情報流出対策で3回目の共有会議-JTBと楽天の担当者が登壇

  • 2016年10月2日

情報共有会議の様子  観光庁は9月30日、旅行会社を対象とした「情報共有会議」の第3回会合を開催し、16日の「旅行業界情報流出事案検討会」で実施した札幌通運の情報流出事案に関する検証や、旅行会社の中長期的なサイバーセキュリティ対策に向けた議論について報告した。この日はそのほか、旅行会社を代表してジェイティービー(JTB)が現在取り組んでいる中長期的な情報流出対策について説明。楽天もサイバー攻撃と情報漏えいに関する講義を実施した。会合には約90名が参加した。

観光庁次長の蝦名氏  冒頭で挨拶した観光庁次長の蝦名邦晴氏は、今般のJTBなどによる情報流出事案について説明した上で、同庁が中長期的な再発防止策を示すガイドラインの策定や、旅行会社との情報共有のためのウェブサイト開発などに向けて来年度予算を要求していることを説明。あわせて「サイバーセキュリティ対策には業界全体で取り組む必要がある」と強調し、日本旅行業協会(JATA)と全国旅行業協会(ANTA)がこのほど共同設立した「ITセキュリティ特別委員会」への積極的な協力を呼びかけた。

 会合では観光庁が札幌通運の事案について得られた知見を紹介。事案発生時の原因調査などのため、クラウドサービス提供事業者とはあらかじめログの提供などに関する契約を結んでおくよう求めた。そのほか、クラウドセキュリティシステムの導入や、開発したアプリケーションなどの継続的な運用に向けて、長期的な視野で人材を確保・育成することなども重要とした。

 同庁は、中長期的なサイバーセキュリティ対策については7つのポイントを説明。体制の整備、業界内外における情報収集、インシデント発生時の緊急対策手順の策定と見直し、復旧手順の策定、保有システムの点検とリスク評価の実施、社員教育、PDCAサイクルの構築に取り組むよう求めた。

 JTBグループ本社ITセキュリティ対策室室長の北上真一氏は、旅行会社が取るべき中長期対策に関してプレゼンテーションを実施。冒頭で「ウイルス対策ソフトを導入していれば安心、というのはすでに神話」と述べ、「今日では『ウイルスに侵入された場合に、いかに重要な情報を持ち出させないようにするか』という方針の大転換が必要」と強調した。具体的な対策としては、個人、組織、ルールなどによる多層的な防御の重要性を示したほか、従来のIDやパスワードなどによる認証以外に、ソーシャルメディアなどのセキュリティコードや、生体認証を組み合わせた多要素による認証方法の導入などが必要とした。

 楽天でトラベル事業サービス管理室シニアマネージャーなどを務め、「ITセキュリティ特別委員会」の副委員長も務める秋元智広氏も、北上氏と同様に「サイバー攻撃に対しては、侵入抑止だけでなく侵入を想定した対策が必要」と説明。業界全体で取り組みを進めることの重要性を強調した。