AIと組織化されたサイバー攻撃にどう対処すべきなのか？──ANAグループでのサイバーセキュリティ対策

はじめに、我々ANAグループがサイバーセキュリティをどのように位置付けているかについてお話しします。
ANAグループにとって、最も重要な経営課題は「安全」です。安全な運航を守ることが経営の基盤であり、グループ全事業における絶対的な使命であると考えているからです。全役職員は年に一度のリカレント教育を受けるなど、常に安全への意識を高く持って業務に臨んでいます。
そして、同等のプライオリティで取り組んでいるのが「情報の安全」です。ANAグループでは、年間5,000万人以上分のお客様の予約記録や、約4,000万件にのぼるマイレージクラブ会員様の情報を保有しています。いわば個人情報の塊ともいえる事業であり、その取り扱いには細心の注意を払っています。
サイバーセキュリティは航空機事故や紛争・疫病などと同様、経営に深刻な影響を与える「経営リスク」の1つとして管理しており、全体のリスク管理はチーフESGプロモーションオフィサー、専門性の高いサイバーセキュリティ領域についてはグループCIO（最高情報責任者）が所轄する体制を敷いています。
その実働部隊として、グループ全体のインシデントレスポンスを担う「ANAグループCSIRT」を設置しています。CSIRTは約18名の人員で構成され、リスクマネジメント、ガバナンス、そしてサイバーセキュリティ実務の3チームがそれぞれ連携し、4万人以上のグループ社員を守る司令塔としての役割を果たしています。

世の中には無数のサイバー攻撃が存在しますが、我々はそれらを大きく5つのカテゴリーに分類して対策を整理しています。

発生件数ベースで見ると、サイバー攻撃の約90%以上は「標的型攻撃」と「脆弱性の攻撃」で占められています。したがって、まずはこの2つへの対策を優先的に行うことが合理的です。

一方で、経営へのインパクトが大きい「情報漏洩」という観点で見ると、その80%以上は「なりすまし」と「内部犯行」が原因です。こちらは、システムの監査機能などを活用し、不正な兆候をいかに早く検知できるかが重要となります。

近年のサイバー攻撃は、従来の対策の延長線上では対応しきれないほど高度化しています。特に、ウクライナ・ロシア紛争以降、攻撃のレベルが一段上がったと感じており、その中でも特筆すべき脅威を2つご紹介します。
一つは、「LotL攻撃（Living off the Land攻撃）」です。これは「環境寄生型攻撃」とも呼ばれ、OSに標準搭載されている正規のコマンドプロンプトやPowerShellといったツールを悪用して攻撃を行います。正規ツールを使うため、従来の検知装置（EDRやNDR、SIEMなど）では異常として検知されにくいという非常に厄介な特徴があります。現在、標的型攻撃の約80%がこの手法を用いているとも言われています。

検知装置からのアラートを起点に対応する「受動的スレッドハンティング」は、もはや効果がなくなりつつあります。今求められているのは、膨大なログの中から攻撃の痕跡を見つけ出し、仮説検証を繰り返して脅威をあぶり出す「能動的スレッドハンティング」です。しかし、これは高度な専門知識と膨大なリソースを要するため、多くのユーザー企業にとっては非常に厳しいといえます。
もう一つの脅威は、生成AIのサイバー攻撃への応用です。例えば「Lame Hug」という攻撃ツールは、標的企業の弱点を自動で探し出し、その場でゼロデイ攻撃を仕掛けることが可能とされています。

これまでは、脆弱性が公表されてからパッチを適用するまでのスピードが問われていましたが、これからは「弱点が見つかった瞬間に攻撃される」という前提で防御を考えなければなりません。守り方も一段レベルを上げる必要に迫られています。

