「法律以前に、やるべきことがある」──ANA和田氏×SBT辻氏が語る、能動的サイバー防御の本質：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[周藤瞳美，ITmedia]

ブランドを守るためのセキュリティ投資という考え方

　技術的な脅威に加え、辻氏は人を騙す攻撃の進化についても言及した。特に生成AIを用いた音声の偽装（ディープフェイク）によるフィッシング詐欺の事例を紹介。「二要素認証を導入していても、AIで生成した上司や同僚の声で電話をかけられ、認証コードを聞き出されたり、アクセスの承認をさせるというケースも起きています。技術的な対策はもちろん必要ですが、最終的には“人”の部分が狙われます」と辻氏は指摘する。

　ANAにおける対策として、和田氏は「お客さまに対しては、フィッシングサイトのテイクダウンを地道に続けるとともに、二要素認証に絵文字を取り入れるなど工夫をしています。今後はFIDO認証など、より強固な仕組みへの移行も検討しています」と述べた。

　こうしたテクノロジーの導入にはコストや利便性の低下といったハードルが伴う。和田氏は、セキュリティ施策を推進するための経営層への説明ロジックについて、次のように話した。

　「新しいシステムを入れる際、コストや手間の面で100%の賛成を得ることはなかなか難しいことです。しかし、例えば社員の個人情報が漏洩した場合、日々の暮らしの中で社員が恐怖を感じるような事態になり得ます。そうなれば、企業としてどう責任を取るのか、補償はどうするのでしょうか。これは高度な経営判断になります。単なるシステムの話ではなく、社員を守る責任や、経営リスクの観点から課題を提示し、投資の必要性を訴えていくことが重要です」（和田氏）

　辻氏もこの考えに強く賛同し、セキュリティ投資の考え方について独自の視点で補足した。

　「セキュリティ投資は、直接的に儲かるものではありません。極端な話、100円の価値しかないものを100万円の金庫で守るのは、計算上は間抜けに見えるかもしれない。でも、『100円のものすら盗まれるような管理をしている組織だ』と世間に見られたくないなら、100万円をかける意味はある。それはブランドを守るための投資といえます」（辻氏）

「敵は外にいる」──組織の壁を越えた共闘を

　対談の終盤、話題はセキュリティ対策を推進するための組織体制に及んだ。

　ANAでは、セキュリティ専門部署だけでなく、総務・リスクマネジメント部門、プライバシーガバナンス部門の3部門が連携したバーチャル組織としてCSIRTを運営しているという。

　「IT部門から“気をつけてください”と言うよりも、社内で影響力を持つ総務や企画部門から通達を出すほうが、組織として責任の所在が明確になり、動きやすくなる場合があります。それぞれの部署の強みや特性を生かし、連携して対応に当たるのが現実的かもしれません」（和田氏）

　辻氏はこの取り組みを高く評価し、「セキュリティ部門と他部署、あるいは経営層と現場が対立してしまうのは不幸なこと。敵は外部にいるのだから、内部での連携、特に民民連携ならぬ社内の部署間連携が不可欠です」と話した。

　最後に和田氏は、会場の参加者に向けて熱いメッセージを送った。

　「技術は進化し、守りも攻めも高度化していますが、最終的に状況を判断し、セキュリティを高めるのは“人”です。必要な部署に必要な説明をし、理解を得るために汗をかく。そうした熱い心を持って、皆さんと一緒にレジリエンスを高めていきたい」（和田氏）

　辻氏も「最後は“人”に行き着くというのは陳腐に聞こえるかもしれませんが、実は最も重要な点です。敵は外にいるのに、中で対立し合っていても仕方がありません。同じ方向を向いて組織を強くし、結果としてビジネスの成長につなげていくべきです」と締めくくり、セッションは幕を閉じた。

　法制度や攻撃の最新動向の話題から始まった本対談だが、結論として導き出されたのは、泥臭くも本質的な人間関係と組織文化の重要性だった。官民連携はもちろん、社内の人同士の連携が、これからのサイバー防御の要となるだろう。