DXが進む一方で、企業を狙うサイバー攻撃は激化の一途をたどっている。12月15日~16日に開催されたウェビナー「TECH+セミナー セキュリティ2025 Dec. 総決算 堅牢なセキュリティ組織を武装する『サイバーレジリエンス』のすすめ」に、全日本空輸(ANA)デジタル変革室 専門部長の和田昭弘氏が登壇。航空業界という安全が至上命題とされる環境において、同社がいかにしてサイバーレジリエンスを高めているか、その具体的な戦略と組織論を語った。

空の安全と同様、「情報の安全」は絶対的な使命

「一番の経営課題は安全です。空の安全、航空機の安全が最も重要であり、グループ全ての事業における絶対的な使命となっています」(和田氏)

講演の冒頭、和田氏はANAグループにおける「安全」の位置付けを強調した。同社では全役職員がグループ行動指針を携帯し、年に一度のリカレント教育を受けるなど、安全意識が企業文化として刻み込まれているという。そして現在、同社は「情報の安全」も空、航空機と同等に掲げている。これは、年間5000万人以上の予約記録や、4000万人を超えるANAマイレージクラブ会員の個人情報など、取り扱う情報が極めてセンシティブであるためだ。

  • ANAが最重要視している安全への意識

    ANAが最重要視している安全への意識

防御体制としては、グループESG推進会議の下にリスク・コンプライアンスを管掌する部門があり、さらにシステム面での専門性を担保するため、グループCIOの下に「ANAグループCSIRT(Computer Security Incident Response Team)」を設置。リスクマネジメント部門、プライバシーガバナンス担当、サイバーセキュリティ担当の3部門から集まった18名のメンバーが、グループ4万人以上のセキュリティ司令塔として活動している。

2025年の脅威は、AI悪用とLiving off the Land

和田氏は、昨今のサイバー攻撃情勢について「2025年に入り攻撃レベルが格段に上がっている」と警鐘を鳴らす。とくに注目すべき変化として、以下の3点を挙げた。

1. Living off the Land(自給自足型、環境寄生型)攻撃の増加
OSの正規ファイルやツールを悪用して攻撃を行う手法で、従来の検知装置にかかりにくい。同氏によれば、標的型攻撃の80%以上がこの手法を用いているという。

2. サプライチェーン攻撃の深刻化
数千のサプライヤーを持つ企業において、防御の弱い1社が侵入されることで全体に被害が及ぶケースが増えている。

3. 生成AIによる攻撃の高度化
「Lame Hug」のように、AIがその場で企業の弱点を見つけ出し、即座にゼロデイ攻撃を仕掛ける手法が登場した。また、日本語の文章力が飛躍的に向上したフィッシングメールや、AIによる脆弱性調査なども脅威となっている。

同氏は「EDRやNDR、XDRなどの脅威を検知する製品も限界に来ている可能性がある」と指摘し、受動的な対応からの脱却が必要だと訴えた。

NISTフレームワークに「予防」を加える独自戦略

こうした脅威に対し、ANAは「TPP(Technical, Process, People)」の3軸で対策を行っている。その核となるのが、米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワークの活用と、独自の「予防」フェーズの導入だ。 NISTのフレームワークは「特定・防御・検知・対応・復旧(+ガバナンス)」で構成されるが、ANAでは「防御」と「検知」のあいだに、中核的な対策として「予防」という概念を組み込んでいる。

  • NISTのフレームワークにANA独自の「予防」を組み込む

    NISTのフレームワークにANA独自の「予防」を組み込む

「予防」フェーズにおける具体的な技術的アプローチとして、和田氏が提唱するのが「プロセスのZero-Trust化」だ。 ランサムウェアによる攻撃の場合、侵入、配置、Exe起動、C&C通信、情報搾取・暗号化といったプロセスが存在する。同氏は、ウイルスの検知に頼るのではなく、「業務上正しいプロセス以外は動作させない」というポリシー制御の重要性を説く。

  • ANAが実践しているプロセスのZero-Trust化

    ANAが実践しているプロセスのZero-Trust化

「例えば『予約発券』の業務であれば、予約番号入力、DB検索、発券Exe起動、航空券表示といった正規の流れがあります。これをポリシー化し、それ以外の通信や挙動をNGと定義しておけば、仮に侵入されても業務は進められますが、情報の搾取や暗号化までは至りません」(和田氏)

これにより、未知の脅威であっても、業務プロセスから逸脱した挙動であれば遮断することが可能になる。

「人」と「組織」で高めるレジリエンス

技術的な対策の一方で、和田氏が持続可能なセキュリティのために不可欠だと語るのが、組織と人の力、そして外部との連携だ。

1. 組織内連携:有事のバーチャル組織

ANAでは、インシデント発生時にCSIRTだけでなく、経営、広報、法務、発生部署などを統合したバーチャル組織を即座に立ち上げる仕組みをルール化。これにより、所轄官庁やメディア、顧客に対して正しく、早く情報を伝える体制を整備している。

2. コミュニティ活動による「Collective Security(集団防衛)」

同氏は「自社だけの対策では限界がある」と断言する。サプライチェーン全体、ひいては社会全体で守る「Collective Security(サイバー集団防衛)」の実現には、信頼できるコミュニティへの参加が鍵だという。

実際に、ANAは2019年から航空業界の「Aviation ISAC(Information Sharing and Analysis Center)」、2020年からは国土交通省が主導する「交通ISAC」などに積極的に参画している。

「セミナーはモチベーション維持に、ベンダー主催のユーザー会は製品理解に役立ちますが、ISACのようなコミュニティでは同業他社との深い情報交換が可能になります。『隣の会社はどうなっているのか?』という経営層の問いに答えるためにも、バイラテラルな交流ができるほどの信頼関係を築くことが、レジリエンス向上に直結します」(和田氏)

3. 「+セキュリティ」の教育・訓練と経営層の関与

人材育成においては、全社員に最低限必要な知識を持たせる「+セキュリティ」の考え方を導入。高度な専門知識を求めるのではなく、「やってはいけないこと」や「不審なメールを受け取った際の確認ポイント」など、業務遂行に必要な最低限のリテラシーを確実に身につけさせることを重視している。

また、訓練も徹底しており、年に1回は経営層を含めた情報セキュリティインシデント訓練を実施。「ランサムウェア被害時に身代金を払うか否か」といった高度な経営判断を迫るシミュレーションを行っている点も特徴的だ。

  • 社員のセキュリティ知識を高めるための取り組み

    社員のセキュリティ知識を高めるための取り組み

社会全体のサイバーレジリエンス向上へ

講演の最後、和田氏は国の動向として経済安全保障推進法や能動的サイバー防御への動きに触れ、官民連携の重要性を再確認した。

「ANAも重要インフラ事業者として、自社だけでなく、航空業界、産業界、そして日本全体でサイバーレジリエンスを向上させるために取り組んでいきます」(和田氏)

AIの台頭により攻撃が高度化・自動化する中、一企業の努力だけでサイバー攻撃から顧客や自社を守り切ることは困難な時代となった。プロセスのZero-Trust化による「予防」と、信頼に基づいた「集団防衛」。ANAが実践するこの2つのアプローチは、多くの日本企業にとって重要な指針となるだろう。