【対談：ラック西本 企業探訪】ITやセキュリティの先進的な取り組みを学ぶ - ANAシステムズ 編（2/2）

「ダブルチェックはムダではない」、航空業界のインシデント対応

西本：非常に印象に残っているインシデント（事案）があります。一昨年（2016年）の8月12日、羽田空港のベルトコンベアが故障したトラブルがありましたね。ANAさんはそのことを乗客に告げず、荷物を搭載しないまま飛行機を出発させ、後からお客様の自宅へ荷物を届けたと聞きました。この対応は全て現場の判断だったそうですね。日頃の訓練のたまものでしょうが、最善の策だったと思います。

阿部：空港のオペレーションはイレギュラーにどう対応するかが通常業務です。お客様の生命に直結する仕事ですから訓練もしていますが、それ以上に不測の事態は日常茶飯事で、それに備えた対応力の向上には普段から努めています。

西本：不測の事態に柔軟に対応できる組織を作る――「言うは易く行うは難し」です。当社は今、働き方改革に取り組んでいますが、仕事の進め方が人に依存しているところも多く、どうやってシステマティックにするかが目下の課題です。

阿部：人的なレジリエンス（強靭）性をどう保つかは重要ですね。現在のASY-CSIRTは10人ほどですが、一つの役割には必ずダブルアサインしています。同時に、１人が二つ以上の役割を担えるようにもしています。それによって組織としてのレジリエンスも高まりますし、本人のスキル向上にも役立ちます。

ダブルアサインをして良かったのは、他人が自分に何を求めているかが分かることです。本来の自分の仕事だけをやっていると気付きませんが、ロールプレイングで他人の仕事を経験すると「こういう玉を出してくれないとこちらが動けないだろう！」と分かります。

西本：合理化や効率化の観点からは、ダブルアサインはムダだという意見も当然出てくると思うのですが。

阿部：それはありません。効率化も必要ですが、航空業界はサービスしている機能の維持が何より大事です。ダブルチェック、ダブルアサインで安全性を高めることに反対する人間は、当社には誰一人いません。

西本：それを踏まえた上で収益を確保しなければならないということですね。とはいえ、「一般企業はそこまでできないよ」という反論も聞こえてきそうです。それにはどうアドバイスされますか？

阿部：当社では安全性が第一なのですが、やはり各企業にとって「何が一番大事なのか」ではないでしょうか。エラーが発生したときに、会社としての信用に影響が出たり風評が生じたりしても問題ないのか。「うちはサイバー攻撃を受けていないからセキュリティ対策にお金を払う必要はない」という考えと根っこは同じだと思います。

西本：重要なポイントですね。「そんなことをしていたら赤字になってつぶれてしまう」と話す経営者もいますが、そもそもセキュリティのために赤字になるような事業が存続していること自体がおかしい、と思っていただきたいものですね。

阿部：セキュリティは品質の一部です。会社として提供しているサービスの品質を下げることはできません。そのコストを捻出するためにも、効率化して収益を確保することこそが本当の働き方改革ですよね。9時―17時で帰ることが働き方改革ではないのに、現在の風潮は全く間違っています。

西本：全くその通りですね。働き方改革にもセキュリティ文化の醸成は必要だと思っています。

同じ人間は作れない。自身が組織を離れても後進が育つ土壌づくりを

西本：セキュリティ人材の育成や評価はどうなっていますか？

阿部：当社も一般企業ですから、セキュリティ担当だからといってセキュリティだけをやっているわけではありません。特別扱いすることなく、人事ローテーションで開発や運用も担当します。それぞれの部門を行き来するスキルパスも人事部門と協力して作っています。ただ人によって向き不向きがありますから、その役割が向かない人に担当させることはやめましょうとは言っています。

西本：向き不向きというのは性格のことですか？

阿部：そうです。役割に必要なスキルを定義しただけでは人は幸せになりません。スキル定義に加えて性格マッチングが重要です。引っ込み事案の人に全体統括はできないでしょうし、情報の収集・分析担当に会話能力や社交性は必要ありません。一方、社内調整役はいくらスキルがあろうと会話が苦手では務まりません。

