基本的な考え方
昨今、インターネット空間におけるサイバー攻撃は世界的に高度化・巧妙化しており、コンピュータウイルスによるサイバーテロ、大規模な情報漏えい、ビジネスメール詐欺などの脅威が深刻化しています。
当社グループでは、航空運送事業という重要な社会基盤・インフラを担う企業グループとしての社会的責任を果たすため、「ANAグループ情報セキュリティ管理規程(情報セキュリティポリシー)」を定めています。本規程は、当社グループが保有するすべての情報資産を対象とし、役員、社員、契約・嘱託社員、派遣社員、パート・アルバイトを含むすべての役職員に適用されるとともに、サプライヤー等の第三者に対する情報セキュリティ要件も確立しています。
日常的な情報システムの機能向上や多層防御によるセキュリティ対策を講じるとともに、NIST-CSF(米国国立標準技術研究所 サイバーセキュリティフレームワーク)および国際標準であるISO/IEC 27001の手法を参考に情報関連規程類を構築し、情報セキュリティシステムの継続的な改善、情報セキュリティ脅威の監視と対応、情報資産の「機密性」「完全性」「可用性」の維持・向上ならびにデータの完全性の確保と保護に努めています。
ANAグループ 情報セキュリティ宣言
ANAホールディングス株式会社とその関連会社(以下、「ANAグループ」といいます)は、お客様の個人情報をはじめとする情報資産を保護することの重要性を認識し、法令および技術標準を遵守し、それらの情報資産をリスクに応じて正確、安全かつ適正に取り扱い、利害関係者の皆様からの信頼に応えるべく以下の取り組みを実施します。
- ANAグループは、保有する情報資産の機密性、完全性、可用性の確保に努めます。
- ANAグループは、情報資産を、法的な要請等の合理的な必要性がない限り開示致しません。
- ANAグループは、情報資産の保護を目的に情報セキュリティ向上に取り組む専門組織を設け、情報セキュリティを確保するための施策を規程として定め、情報管理に関する教育、有効性の評価、監査および改善を行なうことによって、常に情報セキュリティの維持、向上に努めます。
- ANAグループは、全ての役職員が情報資産の機密性、完全性、可用性を損ねる行為を行った場合、所定の手続きに則り、厳格に対応します。
推進体制
ANAグループでは、「グループESG経営推進会議規程」に基づき、当社社長を総括、チーフESGプロモーションオフィサー(CEPO)を議長とし、当社およびグループ会社の取締役・執行役員、当社常勤監査役を委員とする「グループESG経営推進会議」が、情報セキュリティにかかわる重要方針や施策についての議論を行っています。また、経営に直結する重要な課題については、グループ経営戦略会議に付議するとともに取締役会・監査役会に報告することで、情報セキュリティの施策の進捗や実施状況のモニタリングを定期的に行っています。
・最高責任者(チーフ ESG プロモーションオフィサー / CEPO):ANAグループにおけるリスクマネジメントとコンプライアンスの推進を担当するANAHD取締役として、最高情報責任者(CIO)と連携しながら最高情報セキュリティ責任者(CISO)が担うANAグループの情報セキュリティ問題の監督に関する経営幹部レベルの最終的な責任を負っています。
・最高情報責任者(グループCIO):ANAHDグループIT部担当役員が務め、CEPOと緊密に連携して技術的アドバイスを行うとともに、四半期毎に「デジタルガバナンスレポート」を取りまとめ、ANA定例役員会(ANAHDの取締役を兼務しているANAの取締役や執行役員を含む)において報告を行うことで、ANAHDの取締役会に直結する経営層主導のガバナンスを担保しています。
・各社における推進体制:グループ各社において、情報セキュリティ責任者である「ESGプロモーションオフィサー(EPO)」 および職場の牽引役である「ESGプロモーションリーダー(EPL)」を配置し、相互に協力して確実な遂行と問題発生の防止に努力しています。
