「企業のサイバーセキュリティーは部分最適ではなく全体最適で構築する必要がある。そうした全体最適のサイバーセキュリティーを構築するうえで鍵を握るのがグランドデザインだ」――。

 日本航空(JAL)でサイバーセキュリティー戦略の策定・推進を主導する福島雅哉IT企画本部IT運営企画部セキュリティ戦略グループ長はこう力を込める。同社は2019年春から10カ年計画で、サイバーセキュリティー体制の全面的な見直しに着手した。

日本航空(JAL)の福島雅哉IT企画本部IT運営企画部セキュリティ戦略グループ長
[画像のクリックで拡大表示]

対症療法でセキュリティー製品が乱立

 JALはここ数年、2つの意味でサイバーセキュリティーの危機に直面してきた。1つは社外からの脅威だ。航空輸送という社会インフラを担い、国内はもとより海外でも知名度が高いJALだけに、これまでもたびたびサイバー攻撃の標的とされてきた。

 2014年9月にはマイレージ会員4131人分の個人情報が漏洩した。2017年12月には取引先を装う何者かによる偽メールにより約3億8000万円をだまし取られる、いわゆるビジネスメール詐欺(BEC)の被害が明らかになった。

 もう1つの危機は社内から浮かび上がった問題点だ。上述のような社外からの攻撃を受けたり、新たな脆弱性が明らかになったりするたびに、JAL社内ではセキュリティーの製品やシステム、サービスなどを導入し備えを強化していった。

 それ自体は悪いことでないが、「1つの脅威に1つの対策といった具合にセキュリティー製品を部分最適で次々と導入していった結果、100や200はあるかというくらい多くの製品が乱立してしまった」(福島グループ長)。

 例えばウイルス対策の領域ならば、一般的な対策ソフトと振る舞い検知型ソフト、社内PCへのパッチ自動適用ツールのいずれも導入するなど、領域や機能が重複するようになってきたという。「セキュリティーは重要だと真面目に考える会社であったことが、対処療法的に次々と製品を導入してしまう事態につながっていたのではないか」と福島グループ長は指摘する。

 JALでサイバーセキュリティー関連の業務を担う社員は5人程度。際限なくセキュリティー製品を増やしていけば管理が追いつかなくなるのは目に見えていた。もちろん重複機能が多ければ投資対効果は下がってしまう。

10年間の刷新を3ステップで進める

 2018年4月に現部署に異動してセキュリティー担当となった福島グループ長は、そうした一時しのぎとしてのセキュリティー製品導入をやめ、10年をかけて社内のサイバーセキュリティー体制を刷新していく方針を打ち出した。会社全体のサイバーセキュリティー戦略を、局所的にでなく「面」で把握するための全体図を描き、そのうえで刷新後のサイバーセキュリティーのシステムが最終的に満たすべき条件と、そこに至るまでのロードマップを作った。

 グランドデザインは3段階で進める。まずは東京オリンピック・パラリンピックが開かれる2020年はJALへのサイバー攻撃が今以上に苛烈になると予想されるため、それまでに重要度・緊急度の高いセキュリティーの問題に対処する。

 次に2024年にかけて、旧来のセキュリティー製品を全社のサイバーセキュリティー戦略に沿う形で順次刷新していく。3段階目がその後の5年間で、再構築したシステムをフル活用してサイバーセキュリティーの脅威をなくしていく。具体的なセキュリティー製品の入れ替えは、社内パソコンに導入するエンドポイントのセキュリティー対策ソフトを皮切りに順次進めている。

この先は有料会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら