国内外に多数の拠点を抱えるグローバル企業において、本社部門が組織全体のセキュリティをどのようにマネジメントしていくかは難しい課題である。当社においてもグローバル企業の本社IT・セキュリティ担当の方から次のようなお悩みが届くことが多い。
「各拠点にどれくらいのセキュリティ対策を求めるのが良いのか、どこまでできていれば良いのかがわからない」
「現地へ渡航しなくても海外子会社のセキュリティ対策状況を把握するにはどうしたらよいか」
「過去に買収した海外子会社で情報漏洩のインシデントが発生したが、会社の手順通りの対応が行われずに被害が拡大してしまった」
「オフィスへの出社を前提としたセキュリティルールや体制がどこまで機能するかわからない」
コロナ影響を経て企業のビジネスや勤務の形態が変わり、ルール・管理体制やIT環境の見直しが求められている昨今において、グローバル企業の本社部門が取り組むべきセキュリティ活動の課題はより難易度が上がっていると言える。
そこで本記事では、ポストコロナの時代において、グローバルにセキュリティ対策を推進し、全体をマネジメントする際のポイントを、平時の現状の可視化および有事への備えの2軸でご紹介したい。
平時の現状の可視化
セキュリティ対策状況を可視化することの大切さと難しさ
組織全体で効果的にセキュリティ対策を推進するためには、ルールの策定、管理体制の構築、ツール導入等、様々な観点からの対応が不可欠である。しかしながら海外子会社やグローバル拠点のセキュリティをマネジメントする場合、拠点の所在地・規模・事業の種別等によって、求められるセキュリティの水準や実際の対策レベルが大きくばらつくのが実情である。
そのため、各拠点でどこまで何を実施すべきか検討するために、自社のセキュリティルールに則ったチェックリスト等を作成し、拠点ごとのセキュリティ対策状況(どこまで対策できているか、どこに弱点があるのか)を可視化するのが定石である。
ただし、現地への直接の往訪がいまだに制限される中、時差・言語・コミュニケーションに違いのあるグローバル拠点群とリモートでやり取りを行い、セキュリティ対策状況の可視化を完遂するのは困難である。以降、主な課題と対策をご紹介したい。
対象拠点・確認方法の優先順位付け
自グループの中で可視化すべき拠点数が多い場合、渡航が制限された状況下でそもそもどの拠点からどのように可視化を進めるべきかを迷われる企業が多い。
メリハリを付けてグループ全体を可視化するにあたっては、リスクベースでの優先順位付けが重要である。具体的には下図のように会社として着目する重要なリスクを評価軸として洗い出し、各拠点の比較検討を行う。導出された拠点ごとのリスク評価結果に則り、ふさわしい評価手法(Web会議、アンケート等)を選択すると良い。
図2.アセスメント対象拠点の決定プロセス例
代表的なセキュリティアセスメントの手法とメリット・デメリットは下表のとおりである。エクセルやWebベースでのアンケート用紙を作成し、各拠点の回答を集めて対策状況の評価を行う企業が多いが、回答内容の妥当性が十分に検証できず、正確な状況把握が難しい場合もある。
そのため、リスク・重要性の高い拠点群に対しては、アンケートとWeb会議を組み合わせた対面での質疑応答を行い、詳細なセキュリティ対策やリスク管理の状況をヒアリングすることが望ましい。
図3.アセスメント手法ごとの特徴例
当然ながら、優先すべき評価観点や深掘りすべきリスクは会社によって異なる。当社ではこれまで、世界各国150拠点以上でグローバルセキュリティアセスメントのご支援を行っている。ご自身の会社においてどのようなアセスメントを実施するべきか迷われる場合は、お気軽にご相談いただきたい。
また優先順位付けの結果、アセスメントすべき拠点数が多いのにも関わらず、担当者のリソースや知見が不足していて、全てをカバーしきれないという状況もありえるだろう。
そのような場合は、当社の提供するセキュリティ対策実行支援プラットフォームSecure SketCHをおすすめしたい。Web上で設問に回答することで、各種ガイドラインに沿ったセキュリティ評価をスムーズに実現でき、業界・企業規模などでセキュリティ対策レベルの比較も可能である。
情報収集項目の精査
次に課題になりやすいのが、現場からの情報収集方法である。海外子会社をアセスメントする際には、当然ながら言語や文化、時差の違い等もあることから、コミュニケーションがうまく進まないケースが多い。
特にアセスメントの現場でトラブルになりやすいのは、海外拠点に往訪できないことを理由に本来不必要な範囲まで資料を大量に依頼してしまうことで、準備や確認で双方が疲弊するケースや、海外とのWeb会議でインタビューしたいポイントがうまく伝わらず、やりとりが非効率となるケースである。
現地の経営層からクレームが入ってしまい、対策状況の可視化活動全体に悪影響を及ぼしてしまうことや関係性が悪化してしまうこともある。
こうした状況を防ぐためには、質問事項や検証したい事項の事前精査が重要である。
可視化したい拠点や対象が決まったら、当日回答してほしい具体的な範囲、ポイントを、アセスメント対象拠点のシステム一覧やNW構成等から洗い出す。この際、対策が不足していそうな箇所や想定されるリスクシナリオをあらかじめ仮説立てし、そこから逆算する形で質問事項を具体的に一覧化すると良い。
