【対談：ラック西本 企業探訪】ITやセキュリティの先進的な取り組みを学ぶ - ANAシステムズ 編（1/2）

ラックの西本逸郎が各業界で活躍するIT部門のキーマンを訪ね、IT戦略やサイバーセキュリティの取り組みについてざっくばらんに、"深く広く"うかがう対談企画「ラック西本 企業探訪」。
両者の経験や対談からの学びを、同様の課題を持つ読者の皆さまと共有します。

趣味の話に花が咲く同学年の2人

西本：本日は、ANAグループのITセキュリティをつかさどるANAシステムズの阿部 恭一氏（品質・セキュリティ管理部　エグゼクティブマネージャ）をお訪ねしました。対談場所はセキュリティの関係で明らかにできませんが、空のお仕事らしく、とても開放感のある同社カフェテリアです。

ANAといえば、国内向けの航空会社から始まり、今や世界中にネットワークを張りめぐらせるグローバル企業です。空の安全に取り組む同社がサイバーセキュリティにどのように取り組んでいるのか。ANAグループ情報セキュリティセンター ASY-CSIRT（CSIRT：Computer Security Incident Response Team）を率いる阿部さんにじっくりお話をうかがいます。どうぞよろしくお願いいたします。

西本：同じ学年ですね！ お酒にチーズ......おつまみに最適ですね（笑）。好きなお酒はやはり日本酒ですか？

阿部：お酒は何でも好きです（笑）。趣味で海釣りもしますので、自分でさばいて料理し、酒の肴にしたりもします。

西本：私も料理は大好きです。SEやプログラマーは料理好きな人が多いものですが、料理とプログラムの共通点は段取りが大事だということですよね。

阿部：段取りは重要ですね。私はマルチタスクで、三つ、四つの料理を時間差で作成に着手するのですが、最後は同時に完成させます。これが実に快感ですね！タスクスケジュールはSEのプロジェクト管理の考え方ですね（笑）。

西本：ドヤ顔になるでしょう！ 阿部さんは音楽もお好きだと聞きました。楽器は演奏されるのですか？

私がITの世界に入ったのは大学時代で、NECのPC8001を買ってからです。プログラマーをやっていましたが、残念ながら音楽は私には無理でした（笑）。

日々ビジネスシーンが変わる"IT化"黎明期

西本：阿部さんがITの世界に入られたのはいつごろですか？

阿部：大学を卒業してソフトウェアの会社に入った1980年です。ANAシステムズ（当時は全日空システム企画株式会社）には1986年に転職し、エンジニア、SEとしてやってきました。新しもの好きなものですから、ビジネスがIT化される過程で試されるさまざまなプロジェクトに放り込まれてきました。

セキュリティへの関わりは2000年ぐらいから。個人情報保護法の対応を任されたのが最初です。最初は"一人CSIRT"状態でしたが、世間で事件・事故が起きるたびに人が増えていきました（笑）。

西本：個人情報保護法の対応には苦労されましたか？

阿部：法の施行に合わせて規程を作るのですが、法律とITの橋渡しをする人間がいませんでしたのでこれを私が担当し、弁護士の先生と「この法律は何のことを言っているのだろう」「これはITに実装していないとアウトだろうね」と一緒に頭を悩ませましたね。

西本：当時、多くの企業が同じように悩んでいましたね。今で言う情報システム部門がない企業も多く、総務に任せているところもありました。

阿部：当社では「全社プロジェクト」として取り組んでいましたので、総務、広報など関係する部門全てが携わっていました。私は規程策定のほか、ガイドラインを作るところも任されていました。例えば、認証はどのように実装するかなどですね。

西本：先ほど「新しもの好き」とおっしゃっていましたが、ANAグループにおけるシステム化初期の段階からさまざまな業務を担当された、そのことがセキュリティの司令塔という現在のお立場につながっているのですね。

西本：個人情報保護法以外では、少し古い話ですが、2000年代始めに社会を騒がせたワーム「ブラスター」や、その後のいわゆる「標的型攻撃ウイルス」などへの対応はどうでした？

阿部：当初はフロッピーでやり取りするレベルの「かわいい」ウイルスばかりでしたから、全然大変ではありませんでした。ただ、欧米でワームに感染した時ばかりは「侵入されたらどこを遮断すればいいのか」と騒ぎになりました。騒動になったのはその一度だけですね。

ウイルス関係で組織が大きく動いたのは2010年代に入ってからです。業界大手企業が今で言う、標的型攻撃ウイルスによって個人情報を窃取された事案がきっかけです。実は当社にもまったく同じウイルスが来ていて、幸い防ぐことはできたのですが、「これは他人事ではない」と考えました。

セキュリティは競合他社とも協調できる分野

西本：「対岸の火事ではない」、その思いが現在の日本シーサート協議会などでの積極的な活動や、社外への情報発信につながっているのでしょうか。

阿部：その通りです。「1人で担当している場合ではない」と気付き、少しずつ社内のセキュリティ担当を増やしていきました。これと同じように、もはや1社で対応できるレベルではなくなっていますから、さまざまな組織と連携して情報交換したりマニュアルを共有したりするなど、協調した取り組みが欠かせません。

西本：ユーザー企業側の阿部さんが発信される意義は極めて大きいと思います。ユーザー企業ではいまだに「セキュリティトラブルは隠すもの」との考えが根強く、なかなか情報を出してもらえません。しかし、阿部さんの攻めの姿勢から「そうじゃない」と気付いてもらいたい。

阿部：当社にも転換点がありました。ある時期までは、サイバー攻撃は腕試しや道場破りの側面が強く、セキュリティを実施していると言うと「破ってやろう！」と狙われてしまいました。しかし、サイバー攻撃が金銭目的の"ビジネス"として確立された現在では、情報を隠すより発信した方が攻撃者をけん制できます。セキュリティが強固な企業より、消極的な企業を狙ったほうが攻撃者としても楽ですからね。

西本：誰だって強そうな人にはけんかを売りませんからね（笑）。社内からは、情報を出しすぎだと制約を受けることはありませんか？

阿部：ありませんね。安全にかかわることは競争ではなく協調すべき分野だ、ANAが培ったものは社会に還元するのが企業のCSRとしてあるべき姿だと社内に説明し、理解を得ています。情報発信はお金のかからない抑止策で、いまや隠すことなどないほどですよ。

阿部：私も講演や講義などで述べ2万人ほどに話してきましたが、まだまだ十分ではないと思っています。とにかく話し続けることが大事ですね。情報を共有するには互いの信頼関係が大事です。情報を出せば信頼度は高まりますが、もらってばかりではいつまでも信頼してもらえません。他社で起こった事案は自社でも起き得るのですから、事前に共有したほうが絶対にいいと理解してほしいですね。

西本：「伝わらない」とあきらめてしまうより、少しでも伝わった人に目を向けていく。まさにセキュリティ意識の"醸成"ですね。次は、航空業界についてお話しをうかがいたいと思います。

【対談：ラック西本 企業探訪】ITやセキュリティの先進的な取り組みを学ぶ - ANAシステムズ 編

• ITやセキュリティの先進的な取り組みを学ぶ - ANAシステムズ 編（1/2）
• ITやセキュリティの先進的な取り組みを学ぶ - ANAシステムズ 編（2/2）

プロフィール