日本航空株式会社様インシデントレスポンス訓練事例

メルマガ登録する

メルマガ登録する

情報システムの安全対策を安全運航の堅持の域まで高める挑戦

日本航空株式会社は、日本を代表する航空会社の1つであり、経営トップのコミットメントとして「安全憲章」を制定しているように、安全運航の堅持を最優先に取り組む企業だ。その姿勢は空の安全だけにとどまらず、情報セキュリティの分野にも及んでいる。

同社グループは、全ての業務が安全に通じており、情報セキュリティを確保する上においても、社員一人一人が「安全憲章」に則り行動することを行動指針として定めている。さらにはコンピューターセキュリティインシデント対応チーム「CSIRT（シーサート）」を組織し、サイバー攻撃への対策を強化している。同社はこれまで独自でインシデント対応訓練を実施し、実際の攻撃シナリオを通じて社員の対応力を高めてきた。

そして今回、同社はさらなる防御力強化を目指し、外部の専門訓練を活用した取り組みに踏み出した。その背景や詳細について、デジタルテクノロジー本部の嶋戸氏と源川氏に話を聞いた。

日本航空株式会社嶋戸洋祐氏 — デジタルテクノロジー本部システムマネジメント部
リスクマネジメントグループ　グループ長
嶋戸洋祐氏

日本航空株式会社源川美紀氏 — デジタルテクノロジー本部システムマネジメント部
リスクマネジメントグループ　マネジャー
源川美紀氏

事業運営に影響を与えるリスクに立ち向かう戦略

情報セキュリティの脅威はフライトの安全にも直結する課題だ。デジタルテクノロジー本部では、約3万6,000人（2024年3月時点）の社員の中で誰がサイバー攻撃の標的になるかわからないという強い危機感のもと、グループ会社含めセキュリティ担当を任命し、CSIRTを組織している。同社は、CSIRTを通じて各部門のセキュリティ連携を強化し、外部の専門家とも協力しながら、日々進化するセキュリティリスクに対応できる体制を構築している。

CSIRTの企画・運営はデジタルテクノロジー本部システムマネジメント部リスクマネジメントグループの嶋戸氏と源川氏が中心となり進めている。サイバーセキュリティは技術的な対策だけでなく、企業文化や現場の意識とも深く関わる。だからこそ、両名の異なるバックグラウンドが同社のセキュリティ強化に大きく貢献している。

嶋戸氏は、空港現場での経験を積んだ後、IT部門でネットワークおよびセキュリティを担当するとともに、IoTやAIなど先端技術の調査に携わってきた。航空事業とITの両面を経験したことで、「航空の安全」と「情報セキュリティ」が密接に結びついていることを実感し、現職でのリスクマネジメントに生かしているという。

一方、源川氏はキャビンアテンダントとして乗務経験を持ち、JALフィロソフィにも掲げている「尊い命をお預かりする仕事」という安全最優先の意識のもと業務を遂行してきた。その経験は情報セキュリティにも通じるものであり、情報セキュリティのリスクマネジメントにおいても、乗務の中で培ったリスク管理の視点が生かされているという。

緊迫感と臨場感の中で学ぶインシデント対応訓練

日本航空では、CSIRT担当向けに独自のインシデント対応訓練を実施し、座学やグループワークを通じてサイバー攻撃に直面した際の対応力向上を図ってきたが、より危機感を持ちつつ判断力を得るための訓練を模索していた。

そのような中、ラックが提供する「情報セキュリティ事故対応1日コース机上演習編」に両氏で参加する機会があり、初めて外部の訓練コースを受講した。このコースは、さまざまな企業が受講する汎用の訓練だったが、嶋戸氏は「想定外のシナリオに直面し、追い込まれ、何をすべきか分からなくなる緊迫感と臨場感が特に印象的で、初動対応の重要性を身に染みて感じることができた」と振り返る。当コースでは、講師陣は高度な知識を持ち、受講者からのあらゆる質問にも即座に回答し、リアルな環境下での実践的な学びを得られたという。

また、インシデント発生時にどのように状況を把握し、過度に特定の要素にフォーカスしすぎず全体像を俯瞰するかを学ぶ機会となった。訓練を通じて、刻一刻と状況が変化する中、優先順位や全体を考えながら判断、対応力を磨く訓練の大切さを実感した。そこで、「情報セキュリティ事故対応1日コース机上演習編」を航空業界用にオーダーメイド開発する方向で調整を進めた。

