IT部門のないグループ企業のセキュリティをANAはいかに担保しているか?

ベースラインAPT対策コンソーシアムは3月5日、新宿ミライナタワーにて「第5回サイバーセキュリティ対策セミナー」を開催した。本稿では、ANAシステムズ 品質・セキュリティ管理部 阿部恭一氏による特別講演「ANAにおけるグループCSIRT～小規模なグループ会社、事業所の守り方～」の模様をお届けする。

ANAシステムズ 品質・セキュリティ管理部 阿部恭一氏

経営層の支持を得るのに必要なのは「具体的な数字」

セキュリティ脅威が日常となっている現在、セキュリティを強化している事業会社への攻撃だけではなく、周辺のサプライチェーンへの脅威も高まっている。連結の従業員数が約4万人となるANAグループも、そうした脅威に直面する企業の1つだ。

グループ企業のほとんどの会社がネットワークで繋がっているが、そのなかにはIT部門が設置されていない事業会社や海外支店なども含まれており、セキュリティ対策が手薄な箇所から攻撃者に侵入されるリスクがある。もちろん、関連会社になりすました攻撃にも注意しなければならない。

また、国内外94都市へと航空機を運行しているANAは、EU一般データ保護規則(GDPR：General Data Protection Regulation)や中華人民共和国サイバーセキュリティ法など、海外の法令や通信環境についても考慮する必要がある。

こうした複雑な状況においてセキュリティを担保し、被害を受けないようにすべく活動しているANAのグループCSIRTは、どのような体制で運営されているのだろうか。登壇した阿部氏はまず、経営層に対してCSIRTの活動の意義を説明することの重要性について強調する。

「CSIRTが頑張っていると何も起こらないため、経営者はCSIRTの重要性を把握できず、投資対効果を問われてしまうという課題があります。CSIRTとしては、脅威にさらされている状況を経営層に対してきちんと説明していかなければなりません」(阿部氏)

経営層の理解を得る上では、脅威の現状を数値化して説明することがポイントとなる。阿部氏は、「2018年4月～11月の集計では、マルウェア付きのメールが9500件、端末側でのマルウェア検知が1913件、OA端末との不正通信検知数が9140件に達していた。750億の総トラフィックのうち、0.11%が攻撃であることがわかっている。こうした具体的な数字を出しながら経営層に説明すると、CSIRTの重要性を理解してもらいやすい」と、普段から具体的な数字を用いてCSIRTの活動の意義を説明することの必要性を語った。

ANAグループがおかれている脅威状況(2018年4月～11月)