第3回目となる旅行業を対象にした「情報共有会議」では、JTBがセキュリティ対策の強化について共有・説明したほか、楽天から旅行業に対するサイバー攻撃全般の考え方や対策が共有された。楽天はEコマース企業として起業したIT企業。楽天トラベルは当初からオンライン旅行会社(OTA)としての活動を続けてきたが、セキュリティ対策はグループ全体として対策している。情報共有会議では、そんなIT企業の立場から最新のセキュリティ対策が各種旅行会社に共有された。
説明にあたったのは、楽天トラベル事業部の事業統括室ヴァイスシニアマネージャー秋元智広氏。同氏はこれまで警視庁などのサイバー攻撃専門領域で経験をもち、日本旅行業協会(JATA)と全国旅行業協会(ANTA)が設立した「ITセキュリティ特別委員会」の委員も務める人物だ。
秋元氏は、サイバー攻撃の目的が主に経済的な利益であることの一方、旅行業への攻撃に限っては「現金を得ることでなく、個人情報をとりに来るもの」と傾向を指摘。一方で、オンライン旅行予約が増加する中、決済まで進む仕組みが一般化しており、「危険度が高まっている」と警鐘を鳴らした。
また、攻撃者が企業をサイバー攻撃する隙間といえる脆弱性を知らないときには無力であることを指摘。それを攻撃者に知られた瞬間に、その脆弱性を対処することで「ほとんどの攻撃は抑止できる」と話し、「旅行業界としての情報連携は重要」であることを強調した。
特に、秋本氏は旅行業ISAC(information Sharing and Analysis Center)の必要性を説く。ISACとは、高度化するサイバー攻撃に対抗するために、業界の特性にあわせて業界全体で取り組む情報共有・連携・対策に当たる組織。特に、経済性の高い犯罪が行われる金融系で発展している取り組みだ。
こうした旅行業ISACを含め、侵入を防ぐための対策として、秋元氏があげた抑止策は以下だ。
- 可能な限り個人情報を含む社内システム(イントラ)とウェブ・メール閲覧などネット接続点を減らすこと
- 予約や決済などの機能を含む場合、十分なセキュリティ対策とともにタイムリーな脆弱性対応をする
- 適切な社員教育(PCへの個人情報保管をしないなどの基本動作を含む)
- 旅行業ISAC(information Sharing and Analysis Center)の設立
サイバー攻撃をされたら?被害を最小限にとどめる対策を
さらに、秋元氏が上げたセキュリティ対策は以下だ。これらはサイバー攻撃による侵入を想定したもの。防ぐことも重要だが、一層強化すべきこととして侵入された際の被害を最小限にすることを前提としている。
- 重要なシステムや情報はネットワークを論理的に分割し、被害を最小限にする仕組みを検討する
- 個人情報を含むデータベースは暗号化などの施策を。特にカード番号は平文で保存しない
- 社内システムで監視を強化し、ログの取得を行う
- 最悪の事態を想定して、あらかじめ体制やシステム上の手当てを応じる
では、侵入されてしまった後はどうか?ひとつのシステム上の脆弱性を入り口に、すべての情報にアクセスできてしまう状態をさけ、機密データまで複数の障壁を設定することを提案した。これにより、最重要情報の漏えいリスクを減らすことができる。あわせて、前提条件としてPC上に重要情報を保有する社員をなくす社員教育の重要性も唱えた。
さらには、最悪のケースを想定した対策をすべきで、社内に対策チームを作ることやCISOを任命するなどの体制整備や攻撃を認知するための監視オペレーションシステムを構築することを提案。例えば、漏えいを早い段階で察知するために、定期的に会員データベースにダミー情報を追加することや、攻撃者が情報を送付すればすぐに把握できるような住所など設定し、把握が可能な状態にすることなどをすすめた。
なお、秋本氏は情報漏えいの「確定」と「可能性」の違いについても知るべきと言及。外部に流出したデータが確認できない限り断定すべきでなく、「確定」と「可能性」には大きな状況の違いがあることを認識すべきとした。そのうえで、被害が確定した場合は1か月以内に中間報告やマスコミへの公表を行うなど速やかな対処が望ましいとした。