・ANAグループCSIRT:チーフESGプロモーションオフィサー(CEPO) およびグループCIOのもと、セキュリティ事象の予防活動、最新脅威情報の収集および事象発生時の早期復旧・情報セキュリティ強化に必要な施策を専門的に推進しています。
・ANAグループ情報セキュリティデスク:情報セキュリティ全般に関する相談・報告窓口として、セキュリティ点検活動や教育・対策支援を日常的に実施しています。
インシデント対応フロー
万一、情報漏えいやサイバー攻撃、システム障害等の情報セキュリティ事象が発生した場合、またはその「おそれ」がある状況(脆弱性や疑わしい活動等)を役職員が検知・発見した場合は、インシデント・脆弱性・疑わしい活動を報告するためのエスカレーションプロセスに基づき、インシデント当該部署より、速やかに「ANAグループCSIRT」の構成部署に対して通報・連携が行われる体制を確立しています。
ANAグループCSIRTは、通報を受けた事象のレベル(重大度)に応じて、損害の極小化と迅速な復旧に向けたファーストレスポンス(初動対応)を主導します。
さらに、経営や事業継続に重大な影響を及ぼすインシデントと判断された場合には、「Crisis Management Manual」に規定した危機対応体制(対策本部)を速やかに立ち上げ、情報セキュリティ最高責任者(CISO)の役割も担うチーフESGプロモーションオフィサー(CEPO)および経営層の指揮のもと、社内外の関係機関と緊密に連携しながら、迅速な収束と利害関係者への適切な情報開示を行います。また、インシデントを通じて得られた教訓や原因分析結果は、以後の管理体制の改善および再発防止策へ確実に反映させています。
主な取り組み
サイバーセキュリティ対策およびサプライチェーン・リスク管理
ANAは、各種法令で指定された国の重要基幹インフラ事業者に位置付けられており、関連省庁が定めたガイドラインを自社のシステム・プロセスへ厳格に統合のうえ、多層防御対策を講じ、24時間365日体制で高度な監視体制を維持しています。サイバー攻撃が高度化・巧妙化する中で、高性能AI等を悪用した新たな脅威への警戒を含め、サイバー脅威インテリジェンス(早期警戒情報)の活用を最重要の予防的統制と位置付け、Aviation-ISAC(Information Sharing and Analysis Center)や交通ISACとの緊密な連携、ならびに地政学リスク情報やダークウェブの高度な調査を通じて、脅威の未然防止を徹底しています。防御面においてはゼロトラスト概念を全面的に導入し、「操作する人・通信を発生させる機器・システム処理のプロセス」の3点を常時検証(継続的認証)することで、認証の信頼性を担保しています。
加えて近年、サプライチェーンを狙ったサイバーリスクはより複雑化しており、ANAグループ単体にとどまらない強靭化(サイバーレジリエンス)の必要性を深く認識しています。関係省庁や経団連等の関連団体との強固な連携を通じて、産業界および業界全体のセキュリティ底上げに向けた必要な働きかけや、普及啓発活動を主導的に展開しています。
一方、最も身近なサプライチェーンとしてのANAグループ会社においては、各社の情報・IT資産の可視化を最優先課題として取り組んでいます。外部からの攻撃ポイントである「アタックサーフェス(外部攻撃面)」をマネジメント(ASM)することにより、情報セキュリティの脆弱性分析を実施し、発見された課題や脆弱性に対して厳格な優先順位付け(深刻度判定)を実施しています。各グループ会社がタイムリーかつ効果的な対抗策を講じられるよう、周知・連絡・相談を密に行うシームレスな体制を敷くとともに、独自開発の「ANAグループITカルテ」(グループ各社のシステムOSバージョン、セキュリティ審査の実施・状況、ソフトウェアのライセンス期限等を網羅した独自の管理ドキュメント)の仕組みを活用して一元管理し、グループ全体のITガバナンスを強固にしています。
万が一、セキュリティインシデントが発生した場合においても、ANAグループ全体のセキュリティインシデント対応を統括する専門組織「ANAグループCSIRT」を中心として、経営層・経営陣を含む関係各所とのリアルタイムな情報共有体制が強化され、セキュリティインシデントの切り分け(トリアージ)や対応の迅速化が高度に図られています。