こうした脅威の高度化を踏まえ、先ほどの5つの分類ごとに、近年の攻撃の変化と私たちが考えるべき対策の方向性をもう少し詳しく見ていきます。

ここまで様々な脅威と対策について述べてきましたが、我々はサイバーセキュリティの専門企業ではなく、航空運送事業を営む企業です。経営資源は、本来、お客様へのサービスや安全運航のために投下すべきものです。
そのため、セキュリティ対策においてはプライオリティをつけざるを得ません。DXやお客様のデータ保護は推進しつつも、無限にコストをかけることはできません。多数の検知装置を導入し続ける現状が、果たして「持続可能なセキュリティ対策」なのか、常に自問自答する必要があります。
サプライチェーン全体でシンプルかつ効果的な対策を共有し、コストを抑制していく視点。そして、自社だけで抱え込まず、社会全体で脅威に立ち向かう「コレクティブセキュリティ（集団防御）」を実現していくこと。これらが、今後のセキュリティマネジメントの鍵になると考えています。

基幹輸送インフラ企業である私たちも、攻撃者を特定したり逮捕したりすることはできません。私たちが担うべき役割は、「自治会の防犯担当」のようなものだと考えています。つまり専門機関と連携・情報共有し、コミュニティ全体の防御力を高めるハブとなる役割です。
具体的には、以下のような活動を通じてコレクティブセキュリティの実現を目指しています。

• 専門機関との連携
  インシデント発生時には、警察や専門のセキュリティ企業と連携し、フォレンジック（電子鑑識）調査などを通じて客観的な原因究明を行います。

• インテリジェンスの収集
  ISAC（Information Sharing and Analysis Center）のような業界ごとの情報共有機関や、OSINT（Open-Source Intelligence）を活用して攻撃の最新トレンドを把握します。ダークウェブを監視し、自社情報が流出していないかの確認も行っています。

• 官民連携
  監督官庁である国土交通省や国のサイバーセキュリティ機関と緊密に連携し、インシデント情報の報告やフィードバック交換を行える関係を構築しています。

• サプライチェーンへの働きかけ
  取引先企業に対し、セキュリティ対策の依頼や年次のセキュリティ教育を実施し、サプライチェーン全体のレベルアップを図っています。

コレクティブセキュリティの考え方を基盤としつつ、社内では具体的な防御策も進めています。その中でも特に重視しているのが「プロセスゼロトラスト化」です。
これは、「侵入されること」を前提とした考え方です。例えばランサムウェアは、「侵入→ファイル配置→実行ファイル起動→C&C通信→暗号化→脅迫」という一連のプロセスを踏みます。我々はこのプロセスの一つひとつに着目し、「そもそもこの業務プロセスにC&C通信は存在しないはずだ」「許可されていないフォルダにファイルが配置されるのはおかしい」といったポリシーを定義します。

自社の正規の業務プロセス（例：航空券の予約発券プロセス）をシステムレベルで可視化・ポリシー化し、そのプロセスから逸脱する動きは、たとえ正規のツールを使ったものであってもすべてブロックする。これにより、万が一マルウェアに侵入されても、悪意のある活動を実行させない、「感染しても発症しない」仕組みを構築することを目指しています。
そしてもう一つ、非常に重要だと考えているのがコミュニティ活動です。社内だけで情報を集めていても、最善の解を見つけるのは困難です。セミナーへの参加はもちろん、ISACやベンダーのユーザー会、同業他社との交流などを通じて、他社の知見を積極的に学び、自社の戦略に活かしていくことが不可欠です。

私たちも航空業界の「Aviation-ISAC」や国内交通インフラの「交通ISAC」また「産業横断サイバーセキュリティ検討会」、経団連の委員会など様々なコミュニティに積極的に参加し、得られた知見を社内の訓練や教育にフィードバックしています。

社内教育では「プラス・セキュリティ」という考え方を掲げています。専門家ではない一般従業員に対し、それぞれの業務にセキュリティの知識を「プラス」してもらうことで、組織全体のセキュリティ意識の底上げを図っています。

最後に、本日のまとめとして、「AIと組織化されたサイバー攻撃」に立ち向かうための3つの提案をさせていただきます。

ご清聴ありがとうございました。