全2733文字
PR

 1日当たり平均約990便を運行し、年間搭乗者数が約4000万人にのぼる日本航空(JAL)。同社がCSIRT(コンピューター・セキュリティー・インシデント・レスポンス・チーム)の「JAL-CSIRT」を発足させたのは2014年10月のことだ。

 きっかけは顧客情報システムからの情報漏洩だった。何者かが不正アクセスして4000人以上の顧客情報を流出させた。

 これにより、企業の存続に関わる問題としてセキュリティーへの取り組みが喫緊の課題になった。JAL-CSIRTのリーダーであるJALの福島雅哉IT企画本部IT運営企画部セキュリティ戦略グループ長は「情報漏洩を境に経営陣の本気度が一段と高まったと感じる」と話す。

日本航空の福島雅哉IT企画本部IT運営企画部セキュリティ戦略グループ長
日本航空の福島雅哉IT企画本部IT運営企画部セキュリティ戦略グループ長
[画像のクリックで拡大表示]

 二度と情報漏洩を起こさない――。JALはIT部門内にサイバーセキュリティーの専門部隊であるセキュリティ戦略グループを新設し、各組織のセキュリティー担当者やIT部門に分散していたセキュリティー業務を専門部署に集約した。

 一方、JAL-CSIRTはセキュリティ戦略グループに加え、関係各部や情報システム子会社のJALインフォテックなどの約15人で構成する仮想的なチームである。主にサイバーセキュリティーに関するリスク事案の対応に当たる。

常に「ルール」「テクノロジー」「組織」を意識

 福島グループ長はCSIRT運営における心がけを「戦略を持って取り組む点」と説明する。インシデント(事故)はいつどこでどんな現象となって起こるか分からない。そのたびに場当たり的な対処をしていては「先手」を打ちにくい。

 そこで福島グループ長は「戦略」を立てたわけだ。具体的には「目的や効果を示したセキュリティールールの作成」「テクノロジーによる支援」「運用の強化」を三位一体で取り組む戦略だ。

 セキュリティールールは部門で異なるが、全社で洗い出すと約400項目ある。JAL-CSIRTはほぼ全てのルールについて、「なぜルールが存在するのか」「ルールを守ることでどのような効果があるのか」と、目的と効果を記載するように改善した。

 一例では個人単位にIDを振るルールがある。目的は「個人の特定」で、効果は「インシデント発生時に誰がいつ業務したかが容易にトレースできること」である。

 「ルールを守れと押し付けるだけでは駄目」と福島グループ長は話す。現場によっては100パーセント順守するのにかなりの労力を要するルールもある。そんなときでも目的や効果を分かってもらっていれば、「(ルールの目的を)達成するために他の手段がないかと探す創意工夫も生まれる」(福島グループ長)。

ビジネスを推進するソリューションを提供

 「セキュリティーはビジネスのブレーキ役ではない。セキュリティー部隊はビジネスを加速させる役割を担わなければいけない」――。ルールへの考え方に関して、福島グループ長は普段からこうした表現で周囲に口酸っぱく話しているという。

 セキュリティ戦略グループには年間1000件を超える問い合わせが寄せられる。「会社支給のスマホにアプリを入れてもよいのか」といった相談のようなものもあれば、「業務効率化のためにルールにないことに取り組みたい」といった膝詰めの話し合いが必要なレベルまで様々だ。

 このような問い合わせに対して「ただ『駄目です』とだけ返信するのは絶対に避ける」(同)。他の手段を利用すれば目的を実現できるかもしれないからだ。IT企画本部IT運営企画部セキュリティ戦略グループの西本友香氏は「現場にソリューションを提供するように心がけている」と説明し、現在取り組んでいる案件の例を挙げた。

IT企画本部IT運営企画部セキュリティ戦略グループの西本友香氏(左)、同グループの山本周典アシスタントマネジャー
IT企画本部IT運営企画部セキュリティ戦略グループの西本友香氏(左)、同グループの山本周典アシスタントマネジャー
[画像のクリックで拡大表示]

 それは空港のカウンター業務にクラウドサービスを使いたいという要望だ。空港業務は特に高いレベルのセキュリティーが欠かせないため、基本的にインターネット接続を前提としたサービスを使えない。

 そうしたなか、要望に対してルールを盾に「無理」と答えるのは簡単だ。しかし西本氏は「代替手段によってクラウドサービスによって実現するのと同じ目的を達成できないかを模索している」と話す。踏み越えてはいけない枠を分かっているからこそ、その中で最大限の支援を提供しようとしているわけだ。