グローバル時代のビジネス展開と情報セキュリティ対策

2015年の国勢調査の結果、日本の総人口は1億2,709万人、前回の2010年から95万人以上の減少となり、いよいよ人口の縮小が顕在化してきました。一方、中国をはじめとしたアジア45カ国の2016年のGDP成長率は、前年実績を下回ったとはいえ5.7％増。その成長の背景のひとつとして、世界の工場としての生産の受け入れ、それをもとに中間所得層の拡大があります。日本にとっては事業の協力先として、またグローバル化における有望なマーケットとして、今後もアジア地域との深いかかわりが続くと予想できます。自社の拠点や子会社がアジアなどへ海外進出するほか、IT業務の委託先が海外になるケースも増えており、日本の企業は、海外、特にアジア地域との距離がますます近づくと考えられます。そこで注意すべきなのは、海外拠点や取引先も含めたグローバルな情報セキュリティ対策ではないでしょうか。

海外における情報漏えいやサイバー攻撃リスクは日本以上

そのアジア地域ですが、情報セキュリティリスクの点でかなりの懸念があることが、このところ取り沙汰されています。その背景には、アジア地域におけるITやインターネットの急速な普及があります。

アジア・パシフィックのインターネットユーザー数は世界でも最大（下グラフ）。日本の人口に対するインターネットの普及率は80％以上ですが、この地域では40％台。まだまだインターネット人口は拡大し、それだけ流通情報が増えるのでセキュリティ構築が後手になれば、マルウェア（悪意のあるソフトウェア）などが流れに乗りやすくなるといえます。すでにアジア地域の情報機器は、日本よりマルウェアの感染率・遭遇率が高いという調査結果もあります（マイクロソフト セキュリティ インテリジェンスレポート 第21版2016年1~6月）。日本ももちろん危険ですが、アジア地域など海外はさらに危険な場合があると考えておくべきでしょう。

アジア地域の次のような要因が情報セキュリティの危険性を高める可能性があります。

1. IT、インターネットの急速な拡大とマルウェア（不正プログラム等）の流通増加。
2. USBなど外付けメディアの高い利用頻度と感染率の上昇。
3. 一般市民における海賊ソフトの使用がマルウェアの温床に。
4. インフラ未整備、経験や知識不足からの情報セキュリティ意識の低さ。
5. 雇用者となる人材の流動性（早期退職者における低いモラル）。

新手のサイバー攻撃を生みやすい環境ともいえ、また、日本と同じ内容の社内研修を現地で行ったとしても、日本と同様の効果が期待できるとは限りません。海外拠点の情報セキュリティ対策を考えるうえでは、現地の環境や文化、そして現状のセキュリティ意識のレベルを考慮することがとても大切です。

グローバル環境に合わせた対策で社内コストの削減を

ビジネスのグローバル化は異文化とのすり合わせ作業の繰り返しです。本業でも品質や生産率の維持で苦労するうえに、情報セキュリティは海外現地スタッフにとって頭の痛い問題です。日常業務に忙殺される結果、きめ細かな対応や定期的なチェックが国内に比べ手薄になっても不思議ではありません。現地採用の管理職に役割分担させるにしても、日本国内のように以心伝心というわけにはいきません。またモバイル機器やクラウドベースのシステムが加わることで、さらにその管理対象が拡大しています。今後、海外の国々も日本における「サイバーセキュリティ基本法」と同じような思想の法の整備が進む反面、それに準拠するための作業もまた現地スタッフの負担になるといえます。

自社の社員を中心にした情報セキュリティリスク対策はIT企業への業務委託費や構築費など目に見えるコストは抑えられますが、次のような弊害を生じさせます。

1. 社員の負担という見えないコスト。
2. メイン業務への集中不足。
3. 新しい脅威への対策の遅れ。

セキュリティコストは、今後も高まる傾向は避けられません。しかし対症療法的で限定的な拠点ごとのセキュリティ対策では偏りが生じるうえ、かえってコスト増になることもありえます。

具体的なグローバルセキュリティ対策のポイント

セキュリティリスクについては現在、複数の要素が関係しています。「IT環境の拡大と変化」「新手のマルウェアの誕生」「クラウドコンピューティングやモバイル機器の利用率上昇」などですが、海外では日本と異なる「就労や会社組織に対する慣習」があり、さらに法規制の違いなども加わります。日本国内よりセキュリティについての業務量は多くなると考えておくべきでしょう。

重要な対策のキーポイントは次の4点です。

1. 管理面での施策としての「セキュリティポリシー」と技術施策の統一性をとるうえでの「標準セキュリティ」の2軸での運用。
2. クラウドも含めたシステム全体の包括／一元的な管理。日々起こる現象や周辺の事情に合わせたセキュリティやシステムのアップデート。
3. 社員の教育は、拠点や工場などを置く国の国民性や社会環境、セキュリティ意識を考慮したもの。

いまやクラウドコンピューティングやモバイル機器はなくてはならないツールであり、企業の情報競争力も決めるほどです。そのセキュリティの対象は社内システムを超えたところにもあり、そこまでをカバーする必要があります。それらを24時間モニタリングし、現象をデータで集積して分析することで、大きなリスクの予兆やセキュリティの不足のパートを探し出せるような仕組みと体制が求められます。そして肝心なのが、人への教育。どんなに優れたシステムでも利用者のミスや故意までをすべて保全するのは難しいです。
セキュリティリスクが世界的に叫ばれる時代です。現在の海外拠点の状況や、海外進出計画について、情報セキュリティの観点で一度見直してみる必要があるかもしれません。海外拠点も含めた情報セキュリティ対策の強化は、取引先をグローバルに拡大する際のアピールポイントになるといえるでしょう。

【関連リンク】

• グローバルマネージドセキュリティ