ANAグループはなぜ経営層向けサイバーセキュリティ演習を重視するのか?~”不測の事態で高度な判断を迫られる”ことの重要性
サイバーセキュリティにいかに経営層を巻き込むか?多くの組織が悩む課題について、ANAホールディングス株式会社の「ANAグループCSIRT」の取り組みについてお話を伺いました。
その演習は、ある役員の一言から始まった
ANAグループといえば、日本を代表する航空運送事業グループです。読者の方もご存じの通り、NISCが指定する重要インフラ事業者に位置付けられており、従来より積極的なサイバーセキュリティ体制・対策を推進してきました。
特に、サイバーリスクはESG経営の重要な要素の1つとして捉えられており、チーフESGプロモーションオフィサー(グループリスク&コンプライアンス担当役員)の下、「セキュリティ事象の予防活動や事象発生時の早期復旧を目指した活動」のための体制を整備しています。
「ANAグループCSIRT」は、ANAグループで発生するセキュリティインシデントを対象とし、インシデント発生時には迅速な対応を図れるようにしています。その業務は、ANAグループ各社と連携し、セキュリティ事象の報告・共有やセキュリティ予防会議の設営、ガバナンス体制強化やポリシー策定・更新、社内のセキュリティ啓発活動など多岐に及びます。特に、ガバナンス体制強化のためには経営層に定期的にサイバーセキュリティ情勢について考えてもらう機会も重要です。そのため、経営層向けの「サイバーセキュリティインシデント演習」も、ANAグループCSIRTが企画・主導しています。
「次のサイバーセキュリティ演習では、参加する経営陣に“不測の事態で高度な判断を行う”経験をしてもらいたい」―。経営層向けのサイバーセキュリティ演習の企画検討を始めていたANAグループCSIRTに、ある役員が発した一言です。どのように「幅広い部門の経営層によりセキュリティを自分事化」をしてもらうのか、約6か月の試行錯誤が始まりました。
重視したのは「不測の事態における高度な判断」の必要性を感じてもらうこと
前項で言及した通り、元々経営層と紐づいたセキュリティ推進体制は取っており、経産省が掲げる「サイバーセキュリティ経営ガイドライン」も重視している同社。定期的に、経営層にサイバーセキュリティ教育や啓発を行う機会は設けてきました。しかし、ともすると「座学」や「一方通行の情報提供」になりがちなセキュリティ教育ですが、ANAグループCSIRTでは今回の演習に当たり、以下の要素を重視しました。
・DXやリスク担当役員以外のビジネスのコアとなる航空機運航を担当する役員も含め、幅広い担当領域の役員に、「不測の事態で高度な判断を迫られる経験」をしてもらうことで、サイバーセキュリティと事業・役員自身の担当領域との関わりをいかに感じてもらうか?
・想定外の状況や基準を設けていない「不測の事態」における経営判断の必要性をいかに感じてもらうか?
・そのためには、自社の中核となる事業に影響する”リアルなサイバー演習シナリオ”をいかに作りこめるか?
