全日本空輸株式会社（ANA） 荒牧秀知 Aramaki Hidetomo 和田昭弘 Wada Akihiro

荒牧 航空輸送業を生業とする我々のような航空会社にとっては、やはり安全が第一です。安全なくしては、どのような販促プロモーションをしても、お客様の信頼を勝ち得ません。安全をいかに極めるか、それが当社の事業における一丁目一番地だと認識しています。そのなかでも「情報の安全」は、近年重要性が増している重要なファクターです。

また、ANAはフルサービスキャリアであり、品質の高さによってお客様にご評価いただき、搭乗していただくことが競争力の源泉です。サービスの品質はもちろんですが、お客様に「信頼」と「安心」を感じていただくため、サイバーセキュリティへの対応も避けては通れないものになっています。ANAはこれだけのことをしている、だから安心して利用できる。そのようにお客様に信頼していただけるよう、さまざまな取組みを行っています。

2019年には、ここにいる和田らが中心となり、サイバーセキュリティの中期方針をとりまとめました。その背景としては「東京オリンピックへの備え」を強く意識していました。日本でも「重要インフラ14業種」に位置づけられているのが航空輸送業。過去のオリンピックにおいても、開催国の航空会社はサイバー攻撃のリスクにさらされました。そうした経緯を踏まえて、当社も東京オリンピックを見据えて、サイバー攻撃への備えを進めてきました。当社の中期方針において柱としたのは、ゼロトラストセキュリティ^*1対策、各種の新技術に内在するセキュリティリスクへの対応、GDPR^*2を始めとする個人データ保護の法令への対応、グループ会社を含めたITセキュリティの強化、こうしたテーマを実践していく人財の確保・成長支援の５つです。それ以降、客観的なフレームワークを活用して自社の現状を把握し、足りない部分を補強する計画を毎年立てて、ローリングしているところです。

荒牧 まず、私が所属するANAのデジタル変革室にいる約80人の社員と、ANAグループのIT会社であるANAシステムズの社員をあわせた1000人弱の社員が、ANAグループにおける各種システムの導入、開発、保守運用、あるいは端末・ネットワークの管理などを担当しています。そのメンバーから、サイバーセキュリティ対応への適性がある者、あるいはサイバーセキュリティを担いたいという意欲のある者を、和田が率いるANAのセキュリティ・基盤戦略チーム、阿部恭一が所属するANAシステムズの品質・セキュリティ管理部などに内部登用しています。

とは言いながらも、サイバー攻撃の手口は日進月歩であり、サイバーセキュリティに使える新しい技術も、次々に登場します。ANAグループが導入しているインフラにしても、自社のデータセンターのなかでガチガチに守りを固めることができた時代から、マルチクラウドの時代へと変わりました。となると、社内人財だけで最新の知見にキャッチアップするのは、なかなか難しいのが現状です。そのため、セキュリティ専門のベンダーやコンサルタントにも助けていただいています。

並行して、次世代人財の成長支援にも注力しています。１つは、先程申し上げたようにサイバーセキュリティ対策に挑戦したい者を、社内公募で募る形があります。

もう１つは、IPAの産業サイバーセキュリティセンターが主催されている「中核人材育成プログラム^*3」の利用などですね。これまで5年連続で人財を派遣しています。「中核人材育成プログラム」の特徴は、座学のみならず、他の事業会社やベンダーにおけるサイバーセキュリティの最前線を見せていただくこともできる、非常に実践的なトレーニングであることです。「ANAに戻ってきたらすぐに活かせる知見」を身につけられるところが、魅力だと感じます。何より、さまざまな事業会社から同世代の人材が集まり、１年間「同じ釜の飯を食う」ことで生まれるコミュニティが非常に有益だと思います。帰任後もサイバーセキュリティに関して意見交換ができる「同志」のような存在に恵まれる、ということですから。

和田 当社にとってもっとも身近なサプライチェーンと言えば、グループ会社です。グループ会社においては、昨年から「IT資産管理」が課題になっています。ANAでは以前から取組んでいたことですが、グループ各社でもハードウェアやソフトウェア等、IT資産の可視化を進めています。そこで明らかになった課題について、「1〜2年以内に対応するべきもの」「2〜3年以内に対応するべきもの」などと仕訳し、優先順位の高いものから手をつけ始めました。

荒牧 ITベンダーや通信キャリア、スタートアップ企業などの業務委託先も、サプライチェーンの一部です。委託に際しては必ず「セキュリティ適合審査」を行っています。すべてのプロセスにおいて人的、法的、システム的なセキュリティが担保されているかどうかを確認するためです。

新型コロナ禍によって対応が進んだ部分もあります。2020年春に突然、出社がかなわなくなり、リモートワークによる業務を強いられました。従来、開発・保守運用の現場では、例えばシステムテストをするにしても、担当者を決めて、リアルに集まって、ダブルチェックをして、という形でセキュリティを担保していたのです。業務の性質上、複数人が狭いスペースで作業をすることもありました。つまり、感染リスクの高い業務でもあったわけです。それがリモートワークになったことで感染リスクを低減できる一方で、セキュリティに穴が空いてしまう事態は絶対に避けなければいけない。開発・保守運用の業務をリモートに切り替え、なおかつ以前と同じレベルのセキュリティを担保できる体制を構築するのは、なかなか大変でした。ただ、一旦体制を構築すると協力会社の方も含めて、多くの業務をリモートで行えるようになりました。これは私自身も驚くような変化で、生産性の面でも大きな前進だったと思います。

