登壇者の自己紹介
和田昭弘氏:ANAでサイバーセキュリティを担当している、和田と申します。肩書きとしては、スライドに書いてあるとおり、ANAホールディングス グループIT部にも所属していて、ANAグループ全体のサイバーセキュリティなども所管しています。
さらに、リスクマネジメントチームにも所属しています。航空会社のリスクマネジメントは多々あるわけですが、その中の1つに、情報漏洩というものを定義しています。そういうこともあり、肩書きだけはたくさんあります。給料は別に変わっておりません(笑)。
(会場笑)
「航空機の事故」「紛争・戦争」「疾病」「情報漏洩」 航空会社のリスクマネジメント
セキュリティの話を始める前に、まずは航空会社のリスクマネジメントについてちょっとお話をしていきたいと思います。
航空会社はいろいろとリスクマネジメントがあるわけですが、その内の1つに、あってはいけないことですが、航空機の事故というものがあります。安全を堅持するために定期的に、安全の教育を受けながら、安全に対する意識醸成を行っています。
リスクの2点目は、紛争・戦争です。この紛争・戦争は、まさに今ウクライナとロシアで行われていますが、今ここで何が起きているか、航空会社への影響をご紹介します。
ヨーロッパに行かれた方はすでにご存じかもしれませんが、昔はヨーロッパに行く時に、日本からロシア上空を飛んでヨーロッパに入るという航路がありました。
これで、ヨーロッパまで約12時間ほどのフライトになるわけですが、今何が起きているかというと、やはりロシア上空を飛べないようになったので、今はルート的には、カムチャツカ半島があって、そこの東側から北極圏に抜けて北からヨーロッパに入るというルートと、ロシアと中国の間の国境沿いをずっと陸地をたどって行くというルートがあります。
どちらを取っても、やはりプラス2時間から3時間かかるので、今ヨーロッパに行こうと思ったら、最大15時間ぐらいかかります。それだけお客さまにも負担をかけているということも、経営に対するリスクの1つです。
3つ目は、疾病です。疾病・疫病ですね。みなさんご存じと思いますが、COVID-19の時ですね。2020年の当初から、一切、人々が旅行しなくなった、移動しなくなったということがありました。航空会社だけではなく、鉄道の会社、旅行会社も経営が非常に苦しくなった時期だったと思います。弊社においても、営業収入が9割減という時期もあって、本当に営業の危機でした。
これは4つ目になりますが、航空会社というのは、日々お客さまのデータを扱っています。毎日何百万件ものお客さまのデータを扱う仕事なので、情報漏洩に関しては、非常に警戒をしていますし、そのマネジメントを強くするということを、行ってきています。
初めに、弊社におけるセキュリティの考え方をご紹介したいと思っています。端的に申しますと、ANAのすべてのプラクティスは、「お客さまが安全と安心につながっていく」を目標に取り組んでいます。(スライドの)下の抜粋は、2023年8月にリリースをした、ANAの『統合報告書2023』というものの中に記載をしています。
これが、経営の基盤を支えるものとして、「安全」を定義しています。経営の根幹である、安全を堅持して、安全文化を醸成していく、継承していく。こういうことを、冒頭に書いています。それと同格に、情報の安全を謳っています。
先ほどもお話ししたとおり、日々何百万件ものお客さまの情報を扱っているので、やはりいかに安全に守るかというところが、ライン部門からスタッフ部門までがいつも研究をしているところです。なお、この情報の安全を守るために、サイバーセキュリティ対策として、細かくさまざまなことを書いています。
ここでは説明はしませんが、もしご興味があれば、ANAのWebサイトから『統合報告書2023』というものを参照していただければ幸いです。
ANAグループの紹介
それでは次に、ANAグループの紹介をしていきたいと思います。グループ会社は48社ほどありますが、時間の都合上、今回は6社ほど紹介していきたいと思います。真ん中に映っているのが、ANAです。その右側に、Peach Aviationがあります。こちらは国内線と近距離国際線LCCということで、グループ会社の1つです。
このPeachは、もともと資本関係が3割ぐらいありましたがグループ会社ではありませんでした。近年、Peachがグループ会社になりました。実はPeachも単独でAkamaiさんを使っています。やはり予約・発券においては、Akamaiさんの基盤は、なかなか有用なのではないかなと思っています。
そして(スライドの)一番左側ですが、2024年2月9日から運航を始める、エアージャパンです。バンコク線を皮切りに、中距離国際線LCC会社ということで飛び立っていく予定です。
ちょっと見にくいですが、真ん中に、ANA Xという会社があります。これまで、マイルは飛行機に乗ったお客さまが得られる特典のようなものでしたが、これからは、ANAを常に感じていただきたい、生涯ANAと付き合っていただきたいということを通して、マイルを貯めることができます。ANA Xはそれを特典航空券だけではなく、さまざまなものに交換できるサービスを提供しています。旅行だったり、ひいてはANAが常に日常に感じられることを目指している会社です。
ご存じの方は多いかもしれませんが、歩けば歩くほどマイルが貯まるアプリも作っているので、ぜひ使ってみていただければと思います。一番下の段になりますが、ANA NEOという会社があります。こちらは、「ANA GranWhale」というメタバース事業をやっています。
その右側が、avatarinという会社ですが、こちらは「newme」というロボットを使って、遠隔で旅行が体験できるということをコンセプトにいろいろな取り組みを行っています。リアルの旅行が、アバターやメタバースに取って代われるんじゃないかという記事をご覧になったことがあるんじゃないかなと思います。
弊社や弊社グループとしては、リアルでもバーチャルでもANAを感じていただくことを目指しています。売上は、ここに書いてありますが参考程度に見ていただければと思います。本日は、ANA×Akamaiということなので、ANAグループの紹介はこのぐらいにして、Akamaiとの関係をこれから紹介していきたいと思います。
航空券のインターネット販売における課題解決のために「Akamai CDN」を導入
「ANAグループのビジネススタイルとAkamaiとの関係」ということですが、ANAは巨大なBtoC企業です。ミッションは、「確実にお客さまに航空券をお届けすること」です。航空券のインターネット販売は、1997年から開始していて、まさに幾星霜経とうとしていますが、やはり発売時は、アクセス集中というものが非常に大きな課題でした。
そういうこともあり、2001年に「いろいろなソリューションがないかな」と探している時に、AkamaiのCDNサービスに出会いました。そして、2001年にAkamaiのCDNを導入しました。こちらの会場にいらっしゃるみなさまは、Akamaiのプロダクトをたくさんお使いなんじゃないかなと思いますが、CDNとは何なのか? という方がいるかもしれないので、一言ご紹介しておきます。
右上に、弊社のWebサイトのトップページがあります。それは日本のサーバーに置かれておりますが、20万台以上ある世界中の端末にキャッシュをすると聞いています。
そうすると、いちいち日本(のサーバー)に聞くことなく、米国にお住まいのお客さまは米国に一番近いAkamaiのサーバーにアクセスをする。ジャカルタにお住まいのお客さまは、ジャカルタに一番近いAkamaiのサーバーにアクセスするということで、常に、みなさまは高速にANAの情報がゲットできる。こういう環境を提供していただいています。
インターネット販売は6パーセントから74パーセントまで拡大
インターネットの販売の推移ですが、1997年に始まって2000年の段階ではまだまだ6パーセントほどでした。インターネット予約の推移とご理解いただければと思います。そして、当時は、例えばお盆などは下りは満席だけれども上りはガラガラとか、そういう飛行機がたくさんありました。
そういう課題もあり、空気を飛ばすぐらいであれば1万円でもいいからお客さまに乗っていただこうということで、2001年に超割というものを始めました。全国一律空いていれば、1万円という予約を開始しました。これによるアクセスを予想していたので、2001年のAkamaiのCDNの導入が非常に功を奏して、順調に売れていきました。といったところで、非常にマーケティングの強いツール、エンジンとなりました。
