ANAグループやJPCERT/CCが説くインシデントレスポンスの要諦：ITmedia エンタープライズ ソリューションセミナー レポート（2/4 ページ）

[ITmediaエンタープライズ編集部，ITmedia]

ANAグループが考えるインシデント対応と人材

ANAシステムズ 品質・セキュリティ監理室 エグゼクティブマネージャ ANAグループ情報セキュリティセンター ASY-CSIRT 阿部恭一氏

　特別講演ではANAシステムズ（ASY） 品質・セキュリティ監理室 エグゼクティブマネージャ ANAグループ情報セキュリティセンター ASY-CSIRTの阿部恭一氏が登壇し、ANAグループのセキュリティ体制やCSIRTの取り組みについて紹介した。

　ANAグループは、全体の情報セキュリティを担う「セキュリティセンター」を持株会社のANAホールディングスに設置。各事業会社におけるセキュリティ状況のチェックや教育・啓発の推進、情報提供、問い合わせ対応といった人的な分野で施策を、グループ全体を統制する立場から行うことで全体のセキュリティレベルを底上げしていくアプローチだ。

　また、情報システムの観点ではASYが中心的や役割を果たしている。特に業務システム開発ではガイドラインを整備しており、リリース前にも複数回の監査を実施している。サイバー攻撃に悪用されかねない脆弱性を作り込まないようシステム品質を高めて、セキュリティインシデントを未然に防ぐのが狙いだという。

　セキュリティセンターには、重大インシデントの発生を未然に防ぐためのセキュリティオペレーションセンター（SOC）と、インシデントの対応および管理を担うIRT、上述のシステムに関するセキュリティや外部機関と連携した情報収集などを担うCSIRTの機能がある。ASYではこれらの機能を担う人材について、具体的な役職と役割、任用条件、育成（追加教育）の要素を明確にしている点がユニークだ。

　例えば、基調講演でJPCERT/CCの村上氏が挙げた連絡窓口の機能に関して、ANAグループでは「社外連絡担当」と「社内連絡担当・IT部門調整担当」の2つの役割を定義。社外連絡担当は、JPCERT/CCなどの外部機関との連絡窓口として情報収集を行う。社内連絡担当・IT部門調整担当は法務や渉外、IT、広報、業務部門などの連絡窓口となって情報連携にあたる。任用時に求めるスキルでは情報を正しく伝えるコミュニケーション能力やITスキル標準レベル2程度の基本的なITリテラシーなどを定め、追加教育で身につけるべきスキルに情報を収集・分析・報告できる能力やセキュリティに関する外部機関との連携方法、既知の脆弱性に関する知識などを挙げている。

　こうした役割や機能は、自社の人材もしくはアウトソーシングサービスを活用しながら整備し、各役割の連携フローなども平常時とインシデント対応時それぞれに用意している。また、さまざまなシナリオでインシデント対応訓練も実施している。これらのインシデント対応時の体制が機能するよう平常時から準備しているのがANAグループの特徴だ。

　特に人材について阿部氏は、スキルセットを評価することが大切であり、経営者にもそうした情報を提供して、セキュリティ対策への理解を深めてもらうことが重要だと解説してくれた。

事例記事ランキング

• 本日
• 週間
• 月間

1. 三井住友海上のRPA導入、そのキーマンは知る人ぞ知るExcel VBAマスターだった
2. 日清食品HDのCIOが語る、生成AIの全社活用と自社環境構築の舞台裏
3. サンリオの「キティちゃん」を支えるデータベースのチカラ
4. これを旅館と呼んでいいのか!?　老舗旅館「陣屋」が切り開く新たなビジネスモデル
5. Excelマクロで年間35万時間を削減、それでも三井住友海上がRPAを導入した理由

1. 日清食品HDのCIOが語る、生成AIの全社活用と自社環境構築の舞台裏
2. サンリオの「キティちゃん」を支えるデータベースのチカラ
3. 元組み込みエンジニアの農家が挑む「きゅうり選別AI」　試作機3台、2年間の軌跡
4. 借金10億円、倒産まであと半年――創業100年の老舗旅館「陣屋」をたった3年でV字回復させた方法
5. これを旅館と呼んでいいのか!?　老舗旅館「陣屋」が切り開く新たなビジネスモデル

1. 借金10億円、倒産まであと半年――創業100年の老舗旅館「陣屋」をたった3年でV字回復させた方法
2. 日清食品HDのCIOが語る、生成AIの全社活用と自社環境構築の舞台裏
3. サンリオの「キティちゃん」を支えるデータベースのチカラ
4. これを旅館と呼んでいいのか!?　老舗旅館「陣屋」が切り開く新たなビジネスモデル
5. 元組み込みエンジニアの農家が挑む「きゅうり選別AI」　試作機3台、2年間の軌跡