図:ANAグループCISRTが経営層向け演習で重視したポイント
サイバーセキュリティ演習実施前の期待と不安
企画を進める上で課題となったのが、リアルなシナリオの作りこみでした。自社で内製することも選択肢としてはありましたが、最新のサイバー攻撃の動向を加味しながら、自社の事業と深く関連したサイバーリスクのシナリオを作りこむのは相当の負荷が予想されました。社外のサイバーセキュリティの専門組織に協力を依頼する案はすぐに上がりましたが、自組織の事業や組織構造を深く理解し、シナリオを一緒に作りこんでいける協力者が必要でした。
複数のサイバーセキュリティ企業と相談していく中で、トレンドマイクロから提案があったのが、法人組織向けのセキュリティトレーニング「トレンドマイクロ セキュリティナレッジトレーニング」でした。
参考情報:トレンドマイクロ セキュリティトレーニング
このトレーニングは、当社のサイバーセキュリティ企業としての経験と知見に基づき、DX推進やサプライチェーンマネジメントなどに必要とされるセキュリティ知識を体系立てて提供するものです。SOC運用者などのセキュリティ技術者向けだけでなく、セキュリティ戦略の策定やリスクアセスメント実践、インシデント時の経営判断といった、一般事業部におけるセキュリティ管理者・経営者向けのトレーニングコースも用意されています。
図:トレンドマイクロ セキュリティナレッジトレーニングの主な内容
多くのセキュリティ企業が提供している教育用トレーニングはある程度、メニューが体系化・パッケージ化されているものが多いものです。ANAグループの場合、自組織の事業や組織構造を深く理解した相手と、参加する役員が実感を持てるレベルのシナリオを一緒に作りこんで行くことが必須でした。
「サイバーセキュリティの動向に詳しい専門家としての助言、また自社の事情を踏まえたうえでの演習内容の丁寧なカスタマイズには、今回の演習目的にも合致しており助かった」(ANAグループCSIRTのメンバー談)。
とはいえ、演習の主催者であるANAグループCSIRTでは、多くの役員のスケジュール調整、自社の事業・組織の情報の整理・提供、自社におけるサイバーセキュリティインシデントの対応フロー確認・整理、など多くの試行錯誤を繰り返しながら約6カ月間の準備期間を要しました。
そして当日、約20名の役員が演習に参加しました。ANAグループのニーズである「自社の事業に影響があると実感できる」ようにカスタマイズされた内容は、ここで詳細を公開することはしませんが、以下のポイントが考慮されました。
・インシデント演習だけではなく、その実施前にサイバーインシデントに対する経営判断のポイント等の講義を行う事により、共通理解や共通言語の熟成を図る。
・航空機の運航に影響がある事態が想定され、多くの役員の担当領域に関係する。
・実際の部署名やシステム名称等を反映しリアリティを感じさせる演習とする。
・昨今のサイバー攻撃の動向に即して、フェーズごとに状況や把握できる情報が変わる。
・各フェーズによって役員同士で見解を共有し、お互いの視点の共通点や差異を認識する。
・トレンドマイクロで、経営を踏まえたセキュリティマネジメントの知識を有する社員が講師を務め、知見・経験を元に講評を加える。
「新しい試みであったため、当日まで『役員が満足してくれるだろうか?』という不安はあった。しかし、当日のコメントやアンケートを見ると、非常に好評で安心した」(ANAグループCSIRTのメンバー談)。演習後のアンケートのコメントは、事例の詳細ページでご紹介しています。
組織のセキュリティ強化には経営層の関わりが不可欠
今回のプロジェクトを推進したANAグループCSIRTのメンバーの方に、今回のサイバーセキュリティ演習の良かった点やトレンドマイクロに対する今後の期待について、コメントをいただきました。
(今回の演習で良かった点)
こういったセキュリティ演習で良くあるのは、IT部門やリスク管理を担当する総務部門や事業に直接影響する営業部門役員に関わる内容になることが多い。今回のシナリオは、「全員参加型セキュリティ」を意識し、労務担当役員なども含めて、幅広い分野におけるサイバーリスクの関わりを示せたのが良かった。各役員は、担当領域に関わるテーマだったので、より一層真剣に取り組んでいた。
(トレンドマイクロに対する今後の期待)
今回の演習については、講師である専門家のファシリテートが非常に良かった。参加している役員個人を指名して意見を述べてもらい、役員同士の意見の共通点や違いを明らかにしたり、講評についても専門家の知見が盛り込まれており説得力が十分だった。事前の内容作成や当日の講評も「良い意味での遠慮」がなかった。おかげで内容の濃い演習になったと感じている。
今後については、鉄道、航空、空港、物流の業界団体である一般社団法人交通ISAC(Transportation ISAC JAPAN)での活動を始め、日本のサイバーセキュリティ企業として、ANAや交通・運輸業界、ひいては広く日本の産業界を下支えしてほしい。
事例の詳細は以下のページからご覧いただけます。
