航空運送を中心とした事業を展開する全日本空輸は、「安全の確保」を最も重要な社会的使命と位置付け、それが毀損・阻害されることを最重要リスクとしている。同社の経営を取り巻くリスクは、それ以外にも多岐にわたる。コロナ禍による旅客者数の激減が業界全体に甚大な影響を及ぼしたのは記憶に新しいが、近年では気候変動問題に関するリスクや地政学上のリスクも増している。

さらに緊張感が高まっているのが、サイバー攻撃に対するリスクだ。同社は内閣サイバーセキュリティセンター（NISC）が定める国の重要インフラ事業者に指定されており、事業継続の観点からも厳重な対策が義務付けられているのだ。同社の和田 昭弘氏は、「情報漏えい対策を含めた『情報の安全』の確保は、『空の安全』と同様に重要なファクターとなっています」と強調する。

具体的には、「ANAグループ情報セキュリティ管理規程」に則った情報セキュリティー管理体制を構築。NIST-CSF（米国国立標準研究所サイバーセキュリティフレームワーク）に基づき、情報システムの機能向上や多層防御に継続的に取り組んでいる。

こうした施策の一環として注力しているのが、社内の様々な業務現場で使われている約3万台に及ぶWindows端末を守るエンドポイントセキュリティーである。

同社が取り組んできたエンドポイントセキュリティーの変遷を振り返っておくと、2014年ごろまで使っていたのは、パターンマッチング型のアンチウイルスソフトだった。ただし、ウイルス検知率が低く、かなりの割合で侵入を許してしまうことから、振る舞い検知型のアンチウイルスに切り換えることで対策を強化した。

ところが、そこでも新たな問題に直面した。新しいタイプのウイルスが登場するたびに振る舞い検知の判定ロジックエンジン部分から更新しなくてはならず、各アプリケーションでの動作テストやユーザーの端末への展開に多大な工数とコストが発生してしまったのだ。

ならば、と2016年に導入したのが、エンドポイントに侵入したサイバー攻撃を高精度で検知し、対応を支援するEDRと呼ばれるソリューションである。だが、これもまた抜本的な課題解決にはつながらなかった。

「標的型攻撃やランサムウェアなど悪質化するサイバー攻撃を防ぐためには、EDRが発したアラートに迅速に対応しなければなりませんが、そこで必須となる攻撃やウイルスの特定をはじめ、侵入ルートや影響範囲の調査にも高度な専門知識とスキルが求められます。しかも日々発せられるアラートの数は膨大な件数に上るため、24時間365日の体制を組んで監視に当たらなければなりません。そういった任務をこなせる人材を獲得したり、育成したりするのにも限界がありました」（和田氏）

試行錯誤を繰り返してきた同社が、エンドポイントセキュリティーの“決定打”ともいうべきソリューションと出会ったのは2017年のこと。国産のセキュリティーソフト開発ベンダーBlue Planet-worksが提供している「AppGuard」がそれである。

• AppGuardホワイトペーパー「10分でわかるAppGuard」

AppGuardが従来のエンドポイントセキュリティーと根本的に違っているのは、ウイルスを検知することに重点を置くのではなく、あらかじめ設定されたポリシーに反する動きを徹底的に封じ込める点にある。

エンドポイントで発生するすべてのプロセスは、既に何らかの形でサイバー攻撃に侵害されていると仮定することで、不正アクセスやデータの改ざんなどの発症を永続的に防止するのだ。いわば「プロセスのゼロトラスト化」を実現することが、AppGuardの最大の特徴である（図1）。結果として、これまで延々と繰り返してきた、進化するサイバー攻撃とそれに対応する防御の“イタチごっこ”から抜け出すことが可能となる。

図1　全日本空輸のエンドポイントにおけるAppGuardの動作イメージ

多層防御で外部からの脅威を最小化することに加え、あらかじめ設定されたポリシーに反する動きをAppGuardで封じ込める。サイバー攻撃の成立に不可欠な動作を実行させないことで、「プロセスのゼロトラスト化」を実現する

