全2677文字
PR

 1日当たり平均約990便を運航し、年間搭乗者数が約4000万人に上る日本航空(JAL)。同社がCSIRTの「JAL-CSIRT」を発足させたのは2014年10月のことだ。

 きっかけは顧客情報システムからの情報漏洩だった。何者かが不正アクセスして4000人以上の顧客情報を流出させた。

 これにより、企業の存続に関わる問題としてセキュリティーへの取り組みが喫緊の課題になった。JAL-CSIRTのリーダーを務めるIT企画本部IT運営企画部セキュリティ戦略グループ長の福島 雅哉氏は「情報漏洩を境に経営陣の本気度が一段と高まったと感じる」と話す(写真3)。

写真3●日本航空の福島 雅哉氏
写真3●日本航空の福島 雅哉氏
同社IT企画本部IT運営企画部セキュリティ戦略グループ長であり、同社CSIRTである「JAL-CSIRT」のリーダーを務める。
[画像のクリックで拡大表示]

 2度と情報漏洩を起こさない─。JALはIT部門内にサイバーセキュリティーの専門部隊であるセキュリティ戦略グループを新設。各組織のセキュリティー担当者やIT部門に分散していたセキュリティー業務をこの部署に集約した。

 一方、JAL-CSIRTはセキュリティ戦略グループに加え、関係各部や情報システム子会社のJALインフォテックなどの約15人で構成する仮想的なチームである。主にサイバーセキュリティーに関するリスク事案の対応に当たる。

ルール・技術・運用を意識

 福島氏はCSIRT運営における心がけを「戦略を持って取り組むこと」と説明する。インシデントはいつどこでどんな現象となって起こるか分からない。そのたびに場当たり的な対処をしていては「先手」を打ちにくい。

 そこで福島氏は「戦略」を立てた。具体的には「目的や効果を示したセキュリティールールの作成」「テクノロジーによる支援」「運用の強化」を三位一体で取り組む戦略だ。

 セキュリティールールは部門で異なるが、全社で洗い出すと約400項目ある。JAL-CSIRTはほぼすべてのルールについて、「なぜルールが存在するのか」「ルールを守ることでどのような効果があるのか」と、目的と効果を記載するように改善した。

 例えば個人単位にIDを振るルールについては、目的は「個人の特定」で、効果は「インシデント発生時に誰がいつ業務したのかを容易にトレースできること」と記載するようにした。

 「ルールを守れと押し付けるだけでは駄目」と福島氏は話す。現場によっては100パーセント順守するのにかなりの労力を要するルールもある。そんなときでも目的や効果を分かってもらっていれば、「(ルールの目的を)達成するために他の手段がないかと探す創意工夫も生まれる」(福島氏)。