予防は治療に勝る「プロセスのゼロトラスト化」を軸に多面的な取り組みを展開――全日本空輸 和田昭弘氏:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
予防にこだわり、予防に徹するべきではないかと、これを実現する具体的な手段として、技術や人だけではなく「プロセス」に対してもゼロトラストを適用するアプローチを考えた。
一方、EDRやNDR、XDRといった対策は、そもそも「侵入はあり得ることを前提に素早く対応する」という考え方に基づいたソリューションだ。だが、前述の通り「止めてはならない」というANAのミッションを考えると、このアプローチはそぐわない。そこで「むしろ、もっと予防にこだわり、予防に徹するべきではないかと考えました」と和田氏は話す。
この予防を実現する具体的な手段として考えたのが、技術や人だけではなく「プロセス」に対してもゼロトラストの考え方を適用するアプローチだ。「信頼できる人やモノ、プロセスだけを許可し、システムに害をなすプロセスを防止する、プロセスのゼロトラスト化を考えてきました」(和田氏)
プロセスのゼロトラスト化とは、例えばEmotetのように巧妙な文面で人をだます攻撃があっても、その後の各プロセスにフォーカスし、「そもそも、そのフォルダにファイルの保存は許されているか」「許可された実行ファイルかどうか」「そのファイルからのC&C通信は許可されているか」といった事柄を一つ一つ確認し、ポリシーに反する動きは止めてしまうやり方だ。これにより、そもそもの侵害を防ぎ、サイバー被害を予防できると考えている。
業界横断連携、官民連携、そしてサプライチェーン全体の対策も推進
世の中では、より有効なサイバーセキュリティ対策を求めてさまざまなアプローチが提唱されている。和田氏は、オランダで行われた官民連携のランサムウェア対策「Project Melissa」から、多くの知見が得られたとした。
1つは、前述の予防重視とまさに重なる「Prevention is better than Cure」(予防は治療に勝る)というキーワードだ。「EDRで万全の体制を敷いていたとしても、やはり予防の方がいいと言っているのだと思います」(和田氏)
もう1つは「Expanding Partnership」、つまり官民連携の重要性だ。Project Mellisaでは、ランサムウェアに感染してしまった企業が迅速に警察に通報し、他の企業に警戒を呼びかけることで被害を最小化していった。
ANAも同様に、外部組織と連携したコレクティブセキュリティの実現に取り組み始めている。エアラインや航空機メーカー、空港などが参加するグローバルな連携組織「Aviation ISAC」に加盟し、国内では「交通ISAC」や産業横断サイバーセキュリティ検討会に参加して日々最新の脅威情報を共有し、必要に応じて体制の見直しなどに活用している。
また、自社の枠組み、グループ会社の枠組みを超え、サプライチェーン全体にまたがるサイバーセキュリティ協力体制の構築を意識し、防御能力の向上にも努めていると説明した。
顧客が飛行機を予約し、チェックインし、搭乗し、目的地に着くまでの間には、ANAだけではなくクレジットカード会社や共同パートナー、あるいは免税品や飲み物・飲食物を販売する商事会社や航空燃料の供給会社など、多種多様な会社が関わっている。「こうした会社が安全に、かつタイムリーにつながることによって、お客様にタイムリーにサービスが提供できます。この構造を理解し、サプライチェーンをしっかり守っていく活動が必要だと考えています」(和田氏)
サプライチェーン全体で完璧なゼロトラストセキュリティや、侵入された場合の即時対応体制の整備を実現できるのに越したことはないだろう。だが、予算や事業規模などを考えると、現実的には困難だ。従ってここでもやはり「プロセスのゼロトラスト化」が重要なキーワードになってくるだろうと同氏は述べた。
「自社のコア業務は何なのか、最低限、どこをどのように守っていくべきかは、今一度考えてみることが重要です」(和田氏)
また、ANAは人材育成にも力を入れている。セキュリティインシデントの発生はもちろん、システム障害、あるいは自然災害時のBCPなど、さまざまな場面を想定した訓練を自社内で実施するほか、分野横断演習にも参加してきた。社員全体のリテラシー向上とともに、セキュリティ専門人材の強化も進めており、例えば経済産業省の「中核人材育成プログラム」に人材を派遣し、技術力の向上を進めている。
そして何より「サイバーセキュリティにおいてはトップの理解も重要です。もはやセキュリティの課題は経営課題であり、トップ同士が集まって信頼の輪を築く機会を設けています」と和田氏は述べた。
最後に和田氏は改めて、プロセスのゼロトラスト化は、NISTサイバーセキュリティフレームワークの最新版、2.0で言及されている「ガバナンス」や「衛生管理」に通じる取り組みであることを説明。予防という考え方を取り入れることで検知のスコープを狭め、より効率的に、より少ない工数でセキュリティが運用できるとし、ぜひこの考え方を検討してほしいと呼びかけ、講演を終えた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- デジタルアイデンティティこそがデジタル覇権の行方を左右する――東京デジタルアイディアーズ崎村夏彦氏
- 経営層と現場の間に横たわるギャップ解消のために心がけたい3つのポイント ――Armoris 取締役専務 CTO 鎌田敬介氏
- 生成AIは人間の仕事を奪わない。3つの懸念点を踏まえつつ、生成AIの積極的な活用を――日本マイクロソフト 西脇資哲氏
- サイバーセキュリティだけ「特別扱い」には無理がある――経営を脅かすリスクの1つと位置付け、メリハリのある対策を
- 情報漏洩にとどまらず、ビジネスリスクの観点でのサイバー攻撃対策を実践―― サプライチェーン全体を視野に取り組む凸版印刷
- 世界は変わった? 変わらない? 変化の中で引き続き求められるバランスの取れたセキュリティ対策
- サイバーセキュリティ連盟の調査で判明――日本企業のサイバー防御力、ギャップを埋める鍵はセキュリティ意識の変革から
- DX推進とサイバーセキュリティ対策、双方に不可欠なのは「経営層のリーダーシップ」――東海大学 三角育生教授
- 医療データを扱うMDV、経営層への説明と現場への関わりのコツ――メディカル・データ・ビジョン 渡邉幸広氏
- 「サプライチェーン」を人質に取るようになったランサム攻撃 ――ラックの西本氏が語る、万一への備え
- スタートアップと金融機関、2つの側面を持つbitbankのセキュリティ対策とは? ――ビットバンク 橋本健治氏
- 経営と現場の板挟みになりがちなガバナンス、優先してやるべきことを明確に――リクルート 鴨志田昭輝氏
- 調査結果が明らかにした日本企業のCISO不在。リスクを見せる化し、経営視点を取り入れながらコミュニケーションすることで改善を――NRIセキュアテクノロジーズ 足立道拡
- セキュリティ担当者が夜しっかり眠れる運用体制とは?――守りのDXで攻めのDXを支えるアステラス製薬の取り組み
- 独自の観測結果から見えてきたランサムの今と、対策のポイント――SBテクノロジー 辻伸弘氏