ここには記載していませんでしたが、当時、インターネット以外に予約センターでの予約がありました。これが、2002年には逆転をして1997年から5年で、インターネットでの予約が増えました。
その後超割は、早割、早く予約をしたら安くなりますよとか、あとはSuper Valueというようにかたちをいろいろ変えました。マーケットのニーズや、販売戦略に合わせて割引運賃を出す時は、やはりスパイク状のアクセスが来ますが、これを柔軟に吸収していただいたのが、AkamaiのCDNサービスでした。
増加するサイバー攻撃にもAkamai製品で対策
ちょっとここからセキュリティの話をしようかと思いますが、インターネットが便利になる裏側では、必ずサイバー攻撃が発生しています。2012年のロンドンオリンピックぐらいから、よくテレビでも取り上げられるようになったのではないかと思います。
ご存じの方も多いかもしれませんが、ロンドンオリンピックの開会式では、電源装置の過負荷攻撃であったり、期間中は2週間で総計2億2,000万回のサイバー攻撃を観測した、など報道もあったかと思います。弊社においてもやはり同様の攻撃を受けていて、DDoSしかり、あとはアプリケーションの層でも、同様のアタックが行われています。
これは何かというと、空席照会。お客さまの使い勝手がよろしくなかったばかりに、何回も何回も同じ操作をしなければ自分が得たい空席照会にたどり着けなかったということもあり、それで何回も空席照会に来るということがありました。一方で、やはりそれを組織立ってやる方々もいたのでWAF、DDoS対策、こういったところも行ってきています。
(スライドを示して)真ん中にコンテンツを入れていますが、このコンテンツが、非常にリッチになってきています。写真などをどんどん使うことによって、情報量が増えていきました。情報量が増えていくことにより、やはりインターネットの通信費用が右肩上がりにものすごく上がっていったという事実もあります。
こういう中で、やはりインターネットの通信費用の低減というのは1つの課題でした。そして(スライドの)右下になりますが、このDDoSじゃ検知し得ない、人間のような操作や、スローな攻撃。こういったことを受けていることも認識をしています。
そういう中で、順次Akamaiのプロダクトの導入をしてきています。ちょっと名前を読み上げると、2016年3月に、Akamaiの「KONA Site Defender」の後継である、「App & API Protector」。こちらをDDoSとWAFと一緒に導入しています。あとは通信費削減ということで、2016年9月に「Image Manager (現:Image & Video Manager)」というものを導入しています。
そして2018年6月。「Bot Manager」というものを入れて、こういうBOTからの攻撃の低減を実現できています。
「戦略的パートナーとしてのAKAMAI」ということで、今まで話をしてきたところを簡単に年表にまとめると、1997年からインターネット販売が開始されて、2001年にAkamaiのCDNを導入しています。Akamai Japanさんは2003年にできているので、なんとAkamai Japanさんができる前から、Akamaiファンだったということです(笑)。
それから先ほどお話ししたいろいろなソリューションを導入しながら、ビジネスを拡大してきました。2018年に、冒頭に基調講演をいただいたTom Leightonさまにお越しいただきました。写真には弊社の当時の常務取締役も写っていますが、「The Long Term with AKAMAI Award」というものをいただいています。
CX向上への施策1 仮想待合室「Queue-It」の導入
それから、2020年、コロナ禍になり、お客さまが移動しないとなると、どれだけ良い予約システムを持っていても誰も使わないということがあり、非常に辛い3年間でした。
そういう中でも、Akamai社からは、月額の費用を割引していただくなど、多大なご支援をいただき、なんとかその他のさまざまなステークホルダーの援助を得て、パンデミックを乗り越え、2022年12月1日に70周年を迎えました。
