予防に全力、「攻撃前提」で築いたANAのセキュリティ対策の仕組み

「DXの推進には攻めと“守り”の双方が必要」。そう話すのは、全日本空輸（以下、ANA）デジタル変革室でサイバーセキュリティ専門部長を務める和田昭弘氏だ。今日、エアライン各社はサイバー空間をフル活用し、新サービスを導入しているが、同時に、サイバー攻撃を受けるリスクも拡大している。DXの効果を最大限に発揮させるためにも、セキュリティ対策がますます重要になっているのだ。ANAのサイバーセキュリティを担当して約10年の和田氏に、同社のサイバーセキュリティ体制とその考え方について聞いた。

サイバーセキュリティはDXの「ブレーキ」なのか？

――DXには「攻めと守り」が必要だというのは、どういう意味なのでしょうか。

和田昭弘氏（以下敬称略）　車の運転に例えると、道路はカーブがあったり、上り道・下り坂があったりします。アクセルだけでは恐ろしくて運転できず、“速く走る”ためにはアクセルとブレーキが必要なのです。DXを推進・加速するには、サイバー空間上で、DXである「アクセル」と、サイバーセキュリティである「ブレーキ」を適切に使う事が必要です。

「アクセル」においては、ANAは予約システムから搭乗券の発券、機内でのフライト、到着まで、さまざまな領域でDXを推進しています。一例では、搭乗の予約から機内の映画視聴まですべてスマホアプリで行える「ANA Smart Travel」が挙げられます。

　こうした便利なサービスを展開する裏で、サイバー攻撃を受ける領域も拡大しています。というのは、ANAは巨大なBtoC企業で、営業から空港、運航、整備まで、それぞれの業務ドメインを連携させてお客様にサービスを提供しているからです。数字で表すと、217のシステムと、約1000のサーバを利用していて、これら全てがサイバー攻撃の対象となっています。

　快適なサービス体験をお届けする一方、攻撃範囲も広がっている今の状況では、前述した「ブレーキ」を果たす役割を誰かが担わなければなりません。

　サイバー攻撃の侵入を許してしまうと、顧客個人情報・運航情報や経営に関する機密情報の漏えいやマイル・金銭の不正交換などが行われる可能性があり、システムを一時停止しなければなりません。そうすると、お客さまにも大変なご迷惑をおかけするほか、関連会社やサプライチェーンを担って頂いている企業の業務にも支障が出ます。

　私たちの部署では、サイバー攻撃を未然に防ぎ、事業を停止させないようにする、というシンプルな目標を掲げています。

――ANAホールディングスはサイバーセキュリティをIT部門の課題から、「経営課題」として掲げるようになりました。これはどのような理由でしょうか。

和田　従来、「サイバーセキュリティは、IT部門の仕事でしょ」という常識があったのですが、今では以下２つの理由から、その理屈が通用しないようになってきています。

　１つ目は、サイバー空間が実事業へ与える影響の拡大。私がANAのサイバーセキュリティ担当者になった2014年と比較すると、現在は、従来のオンプレミス（自社運用）に加えてクラウド・マネジメント、国内外のサプライチェーンの拡大、アプリを用いたサービスと、守るべき領域が拡大しています。サイバー空間で発生する事故がそのまま航空運送事業へ大きなインパクトを与えるようになってきています。

　２つ目に、海外企業との取引が挙げられます。一般的に海外、特に欧米で事業を行う上では、サイバーセキュリティにおいてGDPRなど厳格なルールを課してきます。また、サイバーセキュリティ対応をしっかり行い、統合報告書などで発信することによって企業価値の向上が図れ、さらには、取引先企業との円滑なビジネスの構築に繋がってきます。

　以上２つの理由から、当社の経営陣（ANAホールディングス）も、グループ全体でサイバーセキュリティを捉え、厳格な運用をしていく必要があると認識しています。