ANAシステムズが入居するビル(東京・大田)
ANAシステムズが入居するビル(東京・大田)
[画像のクリックで拡大表示]

 全日本空輸(ANA)グループを守るCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)である「ANA Systems Co., LTD. Computer Security Incident Response Team(ASY-CSIRT)」を取り上げる。

 ANAグループでは30社を超えるグループ会社にセキュリティガバナンスを効かせるため、ANAホールディングスにASY-CSIRTを含む「ANAグループ情報セキュリティセンター」を設置。実際に企画・運用するのはANAシステムズで開発手法の標準化やセキュリティルールの策定、内部監査などを担う品質・セキュリティ監理室である。

 サイバー攻撃か機器故障かを問わず、システム障害やサービス停止が発生した際には「何が何でもサービス復旧」というポリシーで運用を高度化させている。その原動力となるのが13種のセキュリティ人材だ。

人もシステムもインシデントを一括管理

ANAシステムズで品質・セキュリティ監理室ANAグループ情報セキュリティセンターASY-CSIRTエグゼクティブマネージャーを務める阿部 恭一氏
ANAシステムズで品質・セキュリティ監理室ANAグループ情報セキュリティセンターASY-CSIRTエグゼクティブマネージャーを務める阿部 恭一氏
[画像のクリックで拡大表示]

 ANAグループのセキュリティセンターが特徴的なのは、そのスコープが情報システム分野と、それ以外の「人的分野」にまたがっていることだ。ANAシステムズの品質・セキュリティ監理室でエグゼクティブマネージャを務める阿部 恭一氏は人的分野を「『SNSが炎上した』『制服が紛失した』といった航空業務の保安に関わる内容であり、これもセキュリティの範囲である」と説明する。こうしたセキュリティはアナログかと思いがちだが、「多くがIT化されていて、情報システムのデータやログからある程度究明できる」(阿部氏)という。

 一方の情報システム分野はいわゆるCSIRTの分野だ。ASY-CSIRTはセキュリティ状況を監視するSOC(セキュリティ・オペレーション・センター)を外部委託し、SOCが検知した情報を基にセキュリティ侵害といったインシデント(事故)に対応している。

 人的分野と情報システム分野でそれぞれ責任者が異なる。人的分野はANAホールディングスのリスク管理責任者である「チーフCSRプロモーションオフィサー(CPO)」に、情報システム分野は「最高情報セキュリティ責任者(CISO)」に報告するという。

 セキュリティセンターはANAがホールディングス制に移行した2013年4月を機に社内で正式に認められたという。日本企業の海外子会社がサイバー攻撃の被害に遭うケースが増え、「リスク管理上、グループでセキュリティを一元対応する必要がある」と阿部氏がリスク管理責任者に訴え、組織化したという。それ以前は、ANAの公式旅行サイト「ANA SKY WEB」を本格的に運用しだした2000年代から「ANAシステムズの2~3人でセキュリティ維持活動を続けていた」(阿部氏)。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。