IT TREND BLOG激増する海外子会社の情報漏洩のリスクに気づけていますか?

  • 2018年12月13日
  • グローバル
  • セキュリティ対策

日本企業の海外進出が加速する中、国内の情報漏洩対策は標的型攻撃対策、シャドーIT対策が進む一方、海外拠点、海外子会社については情報システムが関与せず、現地に任せきりというのが現実ではないでしょうか。しかしながら事業拡大に合わせて情報セキュリティの範囲もグローバル対応が求められています。
「今すぐ対応すべき」にも関わらず「優先順位が低くなってしまう」海外セキュリティの課題を見ていきましょう。

なぜ日本の情報システムが海外子会社の情報セキュリティ対応をしなければならないのか?

なぜ日本の情報システムが海外子会社の情報セキュリティ対応をしなければならないのか? イメージ

予算のかけられない海外子会社こそ手厚いセキュリティ対策が必要です。

当然のことながら日本企業の情報が漏洩するリスクを減らすためです。海外子会社のプロジェクトは別会社であるためやりにくい上、自分たちが管理しているシステムの範囲外のことまでやっていられない。何かあってもすぐに対応はできないなど出来れば避けて通りたいのが海外セキュリティかと思います。そういった認識が多いのも事実ですし、そういった企業こそが日本の情報を海外子会社経由で情報漏洩させてしまっているとも言えます。攻撃者心理からすれば当然で、強固にされた日本のセキュリティを突破するよりも、手薄な海外子会社経由で日本の情報を搾取しようとします。
ニュースやお客様の現場を見ていますと海外子会社経由で情報漏洩している事件も増え始めていますし、弊社の調査でも海外セキュリティ対策に対する課題をお持ちのお客様は非常に多いという結果を示しています。
ビジネス詐欺メールやサプライチェーン攻撃なども横行するようになり、海外子会社はより狙われやすく、情報システム不在の中でセキュリティリテラシーの低い現地スタッフ、品質がバラバラの現地ITベンダーと、情報セキュリティを取り巻く海外の環境は混沌を極めています。もう既に大事な情報が持ち出された後なのかすら分からないのが現状ではないでしょうか。

海外子会社の情報セキュリティを日本の管理下に置くことはできるのか?

可能です。そのためには内部・外部の協力体制とITサービスが必要となります。

  • 現地の海外子会社の理解と協力を得ること

    これが一番難しく、もっとも重要なポイントでもあります。海外拠点は日本人社員と現地スタッフで構成されています。ITを利用する現地ユーザの理解と協力なしに情報漏洩を防ぐことは不可能です。当然性悪説に基づいてセキュリティ対策の運用は実施されますが、ここでいう協力とはセキュリティ対策導入時の現地情報の開示やプロジェクトへの参画を意味しています。ここで現地の社長や現地スタッフが担う情報システム部に適当な対応をされてしまっては、全く進まないプロジェクトとなります。そのためにも日本の情報システムと海外子会社の経営を日本から担当する部門がタッグを組んで進めることが必須となります。

  • 日本側でやりとりできるグローバルITパートナーの支援

    海外といっても国の数だけ状況は全く異なります。必要な機器、エンジニア、運用体制を、自前で調達・管理するのにどれだけの調整が必要になるでしょうか。そもそもどこに相談するべきかの判断も難しく、国内を担当しているベンダーが必ずしも進出している海外拠点のサポートに最適とは限りません。そのためグローバルにカバーできる実績・ノウハウを持っているICTパートナーと一緒に進めていく必要があります。当然国ごとに現地ベンダーがいて安い費用で実施する場合もありますが、全ての国で一元管理や求める品質を保つことは不可能ですし、現地ベンダーとのやりとりを日本の情報システム部で実施するのは、非常にタフな結果になります。そのため日本のグローバルに強いICTパートナーに支援してもらうことが重要となります。

  • 時差、距離、言語、文化、地域を越えて使えるクラウドサービス

    情報漏洩を防ぐには常に最新の脅威に即した柔軟なセキュリティ対策が求められますが、それに加えて海外のセキュリティ運用という高いハードルが立ちはだかっています。時間と場所を越えて、最新の状態で全ての海外子会社の管理と運用をするのはクラウド型のセキュリティサービス以外不可能ではないでしょうか。エンドポイント、Webセキュリティ、メールセキュリティ、クラウドセキュリティ、IPS/IDS、認証など、日本で一括可視化、防御、管理を実現するにはセキュリティ機能のクラウド化は最善策であり、これなしに海外子会社の情報漏洩を防ぐのは難しいといえます。

なぜセキュリティクラウドが海外固有のセキュリティ事情を解決できるのか?

なぜセキュリティクラウドが海外固有のセキュリティ事情を解決できるのか? イメージ

スピーディーな展開、日本からの管理、初期投資抑制などのクラウドならではの特長を最大限に活かせるためです。

規模の小さい現地の海外子会社のために1つ1つインターネットゲートウェイを構築し、情報を管理していてはグローバルビジネスのスピードに追い付くことは難しい状況です。
また現地のIT管理者に任せられないケースも多いのも事実です。理由は日本以上にジョブホッピングも多い上、現地のIT管理をする人間を性善説で見るわけにもいかないのが現実です。
お金の観点からも、現地ビジネスの立ち上がりフェーズによっては人員も予算も少なく、日本や他の国と同等のセキュリティ対策をするにはビジネス規模が小さいケースもあります。
そういった事情を踏まえてセキュリティのクラウドサービス化はブラックボックスの現地事情を踏まえながら、予算のつきにくい海外セキュリティ対策を実現します。全くわからない現地に個別構築でセキュリティ対策を1ヵ国ずつ行っていては展開が終わった時に、また新たな攻撃が出てやり直しになるかもしれませんし、予算もそこまで取れるかは変化の激しい海外子会社の業績では決断できないのではないでしょうか。その中で独立している現地を日本から管理しなければならないとなるとSIでは限界があります。セキュリティクラウドであればスモールスタートからの展開における拡張性も高く、グローバル拠点をカバーできる上、日本からも管理ができます。変化も激しく、混沌として見える海外子会社のセキュリティ対応には適しているといえます。

海外子会社経由で日本の情報が漏洩するのを防ぐために

日本から現地のセキュリティが守られているのか、侵入されたのかが可視化でき、適切にキルチェーンが機能しているのか、ログが管理され、情報資産を守ることができているのか。
グローバルにOne Security、One Policyで統一して情報資産を管理することが、今後の海外事業展開を踏まえた企業の情報セキュリティのあるべき姿ではないでしょうか。
M&A先の海外子会社、発言力のある独立独歩の海外子会社などを相手に、一筋縄では進められない海外セキュリティの課題ですが、セキュリティクラウドを活用することで、容易な導入を実現しながらセキュリティレベルを向上し日本から管理することは可能です。
日本の情報資産が海外子会社経由で情報漏洩するリスクへ対応するためにも、積極的に海外の事情を踏まえて、対策を進めていく必要があると思われます。
グローバルガバナンス実現に向けた可視化、防御、一元管理を実現することで、海外事業のビジネスリスクを軽減し、より一層拡大を推進していけるのではないでしょうか。