西本：確かに当社でも、検査、運用、監視、構築それぞれに合う性格は違います。セキュリティが特殊なのではなく、どの職業でもそうですね。組織として考えなければならないことは、職種ごとに必要なスキルと適した性格を明確化し、社員それぞれに「自分はどこを目標にすべきか」「どんなキャリアパスが描けるか」が分かるようにしてあげることであり、それらを体系化しておくことだということですね。

阿部：企業でインシデントが発生したとき、誰が全体統括をするかが問題となるのですが、全体統括なんてお祭り好きでないとできません（笑）。性格を考慮することは非常に重要です。

西本：阿部さんご自身の後継者はどう育成されていますか？

阿部：さまざまなところで聞かれます（笑）。同じ人間は作れないと思っています。それぞれがその人の性格を生かして、全体統括という役割を作り上げてくれればいいと考えています。

西本：阿部さんは、ANAグループにおけるセキュリティのいわば創業者だと思います。創業者からの移行をどうするかは普遍的な課題ですが、一番いいのは「後はよろしく！」と突然いなくなることでしょうか。

阿部：プロ野球の北海道日本ハムファイターズを見ているとそう思います。ダルビッシュ有選手が米大リーグへ行った後も、有望な選手をどんどん輩出しています。そういう土壌があれば後継者は育つだろうと思っています。

西本：本気で引き継ぐ人材を輩出する土壌を作っておくことは重要ですね。

橋渡し人材に必要なものは全体を俯瞰できる目

西本：今後はどういう活動を予定なさっていますか？

阿部：実は来年が定年で、会社から雇用延長を打診されています。継続して働くつもりですが、週5日フルではなく数日にとどめ、残りの時間は日本シーサート協議会など他の社会活動に充てるつもりです。例えば、大学で授業を持つとか中小企業でセキュリティまわりを見るとか。今まで何十年と会社に育ててもらった分を社会還元していきたいと思っています。

西本：個人情報保護法のお話の際も「橋渡し人材」のことが出ましたが、セキュリティでも最近、経営層と現場の意思疎通を仲立ちする橋渡し人材としてのセキュリティ担当に注目が集まっています。橋渡しをする人に必要な視点とはどういうものでしょう。

阿部：全体を俯瞰できることですね。ポイントしか見ることができない人だと、間違った方向に橋を渡してしまいます。私や西本さんはIT黎明期からのこの30年間の変化を経験していますので、ビジネスの視点から話すことができますが、現在はインシデントが起きたときに全体を俯瞰できる人が減っています。

これは教育の問題でもあります。大学病院のように専門が細分化されすぎ、それぞれの分野では非常に深い分析ができるのですが、全体を見る機会がないため目が養われにくいのです。「ビジネスにどういう影響があるの？」と聞いたときに、全体感を持った意見が言えるセキュリティ担当、エンジニアが生まれてほしいと思います。

　

西本：働き方改革でも、副業や兼業などが話題になっています。阿部さんのお話から、ダブルアサインによって、組織力を強化すると同時に個人の全体感醸成も図れるとアドバイスをいただきました。専門性を追求するにも、そういう手立てはセキュリティにとどまらず重要ですね。
本日はありがとうございました。

【対談：ラック西本 企業探訪】ITやセキュリティの先進的な取り組みを学ぶ - ANAシステムズ 編

• ITやセキュリティの先進的な取り組みを学ぶ - ANAシステムズ 編（1/2）
• ITやセキュリティの先進的な取り組みを学ぶ - ANAシステムズ 編（2/2）

プロフィール

ANAシステムズ株式会社
品質・セキュリティ管理部　エグゼクティブマネージャ
ANAグループ情報セキュリティセンター　ASY-CSIRT
阿部 恭一（あべ きょういち）
汎用機からAIの応用まで急発展する時代を開発者として活躍。
2004年以降セキュリティに従事し、ANAグループ情報セキュリティセンター及び、ASY-CSIRTとしてANAグループ全体のセキュリティ向上を図る。

株式会社ラック
代表取締役社長
西本 逸郎（にしもと いつろう）
1986年ラック入社。2000年にセキュリティ事業に転じ、日本最大級のセキュリティ監視センター「JSOC^®」の構築と立ち上げを行う。様々な企業・団体における啓発活動や人材育成などにも携わり、セキュリティ業界の発展に尽力。