また、依頼する資料も質問事項と紐づけを行って過不足なく絞り込むとともに、なぜその資料が必要なのか依頼の背景が説明できるよう準備できていることが望ましい。
図4.NW構成をもとにしたヒアリング対象の検討イメージ
当社のグローバルセキュリティアセスメントサービスでは、海外対応の経験が豊富なコンサルタントが、過去のご支援実績を基に策定した現物確認フレームワークを活用することで、海外拠点に対するリモートでの品質高いアセスメントをご支援する。ご関心をお持ちの場合は、お気軽にお問い合わせいただきたい。
有事への備え
前項では平時に実施しておくべきセキュリティリスクの可視化に関してご紹介した。グローバルなセキュリティマネジメントを推進する上では、平時にリスクを可視化するだけでなく、万が一のインシデント発生等、有事に備えた対策も必要になる。
そこで続いて、本社・海外拠点間でのCSIRTの構築および訓練に関してご紹介したい。
CSIRTの構築
CSIRTを構築する際、以下の3つのフェーズに分けて体制整備を行う。
- Phase1. グローバルCSIRT構築の計画策定
- Phase2. グローバルCSIRTの整備
- Phase3. グローバルCSIRTにおけるインシデント対応訓練
Phase1. グローバルCSIRT構築の計画策定
このフェーズでは、グローバルCSIRTの「あるべき姿」について定義する。
「あるべき姿」を検討する際に考慮するポイントの例としては、①本社・地域統括拠点・各拠点のうち、どの拠点にどのような役割を担わせるか、②セキュリティインシデント発生時にどのようなフローで連絡を行うべきか等の連絡体制文書の整備、が挙げられる。
先述したセキュリティアセスメントのような可視化活動が既に行われており、各拠点の状況が明らかになっている場合は、どのように現場で既に行われているセキュリティ維持・向上のための活動をCSIRTに組み込んでいくか検討すると良い。
Phase2. グローバルCSIRTの整備
続いてのフェーズでは、前フェーズで検討したグローバルCSIRT構築計画や連絡体制関連文書を各拠点へ展開し、連絡体制を整備した上で、有事の際の対応指針や対応フローを明確化する。
本社―海外拠点を結んだ円滑なコミュニケーションが可能な体制構築をするにあたって、各拠点の担当者が関連文書を理解できるように各地域の言語への翻訳や、整備した文書の内容について説明会を行い、本社で計画・整備したCSIRTの浸透を図る。
海外の拠点数が多い場合は、各拠点から来る問い合わせや連絡に対応するには負担が大きい。その場合は、各地域に存在する地域統括拠点に、各拠点からの連絡を集約する窓口を設置し、問い合わせの一次対応の役割を担わせる。
そうすることで、問い合わせの返答にかかる時間の低減に繋がり、全拠点の状況を把握する本社の負担を軽減できる。
Phase3. グローバルCSIRTにおけるインシデント対応訓練
続いてのフェーズでは、前段までのフェーズで整備した体制や文書の内容をもとに、インシデント対応を行うことが出来るかの確認をする。
標的型メールによるランサムウェア感染や、悪性サイトへのアクセスによるアカウント情報の窃取等の脅威シナリオ毎に予め定義した対応手順をもとに、セキュリティインシデントの初動対応~封じ込めまで、各担当者が適切な行動を行えるかの確認をする。
先述のように、地域統括拠点に1次対応を行う役割を担わせている場合は、地域統括拠点の担当者を対象としてインシデント対応訓練を行う。その場合、各拠点の担当者からあった連絡に応じて、どのような指示を行い、その一方で、何を本社に報告する必要があるかの確認を行う。
インシデント対応訓練の結果を受けて、各拠点に展開した関連文書に過不足が無いか、担当者のリテラシや文書の理解度を可視化し、以降のグローバルCSIRTを中心とするセキュリティ維持活動の改善を図る。
グローバルCSIRT構築を成功させるために
以上が、グローバルCSIRT構築の一連の流れである。ただし、実際に構築を行うと、「時差」「地域差・文化の壁」「距離の壁」等の課題が生じることもあり、それぞれ対応を検討することが重要である。
また、各拠点の担当者は、日常の業務に加えてグローバルCSIRTの維持活動に参加することになるため、本社から一方的に協力要請するだけでは理解や協力を得られない。
そのため、本社としても、各拠点の担当者の脆弱性情報や脅威動向の共有等による綿密なコミュニケーションを通じて、各拠点の担当者の負担軽減に繋がるCSIRT活動の実施を推奨する。
グローバルCSIRTにおける平時からの取り組みをすることによって、万が一セキュリティインシデントが発生した際に円滑に連携を行えるようになり、セキュリティインシデントの被害を最小限に食い止められる。
まとめ
本記事では、ポストコロナの時代において、グローバルにセキュリティ対策を推進し、マネジメントする際のポイントをご紹介した。
平時では各拠点のセキュリティ対策状況の現状やリスクの有無をメリハリ付けて可視化すること、有事に備えてCSIRTを構築し、万が一インシデントが起きても適切に対応できるような訓練を行うことが重要である。
当社では、上記に関連したコンサルティングサービスやソリューションを数多く取り揃えている。グローバルセキュリティに関してお悩みがあればお気軽にお問合せいただきたい。