荒牧 はい。そしてANAグループ全体に関しては、今回改めて、ANAグループのデジタルガバナンスを支える仕組みを強化する方針を打ち出しました。

グループ会社にも規模の大小がありますし、業態もさまざまあって、足並みをそろえるのは容易ではありません。それでも、情報セキュリティやデータ活用などガバナンスを支える仕組みについて、「最低限これだけは押さえないといけない」という方針をまとめました。これを各社の来年度の事業計画・活動計画に組み入れて欲しいという話を、まさに今グループ各社にしているところです。そこでは、経済産業省から2020年11月にリリースされた「デジタルガバナンス・コード^*4」をガイドラインとして下敷きにしています。

荒牧 ビジネスへの効果については、冒頭の話に尽きると思います。航空会社にとって最も大切な「安全」、そしてお客様の「信頼」「安心」が実現できる、ということです。加えるなら、新型コロナ禍においては「衛生」も大切ですね。世界には数多の航空会社があり、例えば東京からロンドンに渡航するにも、さまざまな選択肢がある。そのようななかでも、ANAを選んでいただけるよう、我々に求められている対策を遅滞なく、遺漏なく実行することが非常に重要だと考えています。

ご指摘の通り、こうした私たちの取組みについて、株主などのステークホルダーの皆様に説明することも欠かせません。昨年8月にリリースした統合報告書ではサイバーセキュリティ対策を説明する項目を用意し、経営トップがサイバーセキュリティ対策にしっかりコミットすることを宣言しました。コーポレートサイトでも適宜お知らせをしています。

ステークホルダーといえば、社員もまたステークホルダーの一員であることを忘れるわけにはいきません。ITにかかわるメンバーならば業務のなかでサイバーセキュリティに精通していますが、ユーザとしての一般社員もいます。ユーザが情報漏えいの起点となるリスクもあることを考えると、彼らにもきちんと説明・教育をしないといけない。そこで一般社員向けにはイントラネット等で、セキュリティポリシーや関連する情報管理の規定を周知するほか、折に触れてメールマガジンを送付し、注意喚起を行っています。eラーニングも導入済みです。全社員が受講必須の講座を定期的にリリースし、サイバーセキュリティの意識を高めてもらっています。

それから、経営陣です。直接的にはサイバーセキュリティにかかわらない経営陣もいるのですが、本来、サイバー攻撃のリスクはすべての業務にあり、サイバーセキュリティの知識もすべての職務で必要とされています。そこで役員会などでは、「DoS攻撃^*5」や「なりすましメール^*6」などが月に何件あったのか、それがどのようなリスクに繋がっていたのか等を月次で報告し、適宜振り返りを行っています。

また、年に数件は経営者にも理解を深めてもらわないといけない事件が社内外で起きるものです。つい最近もヒヤリとするようなことが、いくつかありました。「Apache Log4j^*7の脆弱性」が明らかになった件や、「Salesforce製品の設定不備^*8」に関して内閣サイバーセキュリティセンター（NISC）が注意喚起した件、大手銀行がシステムトラブルを繰り返している件などです。こうした事例を役員会でレポートし、サイバーセキュリティ対策がいかに必要で、何か事件が起きたとき、それがお客様からの信頼にどれほどネガティブインパクトを与えるか等を、リマインドするようにしています。

ANAがサイバーセキュリティの中期方針をまとめるきっかけとなった東京オリンピックの時期には毎日メールで、社長以下全役員に対して「今日はこんなことがあった」と報告を実施しました。また、他社で起きた事件についても触れ、経営層にリスクを実感してもらいつつも、「当社ではこんな対応をしているから大丈夫」と、我々が守っているからこその安心感を共有してもらいました。

全社的な経営目標の中にも、「情報セキュリティ」の項目がきちんと入っています。特にそうした役職は定義していませんが、CISO（最高情報セキュリティ責任者）の役割を担う専務がおり、私も彼をサポートしながら、情報セキュリティに関連する事故の有無や事故内容をレポートしています。

和田 セキュリティの一担当として思うのは、安心・安全がすべてのベースとなるものだ、ということです。航空輸送業にとって安心・安全であるのは当たり前のこと。ここで何かを誤ると、ANAブランドそのものが毀損してしまいます。それだけの危機感をもって、セキュリティ対策に日々取組んでいきます。

荒牧 サイバーセキュリティ対策は「ネバーエンディングストーリー」です。口で説明すると簡単に聞こえるかもしれませんが、これをいざ実行するとなると、ほふく前進のような地道な活動の積み重ねが必要となります。また、こうしてお話をしている瞬間にも、どんなことが起きているかわかりません。それだけに気の休まることがないのですが、これもサイバーセキュリティ対策を担う者の使命と考え、これからも力を尽くします。