全日本空輸(ANA) デジタル変革室 専門部長の和田昭弘氏は、「航空会社であるANAの一番の社会的使命は安全であり、その中には情報の安全も含まれる」と話す。マイレージクラブ会員の約4000万人の個人情報や年間5000万人以上の予約記録を取り扱う同社はいわば顧客情報の塊であり、それを守ることは大きな命題だ。

6月26日~27日に開催された「TECH+セミナー セキュリティ 2025 Jun. 今を守り、未来を築く」に同氏が登壇。最近のサイバー攻撃の傾向を踏まえ、同社がどのように対策を講じているかを説明した。

サイバー攻撃に対する網羅的な対策が必要

講演冒頭で和田氏は、ANAがサイバーセキュリティを重視した体制を構築していることを紹介した。航空会社である同社にとって最大のリスクは事故だが、そのほかにも戦争や疫病、風評等のレピュテーションといった多くのリスクがある。そしてこれらに並ぶものとして同社は情報漏えいのリスクを重視している。グループ全体のリスクはチーフESGプロモーションオフィサーやグループリスクコンプライアンス担当役員が担うが、情報漏えいに関してはサイバーセキュリティに関連する専門的分野であることから、グループCIOの下にバーチャル組織であるANAグループCSIRTを発足させた。そしてそこにリスクマネジメント、プライバシー、ITの3部門を設置し、それぞれ6名、計18名の体制でサイバーセキュリティを統括している。

  • ANAグループのセキュリティ体制

同氏は、主なサイバー攻撃について大まかに5つのカテゴリに分類して説明した。1つ目は標的型攻撃で、不正メールや不正なURLを介して内部を調査し、個人情報や機密情報を漏えいさせるものだ。同社ではランサムウェアをその代表として捉えている。2つ目はOSやアプリケーションの脆弱性を突いて情報漏えいやデータ改ざんを狙う脆弱性攻撃だ。これにはエンドポイントで防御できるものとVPN機器などの脆弱性を狙うものがあり、それぞれに異なる対策が必要になる。3つ目は大量アクセスによって業務を妨害するDDoS攻撃、4つ目は不正に入手した他人のIDやパスワードを利用してマイル換金や不正送金を行おうとするなりすまし、そして5つ目が社員や委託先社員が正規手順で得た情報を悪用する内部犯行だ。

「一般的に、サイバー攻撃のうち、最近では標的型攻撃と脆弱性攻撃が9割以上を占めていますが、その一方で情報漏えいの8割以上がなりすましや内部犯行によるものです。したがって、網羅的な対策が必要です」(和田氏)

最近のサイバー攻撃の傾向とその対策

サイバー攻撃は日々高度化している。最近では、正規コマンドを悪用するLiving off the Land攻撃が標的型攻撃の主流だ。これは「環境依存型ウイルス」とも呼ばれるこの攻撃は、従来のEDRやNDRでは検知が難しい。ばらまき型攻撃は、以前は日本語の不自然さから一見して詐欺メールだと判別できたが、最近は違和感のない文章で見分けるのが難しくなっている。さらにランサムウェアやフィッシングはRaaS(ランサムウェア・アズ・ア・サービス)、PhaaS(フィッシング・アズ・ア・サービス)のようにサービス化され、AIを活用した機能も追加されるなど、攻撃の量、質ともに向上している。

こうした攻撃にどう対応すればよいのか。まずランサムウェアやフィッシングに対して和田氏が提案するのは、プロセスのゼロトラスト化だ。業務上必要な操作以外を制限することで、攻撃の影響を最小限にとどめることができる。また脆弱性攻撃については、過去の脆弱性をAIで洗い出して再攻撃するケースも増加しているため、クラウド設定の強化、管理サーバの要塞化などが有効だ。人間が対応しにくい週末を狙うなど巧妙化しているDDoS攻撃に対しては、強固なCDNサービスを使うこと、そして迅速に対応できる体制の構築が必要だ。なりすましについては、自宅のPCの汚染から侵入につながるケースが増加し、2要素認証すら破られる事例も報告されている。したがって会社と自宅のPCの使い分けは必須となるだろう。

サプライチェーン全体のサイバーレジリエンス向上を目指す

航空会社は労働集約型の産業であり、整備、クレジットカード、機内食のケータリング、燃料など多数のパートナーと連携している。そのためサイバーセキュリティについてもANA単独ではなく、サプライチェーン全体での強化を目指している。

「お客さまに安全安心なサービスを提供するためには、業界を越えたサイバーセキュリティの強化が必要なのです」(和田氏)

とはいえ、同社の本業は航空運送事業だ。経営資源を注ぎ込む優先順位はサイバーセキュリティよりも運送事業がはるかに上であるし、サプライチェーンの中にはサイバーセキュリティにコストをかけられない中小企業もある。そこで同社では、プロセスのゼロトラスト化によってログの量を減らすなど、中小企業でも導入可能な取り組みを中心に持続可能な対策を進めることで、サプライチェーン全体のサイバーレジリエンスを高めようとしている。

ではコストと効果をバランスさせた対策とはどういうものか。和田氏は「その答えはコミュニティの中にある」と話す。外部組織との連携の強化により集団防御を目指そうという考えだ。そのため同社は実際にいくつものコミュニティに参加している。例えば日本や欧米の主要航空会社やIATA、ICAOといった国際機関、ボーイングやエアバスなどのメーカーが参画するAVIATION ISACでは、世界の航空関連のセキュリティに関する情報を日々共有している。また鉄道、航空、物流といった交通事業88社で構成される交通ISACには発足時から参画し、交通事業者間での課題やその解決の情報を共有。産業横断サイバーセキュリティ検討会では、45社のユーザー企業間でセキュリティの人材育成やマネジメント層の課題を議論している。このほか経団連のサイバーセキュリティ委員会や警視庁のサイバーテロ対策協議会にも参加している。

訓練と社員教育で全社的なセキュリティ意識向上を図る

コミュニティで得られた知見は、社内の訓練に活用している。システム障害、情報セキュリティインシデント対応、IT-BCPなどのセキュリティ訓練を、役員を含めた全社員に実施しているほか、NISCや警察庁、警視庁が実施する官民共同の訓練にも参加し、全社員のセキュリティ意識の向上を図っている。

社員教育においては「+セキュリティ」という考えを導入している。例えば怪しいメールを開かないというような基礎からの知識を、経理担当、客室乗務員、地上係員など職種を問わず全社員が持てるようにすることで、全社的なセキュリティの底上げを図っている。その一方で、セキュリティの専門人材の育成も行っている。経済産業省のサイバーセキュリティ中核人材育成プログラムに毎年1人ずつを派遣し、帰任後に中核人材として活動してもらっているという。

サイバー攻撃は、常に攻撃者が新たな手法で攻撃を仕掛けてくる。和田氏は「こうした攻撃者優位の状況に対応するには、万一の際の対処について日々考えておくことが重要」だと話す。例えばランサムウェアの身代金は支払うべきなのか、DDoS攻撃の増加により増大したコストをどうするか、といったことは常に考えておくべきなのだ。

そして同氏は、この5月に成立した能動的サイバー防御関連法に注目していると話した。この法律では、攻撃者のサーバをテイクダウンさせることも可能にしている。1つの企業だけでは解決できないような課題も、官民の連携によって解決できる可能性が広がるのだ。

「コミュニティを活用し皆さまと協力することで、産業および日本全体のサイバーレジリエンスを高めていくことを目指しています」(和田氏)