AIが判断しながら攻撃してくる、いわば“One to Oneゼロデイ攻撃”のような世界が到来するかもしれません」と和田氏は予測した。

　そして、一連のトレンドを踏まえると、サイバーセキュリティの考え方を大きく変えなければいけないタイミングに来ているのではないかと警鐘を鳴らした。

プロセスのゼロトラスト化からサプライチェーン攻撃対策まで、広範な対策を推進

　ANAグループはこうした動向も踏まえながら、さまざまな対策を進めてきた。

　中でも力を入れているのが、標的型攻撃に備えた「プロセスのゼロトラスト化」だ。「本当に守りたいものは何かを徹底して明確にした上で、そのプロセスをしっかり守ることが重要です」（和田氏）

　他にも、昨今VPNの脆弱性を狙った攻撃が後を絶たないことを踏まえ、「自分たちの環境は外からどのように見えるか」を明らかにするため、アタックサーフェイスマネジメント（ASM）やペネトレーションテストを実施し、自分たちの強みや弱みを明らかにしている。同様に、刻々と変化するクラウド環境において、適切な設定がなされているかを確認し、特に重要なサーバについては要塞化を実施している。

　また、日本の多くの企業・組織がターゲットとなったDDoS攻撃のリスクとも無縁ではない。大量の空席照会を送信するといった形で、システムのメモリやCPUリソースの枯渇を狙ってくることもあり、「非常にしつこく、また弱点を突いてきますし、週末の夜など休みに入ろうとするタイミングを狙って攻撃してきます」（和田氏）という。すでにレイヤ3、4での攻撃についてはCDNサービスを活用して対策しているが、今後はレイヤ7でのDDoS攻撃への備えを検討している。

　なりすまし攻撃については、従業員がフィッシングにだまされて情報漏洩につながるリスクへの備えはもちろんだが、顧客保護にも努めていく方針だ。顧客向けの啓蒙・啓発活動を展開しつつ、リテラシーだけでなく仕組みによる対応を進めていきたいとした。

　こういった形で、主な5つのサイバー攻撃対策を進めているANAグループだが、もう一つ、留意しなければならないポイントがあるという。それは、取引を持つ企業の中でも弱いところを狙い、サプライチェーン全体を麻痺させるサプライチェーン攻撃だ。

　和田氏はこのリスクが高まっていることを踏まえ、「やはり同じような問題意識を持つ仲間や業界、サプライチェーンを構成する企業同士による“集団防御”という考え方を取り入れる必要があると考えます」と述べた。

　そもそもANAの本業は航空運送事業であり、サイバーセキュリティではない。従って、サイバーセキュリティにばかり経営資源を投じることは当然ながら困難だ。合わせて、サプライチェーン全体で対策をもっとシンプルにし、セキュリティコストを削減していくことも求められる。

　和田氏はそうした現実を踏まえながら、「その企業にとって、このセキュリティ対策を続けることが、持続可能なことかどうか、という視点が必要ではないかと思います」と述べ、セキュリティ至上主義で推進することの危うさを指摘した。

　そして「事業継続、さらに日本社会全体のサイバーレジリエンスを向上させていくには、自社だけの対策では困難です。みんなで一緒に守っていくことが必要になってきます」と、あらためてサイバー集団防御の必要性を訴えた。