本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
ここ最近は、ランサムウェア被害を中心に日系企業のセキュリティインシデントが後を絶たない。中でも顕著なのが、海外子会社での被害や海外子会社を経由しての国内での被害だ。グループ全体でのシステムやデータ連携が行われる中で、サプライチェーンリスクや地政学リスクを背景に、これまで以上に懸念が高まっている。今回は、日系企業の“最大の脆弱性”とも言える海外拠点におけるセキュリティの問題点と解決に向けたヒントを考察する。
セキュリティに関して日系企業を最も悩ませているものの一つが、俗にいうグローバルガバナンスだろう。セキュリティやコンプライアンスの責任者にとっては、以前から課題意識を高く持っているテーマの一つだ。特に最近では、コロナ禍と相まって海外拠点でセキュリティインシデントが発生していることにより、業種を問わずグローバルガバナンスに対する温度感が確実に変化している。
本社と海外拠点でセキュリティがバラバラな理由
海外拠点のセキュリティ強化を阻害する課題が幾つかある。中でも顕著なのが、海外子会社でのセキュリティ対策の不履行や別の対策を行っているパターンだろう。現地担当者から「本社の指示通りに実装した」と報告を受けていたにもかかわらず、セキュリティインシデントの発生を受けて現地に赴くと、実態が全く違っていたという経験を持つセキュリティ担当者は多いのではないだろうか。こうしたことは地域差や個人差はあるものの、仕事に対する社会的通念の違いによって引き起こされる傾向にある。
本社で採用している方針やセキュリティベンダー、ツールを海外子会社が納得しない場合には、現地で独自にツールを調達することになり、グループ全体で見た時には、いびつなセキュリティ対策になっているケースが特に多いだろう。全体方針に関する意思疎通が機能していなかったり、海外拠点の声が大きかったりする場合に、この問題は顕著になる。
セキュリティ運用を自社で行う、あるいは外部に委託するという違いも恐らくあるだろう。日本では慢性的なセキュリティ人材の不足やベンダー就職率の高さから、セキュリティ担当者を十分に確保できている企業が決して多くはない。結果的に、セキュリティベンダーやシステムインテグレーター(SIer)、コンサルティング会社への依存度が高くなっている。逆に欧米の場合は、ユーザー企業がセキュリティ対策を自社で構築、運用していることが多く、比較論にはなるが、セキュリティ人材不足の問題が日本ほど深刻ではない。国内本社よりも海外拠点のセキュリティチームの方が高い知見を持つ場合には、特に反発や摩擦のような形で、国内本社とは異なるツールが独自に調達されることになる。
マネジメントスタイルの違いも影響を及ぼしているだろう。欧米に本社機能がある企業では、ITやセキュリティに限らず、さまざまな業務領域で本社の方針が実装されることが一般的だ。逆を言うと、各拠点や担当者の独断が許されないことになる。だが、日本では調和を重んじるが故に、本社側で定めたポリシーの実装を強制しにくいという問題もあるだろう。
言語的な問題もあるが、コミュニケーション不足やそもそもコミュニケーションパスがないといった問題もある。海外子会社はおろか国内の子会社でさえ現地責任者や担当者と会話したことがない、あるいは存在を分かっていても一度も会話をしたことがない、最悪の場合、誰が担当なのかさえ把握できていないといったケースもある。コミュニケーションする経路や手段が確立されていなければ、ガバナンスを効かせることは事実上不可能だ。
結果的には、本社と海外拠点でセキュリティがバラバラの状態になってしまい、企業全体で見た時にいびつなインフラになってしまう。セキュリティ上の不備を抱える海外拠点がインシデントを経験した延長線上で、被害が国内の本社に及んでいるケースもある。国内外で共通のセキュリティになっていないだけでなく、海外拠点と国内本社をつなぐネットワークの部分でセキュリティチェックを行わないケースが多いからだ。従来の境界型防御の考え方がここにもまだ色濃く残っている。