JALが泥臭く進めるセキュリティの“自分ごと化”　「現場との二人三脚」で進めた施策の裏側を訊く

“人”が原因となった重大セキュリティインシデントを経験、全社員の意識改革に着手

　同社がセキュリティの重要性を痛感した過去の経験として、2014年9月に顧客情報システムへの不正アクセス事件がある。社員による標的型メールの開封が端緒となり、マルウェア感染から認証情報（ID）が奪われ、最終的に4,131件もの個人情報が流出した、重大なインシデントだ。このインシデントにより、セキュリティ対策は「万が一のための経費」ではなく「事業継続のための必須投資」であるという意識が、経営層の中でも明確に芽生えた。

　そこから同社はゼロトラストやSASEの導入など、システム面でのセキュリティ強化を重点的に行った。そして、2024年からは「人・組織のセキュリティ強化」もより一層強化しているという。

　「今までの当社のインシデント事例を振り返ると、不適切なUSBの利用や怪しいメールリンクへのアクセスなど、『人の行動』が原因の多くを占めていた」と嶋戸氏。情報セキュリティ担当者がいくら危機感を訴えても、他部門の社員との間で意識の差が生じてしまうといった壁が存在していた。

　この課題を乗り越えるため、JALは社員が日々の業務で従っている「航空の安全」の文化と、「情報セキュリティ」を結びつけるという考え方を採用。グループ子会社も含めた全会社が守るべき「JALグループ情報セキュリティ規程」の中に、情報セキュリティとは顧客および社員、ならびに会社を守ることであり、JALグループにおける社会的責務であるというメッセージを入れ込んだ。

　社員一人ひとりが日々の業務を行ううえで意識している「安全懸念を感じた時は迷わず立ち止まる」「情報を漏れなく速やかに共有する」「問題を過小評価せず的確に対応する」といった行動原則を、情報セキュリティにも適用することで、全社員のベクトルを合わせようと考えたのだ。

　同社はこの考えをもとに、「JAL情報セキュリティアウェアネス活動（以下、アウェアネス活動）」を推進。この活動は単なるeラーニングの実施ではなく、課題の可視化や現場との対話、行動変容を促すための施策を組み合わせた複合的な取り組みとして展開された。

　取り組みの内容を詳しく見ていこう。同グループは、セキュリティ文化を醸成するにあたり、全社一律の研修やメール訓練のほかに、まず「課題の可視化」、そして次に「現場との共同活動」を実行した。

　まず、情報セキュリティ基準に関する理解度を測るため、全社員を対象とした意識調査アンケートを実施し、現状課題を可視化した。これは、平易な言葉で記述した複数の設問で構成され、社員の理解度を定量的に評価する指標として活用された。評価は、セキュリティリスクの認識と具体的な対処方法の理解度に基づき、以下の4段階のレベルに分類される。

　アンケートの結果、特定の業種では全社平均よりも明らかに理解度が低いことが判明。たとえば、とある業種Aでは「重要・取り扱い注意といった意識はあるが、対応手順の詳細を学ぶ機会が少なく定着していない」、とある業種Bでは「現場運用のリソースが厳しく、研修を受講する十分な時間の捻出が困難」「外国籍社員の増加にともない、情報セキュリティに関する難しい要件内容の理解が難しくなっている」といった課題が浮き彫りとなった。