情報セキュリティ
基本的な考え方
昨今、インターネット空間におけるサイバー攻撃は世界的に高度化しており、コンピュータウイルスによるサイバーテロや大規模な情報漏えい、ビジネスメール詐欺などの脅威が高まっています。
当社では、航空運送事業という重要インフラを担う企業グループとして「ANAグループ情報セキュリティ管理規程」に基づき情報セキュリティ管理体制を構築し、日常的に情報システムの機能向上や多層防御によるセキュリティ対策を講じています。また、ANAグループの情報セキュリティ対策はNIST-CSF(米国国立標準研究所サイバーセキュリティフレームワーク)に基づき対策を講じています。
ANAグループ 情報セキュリティ宣言
ANAホールディングス株式会社とその関連会社(以下、「ANAグループ」といいます)は、お客様の個人情報をはじめとする情報資産を保護することの重要性を認識し、法令および技術標準を遵守し、それらの情報資産をリスクに応じて正確、安全かつ適正に取り扱い、利害関係者の皆様からの信頼に応えるべく以下の取り組みを実施します。
- ANAグループは、保有する情報資産の機密性、完全性、可用性の確保に努めます。
- ANAグループは、情報資産を、法的な要請等の合理的な必要性がない限り開示致しません。
- ANAグループは、情報資産の保護を目的に情報セキュリティ向上に取り組む専門組織を設け、情報セキュリティを確保するための施策を規程として定め、情報管理に関する教育、有効性の評価、監査および改善を行なうことによって、常に情報セキュリティの維持、向上に努めます。
- ANAグループは、全ての役職員が情報資産の機密性、完全性、可用性を損ねる行為を行った場合、所定の手続きに則り、厳格に対応します。
推進体制
ANAグループにおける情報セキュリティに関する基本的な考え方を宣言した「ANAグループ情報セキュリティ宣言」に基づき、「グループESG経営推進会議」にて施策の進捗のモニタリングを行っています。チーフ ESG プロモーションオフィサー(CEPO)は、ANA グル ープの情報セキュリティ推進の最高責任者として、ANA グループの情報セキュリティを統括しています。グループ各社においては、ESGプロモーションオフィサー(EPO)を推進の責任者、ESGプロモーションリーダー(EPL)を推進の牽引役として、情報セキュリティに取り組んでいます。
グループIT推進担当役員は、ANAグループの情報技術に関する最高責任者であるグループCIO(Chief Infomation Officer)として、CEPOと緊密に連携し技術的アドバイスを行うとともに、四半期毎に「デジタルガバナンスレポート」をとりまとめ、ANA定例役員会において報告しています。
ANAグループCSIRTは、CIOのもと、セキュリティ事象の予防活動や事象発生時の早期復旧を目指した活動を行い、情報セキュリティ強化に必要な対策を推進しています。
インシデント対応フロー
ANAグループの事業において、個人情報はサービスを提供するにあたって欠かせないものであり、お客様からお預かりした大切な資産と考えています。万一、個人情報の漏えいなど情報セキュリティに関わるインシデントが発生した場合には、発生部署のESGプロモーションリーダーを通じてグループ総務部に報告することとしています。
重大なインシデントの場合には、「Crisis Management Manual」に規定した危機対応体制を速やかに立ち上げ、社内外の関係先と連携しながら緊急事態に対応します。また、サイバーセキュリティの面では、ANAグループCSIRT(セキュリティインシデントに対応するための専門チーム)を設置して、インシデント発生時には迅速な対応を図れるようにしています。
主な取り組み
個人情報保護
個人情報保護に関する国内外の法令を遵守するため、プライバシーポリシーや社内の関連規程の改定を行っており、日本の改正個人情報保護法や、諸外国(米国、欧州、中国、タイ等)の法改正にも適切に対応しています。また、社員一人ひとりに対しても、個人情報保護の重要性と厳正な取り扱いの必要性について社内教育を実施しています。2023年4月には「プライバシーガバナンスチーム」として専任の体制を構築し、今後、顧客データ資産を活用したプラットフォームビジネスの確立とともに、法令遵守はもとより、倫理的適切性の観点も踏まえたプライバシーガバナンスの強化に取り組んでいきます。
