IT部門のないグループ企業のセキュリティをANAはいかに担保しているか?

[2019/03/22 08:00]周藤瞳美 ブックマーク ブックマーク

セキュリティ

ベースラインAPT対策コンソーシアムは3月5日、新宿ミライナタワーにて「第5回サイバーセキュリティ対策セミナー」を開催した。本稿では、ANAシステムズ 品質・セキュリティ管理部 阿部恭一氏による特別講演「ANAにおけるグループCSIRT~小規模なグループ会社、事業所の守り方~」の模様をお届けする。

ANAシステムズ 品質・セキュリティ管理部 阿部恭一氏

経営層の支持を得るのに必要なのは「具体的な数字」

セキュリティ脅威が日常となっている現在、セキュリティを強化している事業会社への攻撃だけではなく、周辺のサプライチェーンへの脅威も高まっている。連結の従業員数が約4万人となるANAグループも、そうした脅威に直面する企業の1つだ。

グループ企業のほとんどの会社がネットワークで繋がっているが、そのなかにはIT部門が設置されていない事業会社や海外支店なども含まれており、セキュリティ対策が手薄な箇所から攻撃者に侵入されるリスクがある。もちろん、関連会社になりすました攻撃にも注意しなければならない。

また、国内外94都市へと航空機を運行しているANAは、EU一般データ保護規則(GDPR:General Data Protection Regulation)や中華人民共和国サイバーセキュリティ法など、海外の法令や通信環境についても考慮する必要がある。

こうした複雑な状況においてセキュリティを担保し、被害を受けないようにすべく活動しているANAのグループCSIRTは、どのような体制で運営されているのだろうか。登壇した阿部氏はまず、経営層に対してCSIRTの活動の意義を説明することの重要性について強調する。

「CSIRTが頑張っていると何も起こらないため、経営者はCSIRTの重要性を把握できず、投資対効果を問われてしまうという課題があります。CSIRTとしては、脅威にさらされている状況を経営層に対してきちんと説明していかなければなりません」(阿部氏)

経営層の理解を得る上では、脅威の現状を数値化して説明することがポイントとなる。阿部氏は、「2018年4月~11月の集計では、マルウェア付きのメールが9500件、端末側でのマルウェア検知が1913件、OA端末との不正通信検知数が9140件に達していた。750億の総トラフィックのうち、0.11%が攻撃であることがわかっている。こうした具体的な数字を出しながら経営層に説明すると、CSIRTの重要性を理解してもらいやすい」と、普段から具体的な数字を用いてCSIRTの活動の意義を説明することの必要性を語った。

ANAグループがおかれている脅威状況(2018年4月~11月)

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

気象庁の信頼、そして何より国民を守るため――使命感と知識が支えた事故対応 [事故対応アワード受賞レポート]

気象庁の信頼、そして何より国民を守るため――使命感と知識が支えた事故対応 [事故対応アワード受賞レポート]

気象庁の津波警報を装った迷惑メールに対し、同日中に注意喚起を目的としたプレスリリースを発表。詳細な情報を公開し、被害を最小限に食い止めた。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします

会員登録(無料)

注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
知りたい! カナコさん 皆で話そうAIのコト
教えてカナコさん! これならわかるAI入門
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る