ANAにおけるセキュリティ対策の考え方

 

お客様への『安全』と『安心』の提供は、ANAの経営理念の根幹を成すものです。この理念に基づき、お客様の個人情報保護を航空運航の安全確保と同等の重要性を持つ経営課題と定義しています。

近年、サイバー攻撃の脅威は、自社運用しているシステムだけでなく、クラウド上のシステムや国内外のサプライチェーンなど、事業に関わるあらゆる領域に広がっています。航空運送事業において、サイバー攻撃は運航の遅延や運休、顧客情報の漏洩といった直接的な事業への影響だけでなく、ブランドイメージの低下や法的責任の発生など、経営に多大な損失をもたらす可能性があります。また、海外事業展開においては、サイバーセキュリティ対策のレベルが企業の信頼度を左右する重要な要素となっています。

自らその取組を発信することで企業価値の向上が図られ、取引先等との円滑なビジネスの構築にもつながります。そのため、ANAは、サイバーセキュリティを経営の最重要課題の一つと位置づけ、グループ全体で厳格な対策を推進することで、企業価値の最大化を図っています。

 

重要インフラ事業者としての責務

 

ANAは航空運送事業者として日本の重要インフラ事業者に指定された巨大なB2C企業ですが、お客様サービスのために多様な業種・多数の会社のサプライチェーンでつながっています。そのため、サイバー攻撃によってシステムが停止した場合、その影響は広範かつ甚大なものになってしまいます。

ANAのITインフラは従業員が利用する端末はパソコンやスマートデバイスなどで約4万台、「営業」「空港」「運航」「整備」といった各業務が連携し、250以上のシステムと1000台以上のサーバーによってお客様へのサービス提供を支えています。また、ANAが運用するANAマイレージクラブの会員数は約4200万人にも及びます。ANAはこれら全てがサイバー攻撃の対象であると考え、覚悟を持って『安全』と『安心』の確保に努めています。

 

 

エンドポイントを徹底的に守ること

 

ANAでは、高度化するサイバー攻撃や様々なリスクに対応するため、技術的な対策と人的な対策を組み合わせ、多角的な視点からセキュリティリスクへの対応を行っています。その中でも最も重要視しているのはエンドポイント（本稿ではパソコンやサーバーなどのデバイスを指す）を徹底的に守ることです。

サイバー攻撃で利用される手口の大半は、エンドポイントに対して行われるものです。攻撃者はシステムの脆弱性、設計・設定の脆弱性を狙いますし、従業員のヒューマンエラーによって意図せず脆弱な状態になってしまうこともあります。保有している台数も多く、使用できなくなった時の業務への影響を考慮すると、まずはここから手をつけるべきであると考えています。

これまでエンドポイントを守るためにパターンマッチング型、振る舞い検知型、EDR（Endpoint Detection and Response）という順番でセキュリティソフトを導入してきました。パターンマッチング型はウイルス検知率が低い上に、回線帯域が狭い拠点に対しては定義ファイルの更新に人を派遣しなければならず、コストがかかっていました。

その後、振る舞い検知型を導入しましたが、攻撃が高度化して新しい振る舞いが登場するとバージョンアップが必要になりました。バージョンアップの度に、各システムでの動作検証を行い展開しなければならず、結果として費用が嵩んでしまいました。

そして、EDRは防御しきれないのであれば侵入を前提にするという考えに切り替えて導入に踏み切りました。しかし、EDRは例えるのであればドライブレコーダーの様なものであり、導入したからといって事故が起きなくなるわけではありません。そのため、EDRが異常を検知してから対応までの時間を短くしなければならず、24時間365日の監視体制を組んだ上で、担当部門にはシフト業務、システムやサイバー攻撃に対する高度な知識と対応ノウハウを求めざるを得ませんでした。

しかし、高度なセキュリティ人材の獲得や育成に限界を感じました。様々な取り組みを経て、サイバー攻撃はなくなることがないものであると改めて実感しました。

攻撃者が用いる手法は高度化しており、「ウイルスかどうか」を特定することが事実上不可能になってきています。識別することばかりに気を取られてしまうと、いつの間にか侵入されていたということになり、その対応に割くべきリソースを無駄に消費してしまうことになります。

私たちはこれまでの経験から、識別することよりも予防することに全力を注ぐ方が効果的であるという結論に至りました。

 

 