サイバーセキュリティ対策
ANAは内閣サイバーセキュリティセンターが指定する国の重要インフラ事業者に位置付けられており、関連省庁が定めたガイドラインに則って、多層防御を行い、その防御について24時間365日、監視しています。サイバー攻撃が高度化、巧妙化する中で、インテリジェンス(サイバー攻撃の早期警戒情報)の活用が非常に有効的であり、Aviation-ISAC(Information Sharing and Analysis Center)や交通ISAC、またダークウェブの調査などを含めて予防対策に活用しています。また防御においてもゼロトラストの考え方を導入し、「操作する人・通信を発生させる機器・システム処理のプロセス」の3点をチェックし、信頼性を確保しています。
また昨今の他社におけるサイバーセキュリティ事象から、ANAグループでのセキュリティ対策のみならず、サプライチェーン全体での防御力強化の必要性が高まっており、関係省庁や経団連等の関連団体との連携を強化し、当該の団体を通じて必要な働きかけを実施し、セキュリティ強化の普及啓発に協力しています。
一方、身近なサプライチェーンとしてのANAグループ会社においては、各社のIT 資産の可視化を最重要課題として取り組んでいます。グループ各社における外部からの攻撃ポイントであるアタックサーフェスをマネジメントすることによって、発見された課題や脆弱性について、プライオリティ付けを行い、各グループ会社が必要な対策を行えるように周知・連絡・相談を密に行うとともに、ANAグループITカルテ(グループ会社各社のIT利用状況(利用システムのOS等のバージョン、セキュリティ審査の実施の有無、ソフトウェアのライセンス期限等)を把握するためにANAグループで独自に作った管理ドキュメント)を活用してガバナンス強化に努めています。さらにANAのシステムのセキュリティインシデントを対応するASY-CSIRT(ANA Systems-Computer Security Incident Response Team、セキュリティインシデントが発生した際に対応するチーム)の上位組織として、ANAグループ各社で発生するセキュリティインシデントを対象とした「ANAグループCSIRT」を設置し、体制の強化を図っています。
セキュリティ人財育成については定期的に社員向けウェブサイトへ情報セキュリティに関する注意喚起文書とそのリマインド教育資料を掲載しており、自らの業務に加えて、「プラス・セキュリティ」の教育により、セキュリティへの気付きを高めています。一方、セキュリティ専門人財の育成は喫緊の課題であり、経験者採用を継続するとともに、他部署からの異動を募り、セキュリティ専門教育を受講してもらうことで、セキュリティ統括人財としての育成を進めています。法令関連対応として、各国のプライバシー法令について順次対応しています。また国内において、経済安全保障推進法に伴う各種ITシステムおよびサイバーセキュリティに必要となる対応については、国・経団連など関連団体との密な連携により推進しています。
教育・訓練の実施
個人情報保護を含む情報セキュリティの重要性やサイバー攻撃の脅威を理解し、情報資産を守る行動を確実に実行するために、グループ社員を対象にした常設のeラーニングを整備すると共に、最新の事例などを取り込んだ知識付与を定期的に行っています。
また、IT部門においてはセキュリティインシデント発生に備えた訓練としてCSIRT訓練は毎月実施しており、経営層向け訓練や関連部門向け訓練は年1回以上実施しています。
情報セキュリティリスクアセスメントの実施
ANAグループでは、定期的に国内外の事業所に対して、専門チームによる情報セキュリティリスクアセスメントを実施し、第三者の視点から情報資産の管理状況を点検し、課題の抽出と改善を図っています。加えて、規程の順守状況を毎年振り返る自己点検制度を定めており、各組織の情報セキュリティ向上に取り組んでいます。また、定期的な脆弱性診断やペネトレーションテスト(侵入テスト)を実施することでリスク低減にも努めており、主要なシステムにおいては四半期に一度の頻度で実施しています。