JTBがITセキュリティ対策で方針転換、観光庁の旅行業「情報共有会議」で方針と対策を発表

観光庁は旅行業を対象にした「第3回情報共有会議」を開催した。JTBや札幌通運で発生した情報流出案件に伴い、再発防止を目的とした業界全体の情報共有を目的とするもの。今回は、JTBが今後のセキュリティ対策を説明。また、楽天から旅行業に対するサイバー攻撃全般の考え方や対策を共有、観光庁から旅行業界情報流出事案検討会のこれまでの流れを説明した。観光庁とJTBから共有された内容のポイントをまとめた。

JTBがセキュリティ対策方針を変換、「100%の防御は不可能」を前提に、多層での防御へ

JTBからは、グループ本社ITセキュリティ対策室室長の北上真一氏が登壇。その後のJTBの取り組みについてを説明した。同社はセキュリティ対策強化対策のPCDAサイクルを年間スケジュール化・予算化し対策を進めているところ。今後、特に社員教育・訓練を強化し、年間を通して社員へのITセキュリティ勉強会などの実施を計画している。また、内部監査・第三者監査体制も強化した。

北上氏は、大きなポイントとして同社がITセキュリティについての方針を大きく変換したことを説明。「100%の防御は不可能」との前提のもと、入口で防御する体制(ウィルス対策ソフトなど)から、侵入されることは避けられず、その侵入後にいかに重要情報を持ち出させない対策をするか、という考え方に切り替えたという。

また、セキュリティ強化策の案として出入り口監視のポリシーの変更を検討している。標的型攻撃メールや脆弱性をついた攻撃など、外部から内部を攻撃してくるものに加えて、端末の紛失・盗難や悪意のあるサイトへのアクセスなど内部から外部に流出することを防ぐ体制を強化するもの。不正通知を検知した際には、直ちにネットワークを遮断し、被害を最小限にとどめる方針だ。

さらに、北上氏は、人的・組織的なルールやソリューションなど多層での防御が必要である点を説明。システム内への侵入を防ぐために社員らのIDやパスワードの認証を二段階認証や生態認証を組み合わせたものを導入していく必要性が高まっている点を指摘した。複数のクラウドサービスやID認証のSSO化(ハイブリッドID)などの活用など、ID管理の重要性がポイントになっているという。 特に、ID統合管理は重要で、例えば社員が退職した場合などひとつでもIDを残すことが危険であることも指摘。すべてのIDを同時に削除できる設定が必要であるとの考えだ。

JTBグループ175社を6つに分類、それぞれにガイドラインを策定

北上氏は、セキュリティ強化対策の進める中での実際のアプローチも紹介。JTBグループとして175社のシステムが状況を分析、情報の中身と保持の場所を確認し、セキュリティレベルを6つに分類したという。それぞれのガイドラインを作り、対策を進めている。オンライン販売ではインターネット・メール閲覧用のパソコンとオンライン用OP端末のネットワークを物理的に完全分離。操作者は必要に応じて複数のパソコンを操作するようになった。

今後の取り組みでは、ウェブネットワーク設計ではセキュリティの違いによって外部への流出を防ぐ設計に。また、端末側で最新OSを使うことやネットワークを分断していくことでの防御、アクセスログの取得で不正な動きがないかを定期的にチェックするなどの点で従来よりも管理を強化する。

旅行業のセキュリティ対策、これまでとこれから

情報流出の問題検証と旅行業界での再発防止策を有識者が検討する「旅行業界情報流出事案検討会」では、旅行業の情報セキュリティ向上のために早急に行うべき対策を7月に中間取りまとめたところ。その後、日本旅行業協会(JATA)と全国旅行業協会(ANTA)がサイバーセキュリティ担当者を任命し、9月には業界全体で対応する両会協同の「ITセキュリティ特別委員会」が設立された。

また、会員企業の対象とした相談窓口や情報セキュリティ最高責任者(CSIRT)の設置について検討が始まっている。緊急時にサポートが受けられるサイバー保険の活用も勧める計画で、JATAでは会員向け団体保険商品として案内をスタート。ANTAでは損保会社と会員向け商品を開発中だ。

観光庁では、来年の観光庁予算要求にセキュリティ対応の予算を盛り込んだ。その予算では、旅行業者のシステムに対応したガイドライン・中小企業向けの簡易版ガイドラインの策定や危機の共有のためのメールリスト整備や情報サイトの立ち上げを行う考え。ガイドライン策定では、ITセキュリティ特別委員会が中核としながら協議をすすめる。

ITセキュリティの対策には終わりがない。攻撃の技術も日々進化を続けており、単独企業ができることは会社規模によりまちまちだ。こうしたなか、業界がともに情報を共有していくことで、対策レベルと効率を上げることができる。各社が情報を共有・連携・分析していくことで、業界全体のセキュリティレベル向上につながることに期待したい。

みんなのVOICEこの記事を読んで思った意見や感想を書いてください。

観光産業ニュース「トラベルボイス」編集部から届く

一歩先の未来がみえるメルマガ「今日のヘッドライン」 、もうご登録済みですよね?

もし未だ登録していないなら…