観光庁は2016年7月28日、旅行業者を対象とした第2回「情報共有会議」を開催し、「旅行業界情報流出事案検討会」の中間とりまとめ「~旅行業情報セキュリティ向上のため早急に講ずべき対策~」を発表した。JTBや札幌通運の情報流出事案を受け、旅行業界における再発防止策の方向性を示したもの。この考え方と概要は7月22日の第2回検討会後に説明されたが、今回はその全容を発表した。このポイントをまとめてみた。
1.「旅行業者が早急にとるべき対応」「中堅・小規模旅行業者がとるべき対策」
前回の中間とりまとめ案でも発表されたが、業界全体の再発防止策を検討するベースの考えが、自前でセキュリティ対策ができる大手と投資資金や人材的な制約のある中小旅行業者と分けて考える必要があるとしている点。全旅行業者が「旅行業者が早急にとるべき対応」を行なうのが望ましいものの、中小旅行業者の場合はまず「中堅・小規模旅行業者がとるべき対策」で基本的な対策を行なうこととする。
2.大手旅行会社はJTBと同様の体制整備が求められる
「旅行業者が早急にとるべき対応」では既に、社内に情報セキュリティの最高責任者(CISO)や情報セキュリティ専門の対応部署(CSIRT)の設置など体制やシステム面の措置が発表されているが、今回新たに大規模旅行業者に対し、JTBが今回の標的型攻撃による事案発生後に行なった対策と同様の体制整備やシステムセキュリティの強化を求めることも発表された。
大規模旅行業者の規定は中間とりまとめには明記されていないが、観光庁によると、観光庁発表の「主要旅行業者の旅行取扱状況速報」の50社であれば同等の体制整備が可能ではないかと考えているという。ただし、実態調査などを行なって精査し、今後策定する旅行業界のサイバーセキュリティガイドラインにはその規定を明示する予定だ。
3.JATAとANTAに情報セキュリティ担当者、相談窓口やCSIRT設置も検討
「旅行業者が早急に取るべき対応」では、日本旅行業協会(JATA)と全国旅行業協会(ANTA)に対しても、各事務局内に情報セキュリティの担当者を置き、旅行業者間の情報共有を図ることが盛り込まれた。また、「中堅・小規模旅行業者がとるべき対策」で、個々の事業者が対応できない場合のサポートとして、業界団体内に相談窓口、および緊急支援のCSIRT設置の検討を始めるべきとも記された。
なお、業界団体では現在、情報セキュリティが対応できる体制にないため、観光庁として必要な支援をする考えを先の検討会後に示している。また、クラウドサービスの利用や緊急時の専門家派遣などのサービス付きサイバー保険などの利用も提案している。
4.経営層から現場スタッフまで全従業員の意識向上、実施訓練
「旅行業者が早急に取るべき対応」では、個々の業者が講じるべき対策の内容として「マネジメント」「人材育成・社員教育」「システム」の3つの観点が示された。このうち、「人材育成・社員教育」では、情報セキュリティ人材を業界全体で育成していく一方、社内では経営層を含む全従業員で研修・訓練実施を行なうことも明記。例えば全員が標的型攻撃の脅威を理解できるようになるなど、実践的な方法で行ない、意識を高めることが望ましいとした。
5.旅行業界のサイバーセキュリティガイドライン策定
今後の検討事項では、旅行業界のシステムに対応したサイバーセキュリティのガイドライン策定が予定されている。ガイドラインについても、中小旅行業者にIT専門家がいないことを踏まえ、分かりやすい簡易版のガイドラインをあわせて策定する。観光庁によると、ガイドラインは今後、行なうべき事項を具体的に示すものであるため、例えば社内に設けるCSIRTの人数なども明記していく予定だ。
6.業界あげた情報セキュリティ向上に取り組む仕組みづくり
情報セキュリティの向上には、旅行業各社間の情報共有が欠かせないため、旅行業界が自主的に対策に取り組める体制を目指すべきとした。情報共有会や勉強会などを行なう金融業界の取り組み「金融ISAC」などを参考に、観光庁もその体制整備の支援を行なう。また、業界団体に対しては、各社のセキュリティ対策を評価する仕組みとして、認証制度の構築も検討することも要望した。
なお、今回の情報共有会議の議事概要は、観光庁ホームページで公開される予定だ。
情報セキュリティは企業によって異なる
情報共有会議では、ANAグループのIT企業としてシステム開発・運用からグループのサイバーセキュリティも担うANAシステムズ品質・セキュリティ管理室ANAグループ情報セキュリティセンターASY-CSIRTエグゼクティブマネージャーの阿部恭一氏が講演を行なった。テーマはセキュリティ人材やその体制・対応について。
このなかで、各社に設置が求められているCSIRTについては「他社を丸ごと真似しても機能しない。まったく同じCSIRTは存在しない」と述べ、企業の目的や特徴に応じた体制整備とそのためのスキルを持った人材を揃える必要があると説明した。また、CSIRTはインシデント対応部署ではなく、インシデントが起きないように努める部署であることも強調した。ちなみに、CSIRTの人数は中小企業で1、2名、IT企業で5~10名、専門企業はそれ以上(日本シーサート協議会の見解)だという。
取材:山田紀子(旅行ジャーナリスト)