「AppGuardを使えば、ユーザーの操作や通信を発生させる機器、システム処理のプロセスを常にチェックすることが可能となります。仮にウイルスに侵入されたとしても『やってはいけないことをさせない』ため、いったんユーザーの端末に入れておけば、あとは基本的に何もしなくても安全を保つことができます。侵入したウイルスや発見された脆弱性は、優先度を付けながら余裕をもって排除すればよいのです。これはセキュリティー人材の負荷軽減はもとより、劇的なコスト削減にもつながると判断し、導入を決めました」と和田氏は語る。

ただし、AppGuardの導入に際しては、従来のエンドポイントセキュリティーとは違った苦労があったのも事実だ。「やってはいけないことをさせない」ためには、各アプリケーションが動作するプロセスを細かく正確に読み解いた上で、「やってもよいこと」をポリシーとして定義しておかなければならず、膨大なログの解析やテストが必須となる。

「この作業のすべてを内製でまかなうことはできず、Blue Planet-worksの全面的なサポートを受けることで、適切なポリシーを定義することができました」と振り返る和田氏は、一方でこのようにも語る。

「過去のエンドポイントセキュリティーへの取り組みで重ねてきたのは、攻撃者の新たな手口や技術を把握して策を講じるといった、本業とまったく関係ない部分での苦労ばかりでした。これに対してAppGuardの導入に際して行ったプロセス解析やポリシー定義の本質は、自社の業務の現状を把握し、あるべきITガバナンスを確立するための取り組みにほかなりません。さらにそこから得た成果や知見は、今後のDX推進でも大いに役立ちます。同じ労力やコストをかけるならば、自社のプロセスやポリシーを見直す方向に舵を切りたいと私たちは考えました」

• AppGuard事例資料一括ダウンロード

最初の導入から約7年が過ぎた現在、AppGuardは同社のエンドポイントセキュリティーの運用に大きな改善効果をもたらしている（図2）。

図2　AppGuard導入による効果

導入して7年、重大なセキュリティーインシデントが1件も発生していないことはもちろんだが、様々な導入効果を生んでいる。特に、24時間365日体制で行っていた監視工数が大幅に削減できた点は大きい

「以前は24時間365日体制で行っていたEDRのアラート監視を、現在は所定の業務時間内のみで行っています。これに伴いSOC（Security Operation Center）組織の担当者の作業負荷は3分の1以下に削減され、より広範かつ高度なセキュリティー施策の立案・検討に専念できるようになりました」と和田氏。

もちろん、アラートの監視時間を大幅に短縮してもセキュリティーレベルは低下していない。「実際にAppGuardを導入してから今日に至るまで、重大なセキュリティーインシデントは1件も起きていません」と和田氏は強調する。

一方で、ユーザーが使用している端末の快適性は向上している。

「パターンマッチング型であれ、振る舞い検知型であれ、端末上で動作するアンチウイルスソフトは、その処理自体に重い負荷が発生してアプリケーションのレスポンスを低下させていました。これに対してAppGuardのモジュールは軽量で、動作も非常に軽快です。そして何よりパターンファイルやプログラムの更新も不要なため、業務途中でアプリケーション操作を邪魔することもありません」（和田氏）

ただ、今後に向けて取り組むべきことは、まだ多く残っている。中でも急務となっているのは、近年多発しているサプライチェーンを狙った攻撃への対策だ。「自社の守りを固めるだけでは不十分で、様々な業務で連携し、ネットワークでつながっている企業全体のセキュリティーを底上げしていく必要があります。そのためにもANAグループ全体、さらには協力会社へのAppGuardの横展開を後押ししていきたいと考えています」と和田氏は話す。

この構想に至った背景には、AppGuard導入のハードルが下がっていることがある。同社をはじめ先行してAppGuardを活用してきた企業から寄せられた様々な要望や意見、実務を通じて培ってきた運用ノウハウなどを取り込む形で、ログの解析や可視化、レポーティングなどの支援機能のブラッシュアップが図られてきているのだ。中小規模の企業まで含めて、あらゆる企業でAppGuardを活用し、そのメリットを享受できる環境が整ったといえるだろう。