コラム 2024.05.22 海外拠点のITガバナンスを強化するための対策とは？世界に広がるKDDIのネットワークで国内・海外をトータルでサポート！

―日本企業のアジア地域への進出の現状とサイバー攻撃の背景や現状についてどのようにお感じですか？

瀬崎　これまで、本社の情報システム担当者さまは海外拠点のネットワークについては本社と各拠点を「つなげるところまで」構築管理し、各拠点内のITインフラ構築や管理については、現地に権限を渡すというケースが多くありました。
しかし、昨今は海外拠点のセキュリティ脆弱性を起因とした情報漏えいや、グループ会社や取引先へ業務影響を与える事案が多数発生しており、海外拠点を含むガバナンス強化とセキュリティ強化がますます重要な経営課題となってくるなど、状況が変わってきました。

―KDDIでは日系企業の海外拠点におけるITガバナンスの確立を支援するサービスを展開しています。どのような流れで対策を取るのですか？

瀬崎　お客さまによって課題のレベルは異なります。情報システムの現状を把握して、対策について考えている企業もあれば、全く手付かずという企業もあります。
対策を検討する上で、まず正しい現状把握と課題認識を行う必要があり、そこで重要となるのは、2つの調査手法です。

1つ目は「IT環境調査」で、実際にオフィスに伺い、どのようなシステム構成になっているかを現場で確認します。
日本から海外拠点へのヒアリングや書類の机上確認だけでは、意思疎通の難しさもあることから、実態把握が不十分な場合が多いため、実際に現場で確認することが重要です。

もうひとつは、「セキュリティアセスメント」です。適切なセキュリティフレームワークやガイドラインをベースに設問形式でのアセスメントを実施することで、拠点としてのセキュリティレベルがどういった状態にあるかを調査するアプローチです。
これらの調査を組み合わせることで、明確に拠点状況の「見える化」を行うことができます。

当社では「NISTサイバーセキュリティフレームワーク」など、セキュリティ向上のためのガイドラインに沿って、海外拠点に対するセキュリティ対策強化のご提案をしています。
戦略、組織、アカウント、インフラ、データ、ネットワーク、運用監視といったカテゴリーに分類し、それぞれ「識別」「防御」「検知」「対応」「復旧」という5つの機能に対する課題抽出と対策検討を行います。
実際の進め方としては、お客さまの経営方針や予算などに基づき対策の優先順位を決め、段階的な対応ロードマップをつくります。その上でサイバーセキュリティフレームワークのサイクルを回しながら、継続的にセキュリティレベルを上げていきます。

池田　このセキュリティ対策を海外拠点、現地スタッフで実施していくのは非常に困難なことです。
私たち日本人は、初等教育で「読み・書き」を徹底的に教え込まれるので、マニュアルを読んで理解し、それに沿って行動していくことはとても得意です。しかし、海外の国々では、まず「聞く・話す」ことが優先されます。
ですので、現地の方に「これを読んで、マニュアル通りにNISTサイバーセキュリティフレームワークに準じてセキュリティ対策を実施して」と言っても、すぐに対応してもらえないことが多いです。
また、海外拠点という時間空間的な距離、セキュリティに対する考え方や法制度、ビジネス習慣などが異なるといった難しさもあります。
つまり、日本でスムーズにできていることが、海外でもうまくいくとは限らないのです。これは、あくまで文化の違いによるものだと私は考えています。

―文化や言語の問題があるなかで、KDDIでは豊富な海外拠点ネットワークを生かしたサービスを展開しています。

瀬崎　海外拠点の課題を遠隔で発見しても、現地で実際に対策を打てなければ、問題解決にはなりません。
KDDIでは欧州から中国、東南アジア、アメリカ大陸まで、日本を含めた世界104都市245拠点 (2023年8月時点) を展開しています。
それだけのエリアをカバーして各国でICTサービスを提供している日本企業は少ないと思います。

片山　セキュリティのインシデントは、セキュリティ対策が難しい海外の支店・工場で発生することが多くなってきています。
KDDIは主要な都市はもちろん、一部、地方都市にも拠点を構えています。日本人スタッフと現地のエンジニアが一緒に対応しますので、現地法人の方々にもきちんと現地の言語で説明しています。
日本にいる情報システム担当者さまは、日本語でKDDIのスタッフと対策を検討いただけますので、言語のストレスはありません。
日本の担当者さまの感覚を理解しながら、お客さまの代わりに海外の現地に出向いて対策を取るため、強い安心感を持っていただいていると思います。

池田　日本から見ると、現地での対応はすべて英語で行うと思われるかもしれませんが、タイならタイ語、ベトナムならベトナム語でないと日本側の要望は現地の従業員の方に伝わりません。
現地の従業員の方がきちんと理解することができる体制・仕組みを有しているか？ということまでを考慮して、しっかり対策を練っていくのが「セキュリティ」であると考えています。
KDDIでは、そうした言語の壁にお困りのお客さまをご支援できる体制が整っていると信じています。

―今後、グローバルに進出する日系企業へのKDDIのITガバナンスのサービスはどのような展開を図っていくのでしょうか？

片山　2023年7月、弊社ではグローバルに対応したセキュリティサービス「Global SASE Platform Service by Fortinet (以下、Global SASE) 」の提供を開始しました。
これまで弊社では数多くの日系企業をサポートしてきましたが、地方都市でのエンジニア確保の難しさ、エンジニアの採用コストの高騰と離職率の高さ、海外拠点でセキュリティを担保する難しさを実感してきました。しかし、これまでお伝えしてきたように、海外へ進出した企業は、ビジネスの加速と同時にセキュリティの確保が重要な課題となっています。

「Global SASE」は、グローバルでのセキュリティ対策に必要な主要機能を網羅したセキュリティサービスで、弊社の国際的な通信網を活用し、既存のインフラを変えることなくセキュリティが担保された状態を保つことが可能です。
サポートは弊社が展開する数多くの海外拠点が対応します。お客さまにはぜひ、情報セキュリティの問題に悩まされず、本業の事業に集中していただきたい。「Global SASE」は、その思いから生まれたサービスです。

池田　まずは、日本の本社で海外拠点を含めたグローバルのITセキュリティに関するルールをしっかり定めて、それを海外拠点で実践します。セキュリティはあくまでもルールだと考えており、海外拠点を含めて共通化したプラットフォームや運用体制をもとに、ITのガバナンスを運用する必要があります。
そして、海外拠点でそのルールを適用するときは、現地の法令や文化、習慣、言語などを鑑みて調整をしていくのです。
「Global SASE」はグローバルで共通してご利用いただけるプラットフォームの選択肢のひとつです。

瀬崎　KDDIは、お客さまに寄り添い、課題解決に最適なソリューションを提供して参りました。課題抽出の段階からお客さまに伴走することで、打ち手として複数のラインアップからお客さまに最適なサービスを提案し、それを海外現地の担当者が落とし込んでいく。弊社の強みはそこにあると考えています。