日本航空のCSIRTインシデント訓練の実際

日本航空のCSIRTは、IT関連の専門家集団というだけではなく、さまざまな分野のメンバーが参画し、サイバーセキュリティを「経営課題」として捉えた体制を整えている。今回の訓練では、より実践的な演習を実現するため、航空会社独自の訓練シナリオを組み込んだオーダーメイドの訓練をラックと共同開発した。シナリオには、社名や部門名、発生するインシデントの詳細を事前に綿密に作り込み、実際の業務フローに即したシミュレーションを行うことで、従来の訓練では得られなかった臨場感を感じられる訓練に仕上がった。

源川氏は「準備には約3か月をかけ、ラックの講師陣も同社の業務内容を深く理解した上で、我々が直面しうるシナリオを反映していただいた。演習当日は、まるで実際のインシデント対応を行っているかのような雰囲気の中、白熱した議論が繰り広げられました」と振り返る。

知識を学ぶだけでなく、実際に手を動かしながら考える演習は、CSIRT担当にとって新鮮であり、非常に実践的な訓練となったようだ。今回は、CSIRT担当全員が集合型で訓練ができた点が好評であったが、実際のインシデント発生時に対面できることは少ないため、対面とリモートを組み合わせたハイブリッド形式の訓練も必要との声もあった。

システム障害とサイバー攻撃への備え

今回の訓練では、CSIRT担当全員がインシデント対応指揮官（コマンダー）視点で考えられるようにコマンダー役を疑似体験することで、初動対応や封じ込め、対外対応、法的観点を含めた方針検討の重要性の理解につながった。その結果、実際のインシデント発生時には、対応全体をイメージしながら円滑に行動できるようになり、自身の本来の役割において、どのタイミングで何をすべきか、また、どの点を把握できていなかったかを明確にするきっかけとなった。

訓練中の議論や訓練後の発表・意見交換の場では、法務部の担当からは「インシデント発生時の対応について、どのような情報をタイムリーかつ迅速に、わかりやすく連携すべきかについて知ることが出来た」とのコメントがあった。またシステム部門以外の参加者にとっては、システム担当がどのように考え、何を行う必要があるのかを学ぶ貴重な機会となった。

トラブルシュートのノウハウから対外公表時の注意点まで、臨場感あふれる実践的な知見をグループ内やグループ間で学び合えたことも大きな成果である。このような経験を積むことで、有事においても一丸となって対応できる体制が強化されたといえる。

日本航空では、各部門のCSIRT担当と共に、サイバー攻撃発生時に滞りなく連携し対応するための対応手順書を作成し、共有している。しかし、全てのインシデントシナリオを予測し、完全に網羅することは現実的に難しい。そのため、今回のCSIRTインシデント対応訓練の検討段階で多くの議論を交わしたことは手順書の拡充にも良いヒントを得た。

さらに、ラック有識者の意見も取り入れながら、より実践的な対応手順の整備を進めている。源川氏は「業務中にサービスの継続か安全確保かを迷った場合は、常に『安全』を優先するように指導されています。その判断基準が明確であることが迅速かつ適切な対応につながります」と熱く語る。このように、訓練を通じて得られた知見を活かし、インシデントに対する備えを強化することが企業の安全確保において重要な鍵となる。

今後のセキュリティ対策と社員の意識向上

日本航空の社員には安全運航への強い想いが浸透しており、情報セキュリティもその一環として業務に取り組んでいる。事業の継続性を確保するために訓練や安全教育は欠かせず、事業継続そのものが日本航空のミッションであり社会貢献であると考えている。また、人は本質的に脆弱であるという意識のもと、安全に対しての社員の意識向上、セキュリティ対策の強化、継続的な訓練を実施していく方針である。

さらに、クラウドやアプリケーション、AIなどの新技術の活用が進む中、IT環境はますます複雑化し、未知のセキュリティリスクが潜む可能性も増している。これらに対応するため、最新のトレンドを常に把握し、先手を打ってリスクを管理する体制が必要だ。航空業界は世界とつながっているため、国際的なセキュリティ基準をクリアしながら、他国や他社に劣らないリスクマネジメントの実現が求められている。

日本航空はインシデント対応訓練を通じて、実際のサイバー攻撃やシステム障害に対する対応力を高めるとともに、全社員の情報セキュリティのリテラシー向上を継続して取り組んでいく。

※ 本記事は、2025年2月時点の内容です。