• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

百社百様、我が社のCSIRT

[ANAシステムズ]13種のセキュリティ人材を育成して守り切る

井上 英明=日経コンピュータ 2016/08/23 日経コンピュータ
ANAシステムズが入居するビル(東京・大田)
[画像のクリックで拡大表示]

 全日本空輸(ANA)グループを守るCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)である「ANA Systems Co., LTD. Computer Security Incident Response Team(ASY-CSIRT)」を取り上げる。

 ANAグループでは30社を超えるグループ会社にセキュリティガバナンスを効かせるため、ANAホールディングスにASY-CSIRTを含む「ANAグループ情報セキュリティセンター」を設置。実際に企画・運用するのはANAシステムズで開発手法の標準化やセキュリティルールの策定、内部監査などを担う品質・セキュリティ監理室である。

 サイバー攻撃か機器故障かを問わず、システム障害やサービス停止が発生した際には「何が何でもサービス復旧」というポリシーで運用を高度化させている。その原動力となるのが13種のセキュリティ人材だ。

人もシステムもインシデントを一括管理

ANAシステムズで品質・セキュリティ監理室ANAグループ情報セキュリティセンターASY-CSIRTエグゼクティブマネージャーを務める阿部 恭一氏
[画像のクリックで拡大表示]

 ANAグループのセキュリティセンターが特徴的なのは、そのスコープが情報システム分野と、それ以外の「人的分野」にまたがっていることだ。ANAシステムズの品質・セキュリティ監理室でエグゼクティブマネージャを務める阿部 恭一氏は人的分野を「『SNSが炎上した』『制服が紛失した』といった航空業務の保安に関わる内容であり、これもセキュリティの範囲である」と説明する。こうしたセキュリティはアナログかと思いがちだが、「多くがIT化されていて、情報システムのデータやログからある程度究明できる」(阿部氏)という。

 一方の情報システム分野はいわゆるCSIRTの分野だ。ASY-CSIRTはセキュリティ状況を監視するSOC(セキュリティ・オペレーション・センター)を外部委託し、SOCが検知した情報を基にセキュリティ侵害といったインシデント(事故)に対応している。

 人的分野と情報システム分野でそれぞれ責任者が異なる。人的分野はANAホールディングスのリスク管理責任者である「チーフCSRプロモーションオフィサー(CPO)」に、情報システム分野は「最高情報セキュリティ責任者(CISO)」に報告するという。

 セキュリティセンターはANAがホールディングス制に移行した2013年4月を機に社内で正式に認められたという。日本企業の海外子会社がサイバー攻撃の被害に遭うケースが増え、「リスク管理上、グループでセキュリティを一元対応する必要がある」と阿部氏がリスク管理責任者に訴え、組織化したという。それ以前は、ANAの公式旅行サイト「ANA SKY WEB」を本格的に運用しだした2000年代から「ANAシステムズの2~3人でセキュリティ維持活動を続けていた」(阿部氏)。

ここから先はITpro会員(無料)の登録が必要です。

次ページ 開発中に3回のセキュリティチェック
  • 1
  • 2
  • 3
  • 4

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る