ANAが辿り着いたエンドポイントに対する新しいアプローチ

 

ANAではセキュリティ対策のアプローチとしてポリシーに沿っていない全ての動作を拒否して、信頼できる人・物・プロセスだけを許可するという方針を打ち出しました。この考え方をエンドポイントで実現する場合、「ウイルスか、ウイルスではないか」といった実行主体の良し悪しを判断するのではなく、実行主体問わずANAのポリシーに基づいて定義された「やっても良い・悪い」という業務プロセスに基づいて制御することで、侵害そのものを予防することが可能になるのではないかと考えました。 この考え方は作業場における指差し確認に近いと言えます。

指差し確認は、運航乗務員・客室乗務員・整備士など安全業務に携わる社員の中で広く浸透しており、事故の防止や作業ミスの抑制といった効果が期待できるわけですが、1つ1つの工程を指差し確認しながら問題ないことを確認して次の工程に進めていくことで、イレギュラーな状況が発生するリスクを抑え込むことができます。この仕組みをエンドポイントに適用するイメージです。

エンドポイント上で実行されようとする全ての命令に対して、ANAの規定したポリシーと照らし合わせて、それがシステムに対して害を成さないのであれば実行を許可し、害を成すものであれば実行を認めないという監査を継続して実施することで、ANAにとってのイレギュラー（ウイルスの発症や不正アクセスの成立など）が起き得ない状況が作られるため、脅威に依存せず予防する環境ができあがります。

 

 

Made in Japanのセキュリティ対策ツール

 

ANAが掲げたセキュリティ対策のアプローチを実現できる対策ツールとして、Blue Planet-works社が開発した「AppGuard（アップガード）」に出会いました。「AppGuard」のアプローチは「攻撃の成立に不可欠な特定の事象を制御して攻撃の成立を阻止する」という全く新しい考え方を採用しており、ANAの考え方に非常に近いと感じました。 しかし、本当にエンドポイントを守ることができるかどうか疑問もあったので、調査とともにANA内で試験導入を行いました。

その結果、システムの安全性を確保し、システムの正常な動作を守ることができ、防御力は期待した結果を実証することができました。「AppGuard」であれば費用対効果が非常に優れており、高度なセキュリティ人材の育成が不要になると判断し、2018年に全社展開を決定しました。

当初、日本製のセキュリティツールである「AppGuard」の導入に否定的だった者もいましたが、2019年末に外部から侵入を試みた事例があり、それをANAが利用する多層防御含めた複数の検知システムの中で唯一「AppGuard」だけが防止したのです。この件を契機に社内の意識はすっかり変わりました。今では会社貸与のパソコンには「AppGuard」が標準装備となっています。

 

 

今後の展望

 

サイバー攻撃の90％以上は外部からの侵害やOS・アプリケーションの脆弱性をついた攻撃です。その攻撃に対応するために、新しい攻撃の都度、企業が新たな対応（いたちごっこ）をしていては防御側が完全に負けます。
ならば自らの業務をコンピューターのプロセスレベルで可視化して、それ以外は受け付けない。という「プロセスのZERO-TRUST化」を行うことによって、新種のサイバー攻撃であっても防ぐことが可能になります。

ANAグループがお客様に品質の高いサービスを提供するためには、サプライチェーン含めた社会全体でのサイバーセキュリティの向上が必須となります。
ANAグループ各社まではグループガバナンスで安心・安全なサイバー空間の構築が可能ですが、社会全体でサイバー攻撃からのレジリエンス力を高めるためには、90%のサイバー攻撃をいかに企業が防ぎ、それが持続可能な状態（防御力を高めるサイバー攻撃への投資が人的コストや運用コストが低く、本業に集中できる状態）であることが必要だと考えます。

今後、AIのビジネス活用が進むと同時にサイバー攻撃にもAI利用が本格化します。
攻撃の質は高まり・攻撃の量も格段に大きくなります。

それを防ぐにはやはり「プロセスのZERO-TRUST化」が重要であり、いくら巧妙な攻撃でも我々が定義したプロセス以外が動作しなければ、侵害されることはありません。
複雑化するサイバー攻撃の世界で、AppGuardは「自社プロセスを100%順守させるsolution」であり、これは一考する価値があると思います。

 

▼AppGuardについて
簡単に説明したホワイトペーパーです▼

 

 

▼AppGuardを導入した企業様への
インタビューを基に資料にいたしました▼