それからお客さんが戻ってきたということで、さらなるCX向上に向けて取り組みを始めました。まずは70周年運賃ということで、1回目は11月29日から創立記念日の12月1日の3日間、国内線どこでも7,000円セールというものを発売しました。2月28日と3月1日の2日間は、平日7,000円、休日1万円という運賃を設定して発売をいたしました。
これがリアルな数字で、下にギザギザとなっているのが日々の売上の推移です。この5日間は、ものすごいスパイクの予約がありました。(スライドを示して)ここで、通常時の10倍から15倍ぐらいのアクセスが発生しました。そして2回目では、我が社の一番大きなコンピューターである、国内線の旅客システムの処理件数が最高値を叩き出しました。
この裏側で何が起こっていたかというと、やはり1時間ぐらい待たされたお客さまもいたと推測をしていますし、「いつつながるかわからない」「更新ボタンを押さなきゃいけない」というイライラなど、いろいろと満足度合いが低かったのではないかなというところです。
これを改善するために、Akamai社さんと話をして、今回「Queue-It」、仮想待合室の導入を決定しています。こちらはサイトの図ですが、私が開発担当の方にお願いをして、テスト画面を持ってきたので、みなさん最初に見られた方ということになります。
10月以降にリリースする予定です。ここで何が良いかというと、自分があと何分待てばいいのかがお客さまがわかるだけで、左のような、「いつつながるかわからない」という精神的負担がなくなることで、かなりのお客さま満足につながるのではないかなと考えています。
CX向上への施策2 フィッシングサイトは「Brand Protector」でテイクダウン
そして、さらなるCX向上に向けての2つ目ですが、昨今、国内において偽サイト、フィッシングサイトの発生件数が激増しています。ANAを騙る偽サイトが頻出する状況になってきています。IPAの「情報セキュリティ10大脅威2023」においても、フィッシングサイトによる詐欺は大きな脅威とされています。ANAも見つけるたびにWebサイトに掲載していますが、やはりなかなか効果が伝わりにくいというところで、効果が薄いのかなと思っています。
そういう環境を踏まえて、「Brand Protector」を導入しています。これは、ANAのインターネット上にあるANAの偽サイトを検出して、スコア化して、さらにテイクダウンまでしてくれるサービスです。お客さまの情報の安全をサポートできているのではないかなと信じています。
ここにある画像も、運用している時に見つけたもので、ちょっと例として出しています。上に、ANAのロゴがあって、下にいろいろな案内があります。
なんとなくANAから来たようなサイトに見えますが、中身は、「ANAのマイレージクラブの番号を入れてください」「クレジットカードの番号を入れてください」「有効期限を入れてください」「セキュリティコードを入れてください」「3Dセキュアの暗証番号を入れてください」となっていて、この時点でもう偽サイトだろうとわかる人が多いのではないかなと思いますが、やはり引っかかる人はいるということで、こちらのBrand Protectorでは99パーセント偽サイトであると、赤い丸が付いています。こういうものを検知してくれるので、すぐにテイクダウンをして、数日後にはNot Foundになる。こういうソリューションです。
このBrand Protectorは、偽サイトのテイクダウンには非常に有効です。他に、いろいろと使っていく中でわかったことがありました。例えば、シャドウサイトですね。作ったけれど運用されていないサイトだったり、開発中のサイトの設定が漏れていてインターネット上に出ていってしまっていたりなど、こういう事例も発見をしてくれます。
設定不備なども、このツールを使って見つけることができるので、シャドウサイトや開発の情報共有をする中での設定ミスも、検知ができます。
終わりになりますが、ANAは、Akamai社とともにお客さまの快適な空の旅の始まりであるインターネット予約を、より快適に、より安全に、提供して参りたいと思います。ものすごく暑い夏が終わり、ちょっと秋を感じられるシーズンになってきたかと思います。秋の行楽シーズンの移動においては、ぜひANAをよろしくお願いいたします。どうもご清聴ありがとうございました。
(会場拍手)
