海外拠点のセキュリティをどう守るのか？

セキュリティリスクが増大する中で、セキュリティ人材の不足は顕著です。経済産業省の調査では、2020年に約19.3万人のセキュリティ人材が不足すると予測されています。東京五輪に向けてセキュリティ対策の必要性が高まっていくことが予想され、セキュリティ人材の確保はさらに困難になるでしょう。

特に問題になるのが、グローバルでのセキュリティをどう確保していくのかという点です。情報資産をグローバルに活用することは、大きなビジネスチャンスをもたらします。しかし、同時に情報資産自体が攻撃対象となり、大きなリスクを抱えることにもなります。

セキュリティ対策に国境はありません。攻撃者はありとあらゆる方法、そして場所と時間を選ばずに企業の情報資産を狙います。日本国内だけの対策で完結せず、海外を含むグループ全体で、セキュリティレベルをどう確保していくのかを考えなければいけません。
国ごとや地域ごとのセキュリティ規制が強化されつつある中で、適切なセキュリティ対策が確立できなければ、ビジネス機会の損失になるだけでなく、場合によっては社会の信用を失い、また重い罰則を受ける可能性もあります。

しかし、国内では高いレベルのセキュリティ対策ができていても、海外拠点で同じレベルの対策ができておらず、企業全体としてのセキュリティレベルが担保できていないという企業は少なくありません。

なぜそのような事態になってしまうのでしょうか。それには、日本と海外拠点のセキュリティレベルを保つために海外拠点ならではの難しさがあるためです。ここでは2つの事例を通して、その難しさを考えていきたいと思います。

グローバルで一つのポリシーを定め、対策基準や実施手順まで一貫した体制が確立されていることが、グローバルセキュリティの理想の姿です。

実際に、日本の本社がポリシー、対策基準、実施手順まで定め、クラウド型Webプロキシ、ファイアウォールなど導入する製品群を統一し、本社にログを集約して分析するという体制で臨んだケースがあります。

しかし、そこでは3つの課題が浮上しました。1つ目は地域によっては本社が定めた製品やサービスが調達できないこと、2つ目は地域法の制約があってログを海外に送信できないこと、そして、3つ目は本社の運用負荷の増大とセキュリティ人材の流出による運用サービスレベルの低下でした。
原因として、現地のIT環境や地域法への理解不足、運用負荷への考慮不足などが挙げられました。

事例１とは対照的に、あるべき姿を実現するために、ポリシーと対策基準、推奨製品までは本社が決定し、最終的な判断は現地法人に任せたというケースがありました。

現地法人は地域の属性を考慮して導入する製品やサービスを選択でき、ログは現地に保管することで地域法を遵守することができます。また、ポリシーに従った運用を負荷分散することもできました。

しかし、言語の違いや価値観、文化の違いが大きな影響をもたらしました。ポリシーなどの認識の違いが発生し、対応レベルにバラツキが生じてしまったのです。また価値観の違いに加え、製品や手順が違うことでも運用レベルに差が生まれ、ベースラインが未達の拠点があったことが後のアセスメントで明らかになりました。

原因は、現地の習慣への理解不足、ログの分散に対する分析精度の限界の認識不足、文章理解へのすり合わせ不足などでした。

事例からでも分かるように、グローバル統制に必要な製品の一本化とセキュリティ運用の統一のためには、大きく2つの課題が考えられます。1つは地域ごとの特性や制約が多く、基本方針を反映させることが難しいこと、もう1つは負荷を減らすために運用を分散すると、セキュリティレベルを維持できないということです。

この2つの課題をクリアし、あるべき姿に近づくためには、2つのことがポイントになります。グローバルで統一して展開されている安全なセキュリティSaaSを選択することと、グローバルで展開されていて、どこであってもサービスレベルが変わらないSOCを選択することです。

グローバルで提供されているSaaSを活用することで、ポリシーから対策基準、実施手順までを統一することができます。また、世界でサービスレベルの変わらないSOCを利用することで、セキュリティレベルをグローバルで統一し、地域ごとの凸凹を解消することができます。

ただし、どんなSaaSでも良いというわけではありません。手順までを統一しつつ、地域法や地域ごとの慣習をフォローし、グローバル標準の認証に対応済みのものを選択することが必要になります。

TISでは、これらすべての要素を満たす「TISグローバルセキュリティソリューション」を提供しています。グローバル共通仕様のセキュリティサービスを提供するとともに、グローバルなManaged Security Service提供事業者であるTrustwave社と提携して24時間365日のセキュリティ運用を実現しています。

現在、グローバルでのセキュリティ統制でお困りの方、また、これから本格的に海外事業の展開を考えている企業の方などは是非、当社へ一度ご相談ください。