公共交通インフラの使命を軸に、事業継続への攻めと守りを大胆に実行する - JAL 鈴木氏：セキュリティリーダーの視座（3/3 ページ）

[星原康一，ITmedia]

現場への権限委譲と意識改革で守り抜く

――セキュリティを強化するには予算も必要です。方針などはありますか。

鈴木氏：　セキュリティはもはや「コスト」ではなく、「安全投資」です。航空会社としては、安全を守るための投資を惜しむと事業継続が危ぶまれます。リスクが高まれば、当然それに対する備えも大きくしなければならないというのが、経営層全体での共通認識です。

Photo by 山田井ユウキ

　投資とあわせて、セキュリティ品質を客観的なグローバルベンチマークで担保することも重要です。当社ではISO/IEC 27001に基づくISMS（Information Security Management System：情報セキュリティマネジメントシステム）認証を取得していますが、近年はサプライチェーンや周辺のグループ会社から脅威が入り込むリスクが高まっています。そのため、システムに携わるグループ会社全社に対してISMSの取得を求め、ここ数年でほぼ全社が対応できる体制になりました。

ISMS認証取得時の様子。左は第三者認証機関のBSIグループ グローバル認証ビジネス部門プレジデント ハロルド・プラダル氏（JALグループプレスリリースから）

――社会インフラを担うシステムなので、攻撃を受けることも多いと思います。セキュリティチームとの連携で工夫していることはありますか。

鈴木氏：　サイバー攻撃への対応は「待ったなし」です。そのため、セキュリティチームとは日常的に密に会話をしており、距離が非常に近いです。

　一刻を争うようなセキュリティ対策があれば、いちいち承認を待つのではなく、リアルタイムに実行してもらい、場合によっては事後報告でも構わないレベルで現場に権限を委譲しています。上司の判断を待っていて被害が拡大しては元も子もありません。能力の高いメンバーが迅速に動ける環境を作ることが、私の重要な役割です。

――役員や一般社員のセキュリティ教育はどうしていますか。

鈴木氏：　やはりガバナンスやルールを定めるだけでは不十分です。有事の際に早期に報告が上がり、すぐに対応できるレジリエンスを高めるためには、全社員の意識の醸成が不可欠です。

　役員層に対しては、私から毎月最新のセキュリティ状況をアップデートし、社長直下のリスクマネジメント会議で全役員と関連会社社長に直接情報を共有しています。

　また全社員に対して標的型メール訓練やeラーニングを繰り返し実施しています。業務特性上、難しい立場の社員もいますが、粘り強くお願いした結果、理解して取り組んでくれています。セキュリティはシステム部門だけがやるものではなく、現場の社員1人1人が意識を揃えて守っていくものだという文化を、トップダウンとボトムアップの両輪で浸透させています。

セキュリティは「経営」の話題、社員の意識統一を

――最後に、自社のセキュリティ対策に悩む経営層に向けてアドバイスをお願いします。

鈴木氏：　サイバーセキュリティを単なる「IT部門の技術的な話」に押し込めてはいけません。これは経営全体の話であり、事業の生命線に関わるトップレベルの課題です。

Photo by 山田井ユウキ

　IT部門がどれほど危機感を持っていても、経営トップがその重要性を理解し、必要な権限と予算を与えなければ、リスクマネジメントは機能しません。経営層が自らリスクを正しく認識し、セキュリティという「守り」の土台を完璧に固めること。その前提があって初めて、デジタルトランスフォーメーションという「攻め」の価値創造が可能になります。

　技術の進化によってリスクが増大し続ける今、経営トップの覚悟と全社員の意識統一こそが、企業を守り抜く最大の防御策になるはずです。