ITセキュリティーに関連したホットトピックを取り上げ、動向や対策をひもときます。最終回は海外拠点などを持つ日本企業におけるグローバルなセキュリティーガバナンスの構築について解説します。
海外拠点のセキュリティーの現状
セキュリティー対策が不十分な海外拠点がサイバー攻撃を受け、現地の事業が停止するだけではなく、日本本社にも被害が及んだ──。こうした事例が後をたちません。世界的にサイバー攻撃の脅威が増大する中、海外拠点を有する企業にとっては対岸の火事ではなく、明日は我が身と感じられる問題となっています。
残念ながら日本企業は、米国やオーストラリアと比較して、国外の子会社やグループ会社のセキュリティー統制で後れを取っています。対策状況の把握と改善要求まで行えている日本企業は3割程度にとどまるという調査結果もあり、多くの企業で本社としてのガバナンスが不十分である現状がうかがえます。
海外拠点のセキュリティー対策状況の把握・改善要求のガバナンス状況|日本企業のグローバルセキュリティーガバナンスは遅れている
背景としては、日本本社と様々な面で違いがある海外拠点に対し、セキュリティー管理を進める上での定石や勘所が理解されておらず、どう管理するのかやどこから手をつければよいかが手探りとなっている状況が推察されます。
セキュリティーガバナンスの考え方
海外拠点のセキュリティー管理に当たっては、言語の壁、文化の違い、時差などが障壁となり、国内拠点の管理よりも難度が高くなる傾向にあります。国内と同じやり方で海外拠点を管理しようとすると、コミュニケーションがうまく取れずに依頼事項が正しく伝わらない、期限をなかなか守ってくれないといった課題にぶつかりがちです。
これらを乗り越える上で重要なのが、「ルール」「体制」「技術的対策」の3つの柱に注目した包括的かつ継続的なセキュリティー対策です。これらは、どれか一つでも欠けてしまうとガバナンスの有効性が下がってしまいます。それぞれの柱を詳しく見ていきましょう。
柱-1:グローバル共通ルールの策定
海外拠点のセキュリティー管理でよくある失敗として挙げられるのは、「すべて現地任せ」の対策です。これでは拠点ごとに対策状況が全く異なる状況になってしまい、ガバナンスが効いているとはいえません。
海外拠点も含めた会社全体でのセキュリティーレベル向上には、会社として達成したい要件を明確にし、グローバル共通のルールを策定することが不可欠です。世界的に広く活用されているセキュリティーフレームワークやガイドラインを基に、社内共通の「セキュリティーの法律」となる方針や規程といったルールを策定します。それを経営層の承認を経て全社展開することで、目指すべきセキュリティー水準について現地と共通認識を持てるようになります。
ただし、ルール策定時には海外拠点の事業規模やリソースなどに留意すべきです。例えば、現地の身の丈に合わない技術的に高度な対策を強制するルールを策定してしまうと、うまく現地で機能せず絵にかいた餅となってしまいます。後述するアセスメントでの実態把握などを通して、直近で各社が現実的に目指せるレベルがどこかを精査した上でルールを策定しましょう。
一般には、どの拠点にも共通して順守を求める基礎的な到達要件については基本方針や管理規程といった上位文書で定義し、より詳細な実現方法や推奨事項については下位文書である基準・ガイドラインで定義することが多いです。ただし、こうした文書体系の最適解は、拠点数・事業規模・業種などで変わります。大切なのは、ルールが完成した後に放置せず、浸透状況のモニタリングや定期的な見直し行い、自社にとってより「なじむ」内容へとルールを改善していくことです。
柱-2:グローバル管理体制の構築
日本国内での物理的・心理的に距離の近い関係者とのやりとりにおいては、担当者が依頼元の事情や取り巻く状況をくみとり、いわば「あうんの呼吸」で物事を進められる場面もあるのではないでしょうか。一方で、対面コミュニケーションが取りづらく、業務内容や役割がより明確に定められていることが多い海外拠点では、こうした考え方が通用しないことがあります。
そのため、どの階層の関係者がセキュリティー管理上どのような役割を担うかを明確化した管理体制の構築が必要です。体制構築に当たっては、日本本社の経営層、IT担当者やセキュリティー管理事務局、海外拠点側の現地経営層、現地IT担当者、ITベンダーなど、セキュリティーに携わるステークホルダーを洗い出します。そのうえで、各ステークホルダーに求める役割・責任や誰がどのようなタイミングでどこに報告・連絡・相談するのか(リポートライン)を定めましょう。
この際、本社からのトップダウンでのコミュニケーションだけでなく、現地側の困りごとや有事の緊急連絡などをボトムアップで吸い上げる体制とすることで、現場事情を踏まえた本社からの適切な支援や現地との信頼関係の醸成にもつながります。