当社グループは、これまで進めてきた「全員参加型セキュリティ」をさらに一歩進め、「全員実践型セキュリティ」を掲げています。単に知識を持つだけでなく、全グループ職員がセキュリティを「自分ごと」として捉えて日常業務の中で主体的に行動する「セキュリティ・カルチャーの醸成」を推進しています。通常の業務領域にセキュリティの視点を組み込む「プラス・セキュリティ」の定期的な教育や情報セキュリティ意識向上トレーニングを通じて、組織全体の防御力を高めています。
その一方で、DXやAI時代に対応できるセキュリティ専門人財の確保・育成は喫緊の課題であり、経験者採用を戦略的に継続しつつ、高度な専門教育の受講や他社も参加するセキュリティコミュニティ活動への積極的な参画を通じて、グループのセキュリティを強力に牽引する「セキュリティ統括人財」への育成・キャパシティビルディングを加速させています。
また、法令関連分野への対応としては、海外においては、各国のプライバシー法令へのタイムリーな準拠を進めるとともに、国内においては、経済安全保障推進法に伴う各種ITシステムおよびサイバーセキュリティ強化への対応について、政府や経団連などの関連団体と密に連携しながら、国が提示するガイドラインに準拠して高度なセキュリティ基盤の構築を推進しています。

教育・訓練の実施
個人情報保護を含む情報セキュリティの重要性やサイバー攻撃の脅威を理解し、情報資産を守る行動を確実に定着させるため、グループ社員を対象にした常設のeラーニングを整備するとともに、最新の脅威事例を取り込んだ教育を定期的に実施しています。ITおよびセキュリティ専門部門においては、セキュリティインシデントを想定した「CSIRT訓練」を毎月実施しているほか、経営層向けのサイバー演習および関連部門向けの訓練を年1回以上計画的に実施し、有事における組織的な対応力を実戦レベルで向上させています。
情報セキュリティリスクアセスメントと自己点検・監査
ANAグループでは、多角的な視点からセキュリティ水準を担保するため、以下の3つのアプローチで評価・検証を実施しています。
・情報セキュリティ自己点検:毎年、規程の遵守状況を自ら振り返り、各組織の情報セキュリティ向上を図る「自己点検制度」を設け、定期的に実施しています。
・内部監査(独立した検証):内部監査主管部門である「ANAHD グループ監査部」が、グループ総務部と連携の上、グループ各社・各部署に対して適宜「ITインフラおよび情報セキュリティ管理システムの内部監査」を実施しています。規程類が適切に整備・運用されているかを独立した客観的な視点から監査し、その品質確認結果を総務部および経営層へ報告することで、継続的な態勢改善につなげています。
・技術的アセスメント・外部認証:定期的な情報セキュリティの脆弱性分析やペネトレーションテスト(侵入テスト)を実施しており、主要システムに対しては四半期に一度の頻度で実施することでリスク低減を図っています。また、一部の事業領域・システムにおいては、外部監査によるPCI DSSの準拠証明や、国際規格であるISO/IEC 27001(ISMS)認証を取得し、その維持管理を行っています。
業務委託先等の取り扱い(サプライチェーン)の管理
第三者に業務を委託する場合、当社グループの情報セキュリティおよび個人情報保護の水準を契約先も含めて維持・担保するため、「ANAグループ情報セキュリティ管理規程」に基づき、サプライヤー等の第三者に対する情報セキュリティ要件を確立し、委託先の厳格な選定基準の適用および秘密保持や安全管理措置を網羅した契約書への記載項目を定義しています。
また、契約締結のみにとどまらず、委託先における情報セキュリティ対策の実施状況について定期的な状況確認やモニタリング(必要に応じた是正勧告や契約見直しを含む)および改善支援を実施する「委託先管理機能」を組織的に運用し、サプライチェーン全体のセキュリティリスクマネジメントを徹底しています。