大企業が、ランサムウェアによるサイバー攻撃で甚大な被害を受ける事例が続いている。限られたリソースで組織を防衛するために、全日本空輸(ANA)が取った手段とは。
AIの指数関数的な進化に伴い、脅威が飛躍的に高まっているものがある。サイバー攻撃だ。「それぞれの会社の弱点をAIが見つけ出し、その脆弱性を突く攻撃手法を生成AIがその場でつくり出して攻撃する時代になった」。そう話すのは、全日本空輸(ANA)デジタル変革室専門部長の和田昭弘だ。警視庁サイバーテロ対策協議会会長や国家サイバー統括室の各種施策の検討委員なども務める、サイバーセキュリティのプロである。
ANAグループは、年間5000万人以上分という膨大な数の顧客の予約記録や、約4000万件にのぼるマイレージクラブ会員の情報を保有している。情報漏えいは経営に直結する重大リスクだ。かつ、システムが止まれば即、事業もストップする。過去にシステム障害が起きた際には、1時間停止しただけでも10万人の顧客に影響が出たという。
ANAでは、安全は経営の基盤であり、社会への責務と位置付けている。その安全のなかに含まれるのが情報の安全だ。
「セキュリティ対策ソフトなどのツールがどれだけ進化しても、ウイルスは侵入する」と和田は断言する。そこで、ANAでは「プロセスのゼロトラスト化」という防衛策を講じている。ウイルスに侵入されることを前提に、その後の挙動を徹底的に制御するのだ。
例えば、ランサムウェアはシステム内部に侵入したのち、ファイルを配置し、それを起動させ、C&C通信(外部から被害者のPCを乗っ取り操作する攻撃)を行い、データを暗号化した上で脅迫するというプロセスを踏む。ANAではシステム上のすべての動きをチェックし、通常のシステム内のフローから逸脱する動きは、たとえそれが正規ツールを悪用したものであっても即座に遮断する仕組みを導入している。
「この方法なら、ウイルスの動きはすべて異常値として止まります」
ANAは航空会社だ。最優先すべきは顧客サービスや安全運航であって、セキュリティ対策には限られたリソースを最適配分する戦略的な投資が求められる。
「情勢を把握・分析しながら、社としてどのような対策を打つべきか、予算や人員体制はどうするかを判断する。セキュリティマネジメントは、人間にしかできません」
セキュリティ担当者と聞くとITに長けた人物を思い浮かべがちだが、「リスクセンスと『今日よりも明日、何かいいことをしたい』という気持ちがあればセキュリティ人材になれる」と和田は言う。実際、ANAのセキュリティチームには空港旅客部門出身者や客室乗務員経験者、一般総合職など、IT専門職以外の多様なキャリアを歩んできたメンバーが複数人いる。彼らに共通しているのはリスクに対する感度の高さと、違和感や疑問があればすぐに共有する姿勢だ。
この点において、ANAは他社より優位かもしれない。安全最優先の航空業界では「気づいたら報告する」が徹底されているうえ、同社は10年以上にわたり「アサーション」に取り組んできたためだ。
ANAが考えるアサーションとは、安全や保安上の懸念を感じた際に、役職や年齢にかかわらず、相手を尊重しながら意見や指摘をすることを指す。同社では2008年に運航乗務員の訓練にアサーションのプログラムを取り入れ、良好なコミュニケーションの確保とヒューマンエラーの防止に取り組んできた。現在はANAグループ全体に広まり、業務品質の維持・向上や職場風土の改善などにもつながっているという。心理的安全性は、サイバーセキュリティ対策にも有効なのだ。