また、現地経営層を早い段階で巻き込むことも重要です。セキュリティーリスクはいまや事業運営自体に直結する上に、対策には投資の意思決定が必要になる場面が多いです。現地経営層に対して本社の目指す方向性を伝え、合意形成しておくことで、拠点内のトップダウンでの働きかけやリソース調整が進みやすくなります。
柱-3:グローバル共通の製品・ツール導入
海外拠点を持つ企業のよくある悩みとして、拠点の規模や担当者のスキルレベルにばらつきがあり、すべての拠点が同じペースで対策を進めることが現実的でない点が挙げられます。先の柱-2で触れた本社から現地への支援を前提とした場合であっても、IT担当者すらいない拠点では、独力での対策推進が困難であると想定されます。
こうした課題への対処法の1つとして、本社主導によるグローバル共通のセキュリティー製品やツールの導入が考えられます。本社側で製品選定や展開計画を策定し導入や運用を担うことで、スキルや人員が不足する現地の負荷を減らせます。同時に、セキュリティーレベルを一律で向上させることにもつながります。
一方で、セキュリティー製品やツールは継続的な運用や管理が求められるため、「一度導入して終わり」では本来の効果が十分に発揮されません。例えば、せっかく脅威分析ツールを共通導入したのに、膨大な検知アラートに本社側が対処できず、継続運用が困難になってしまうようなケースもあります。また拠点によっては、事業規模やシステムの利用形態、加えて現地法規制や地政学的な事情などによって本社の想定する製品・ツールが導入できないこともあります。
こうした事態を避けるため、後述するアセスメント時などに拠点側の事業環境・システム環境を事前把握しておくことが大切です。合わせて、導入検討時には製品・ツールで対処したいリスクシナリオを明確にし、実際の運用フローやポリシーチューニング手順なども十分に具体化しておきましょう。
アセスメントで現状把握
「ルール」「体制」「技術的対策」いずれにおいても、具体的に活動を推進する上では、現状把握や実行計画の策定、その後の継続的なモニタリングや改善が必要です。こうしたガバナンスを段階的に構築する上でのポイントを整理します。
まずは現状把握のためのアセスメントです。アセスメントに当たっては、最初にセキュリティー設問を整理するのが一般的です。先の柱-1で取り上げたようなフレームワークなどを参考に、「組織的な対策」「法規制面の対策」「物理的な対策」「情報システム面の対策」といった網羅的な観点でチェックシートを設計することが望ましいといえます。
続いて、チェックシートを用いて各拠点へヒアリングします。各設問に、対策済/一部実施/未実施といった回答基準を設けて、事前回答を依頼すると効率的です。
アセスメント項目構成例と確認ポイントの例|アセスメント項目の構成イメージ
なお、多くの海外拠点を抱える企業の場合、一度にすべての拠点をアセスメントすることが現実的ではないケースもあります。この場合、事業上重要な拠点、規模の大きな拠点など比較的高いリスクが想定される拠点から進めていくのが定石です。
3つの柱で中長期計画を策定
ヒアリング後には、課題を洗い出し活動計画を策定します。グループの共通的な弱点やリスクが高い課題に着目し、将来的に本社がどのように改善していくかの方針を検討し、「ルール」「体制」「技術的対策」の3つの柱で中長期計画を策定します。
フェーズごとに取り組むべき活動の例|セキュリティーガバナンス構築の進め方
一般的な進め方としては、「ルール」観点で新規の規程などを策定し、その結果を踏まえて「体制」「技術的対策」につなげていきます。ただし、各拠点のアセスメント結果に応じて優先度は柔軟に組み替えるようにしましょう。例えば情報システムにリスクの高い不備が確認された拠点は喫緊の対応を計画します。
目の前の改善を着実に進めるには、中長期計画に加えて、実施担当・タスク・コストなどを具体的に整理した短期目線での実行計画も策定し、経営層に承認を得てトップダウンで活動を推進するのが重要です。
現状把握から計画策定(Plan)、トップダウンでの実行推進(Do)では、巻き込む海外拠点の数が多いほど、予期せぬ事態によって計画通りに進まないおそれがあります。そのため、定常的な計画進捗(しんちょく)のモニタリングや拠点側の改善状況の点検を行い(Check)、必要に応じて計画を柔軟に軌道修正しながら実施内容を見直しする(Act)ことで、セキュリティーレベルを段階的に高めていく意識が大切です。
※「日経コンピュータ」2023年10月12日号より、一部加筆の上、転載。
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/012300337/092700010/
日経BPの了承を得て転載/無断転載・複製を禁じます。