近年、日本企業の中で海外進出をする企業が増えているため、海外拠点でのセキュリティリスクが重要な課題になっています。
海外では、国内とは違って本社での管理が難しく、働く人の考え方も異なるケースがあるため、セキュリティリスクが生じやすいのです。
海外進出で検討するべきセキュリティリスクについて、解説します。
海外進出におけるセキュリティリスク
企業が海外進出をする際は、どのようなセキュリティリスクがあるのかを知っておくことで、対策を練ることができるでしょう。
セキュリティリスクには多くの種類があるのですが、中でも特に注意が必要な起こりやすいセキュリティリスクについて解説します。
サプライチェーンへの攻撃
海外進出の際に注意しなくてはならないセキュリティリスクとして、サプライチェーンの弱いところを狙った攻撃があり、2019年から急増しています。
サプライチェーンというのは、原材料の調達から製造、物流、販売という一連の流れや関わっている複数の組織のことをいいます。
全体の中で攻撃しやすい部分を狙って攻撃を加え、流れを分断してしまうという手口が広がりつつあるのです。
本社がいくらセキュリティを強固にしても、取引先や関連会社の中にセキュリティが不十分な所があれば攻撃され、全体への攻撃の足掛かりにされてしまいます。
セキュリティ対策が不足
また、海外進出をすると離れたところに拠点を設けることになるため、セキュリティ対策が不足してしまうケースがあります。
本社が主導してセキュリティ対策を行いたくても、現地の状況を把握するのに時間がかかってしまい、情報伝達も遅れやすいせいで難しいケースも多いのです。
また、本社が指示したインフラを整備できない国や地域もあり、海外の状況を加味して対策をすると、本社の運用負荷が増えて人的リソースが不足することもあります。
また、海外の拠点に対策を委任すると、拠点によって従業員の認識やレベルが異なるため、対応や運用に問題が生じることもあるでしょう。
海外拠点従業員が起点となる情報漏洩
日本と海外ではセキュリティの認識や意識が異なるため、海外の従業員によって情報が漏洩してしまう事例も少なくありません。
本社が主導してセキュリティポリシーを定めたとしても、従業員の認識の違いや危機意識の低さによってセキュリティレベルには差が生じるのです。
特に、海外企業を買収して進出したケースなど、海外の従業員が本社に対して帰属意識を持っていない場合は、重要情報を漏洩する可能性が高くなります。
国によって情報の取り扱いに関する意識は異なるため、情報漏洩の危険が高い所ではしっかり対策しておくべきでしょう。
必要なセキュリティ対策は?
海外に進出した際は、セキュリティリスクに関して対策が必要となるのですが、具体的にはどのように対策するべきでしょうか?
境界型セキュリティの強化
海外に進出した際は、セキュリティリスクに備えるために、まず境界型セキュリティを強化しましょう。
境界型セキュリティというのは、外部から悪意ある攻撃を受けたときに備えて、内部ネットワークと分断して攻撃を阻むことができる方法です。
社内と社外を分断するのですが、近年はテレワークも拡大したため社外でクラウドサービスを利用し、データを保存することも増えています。
ゼロトラストネットワークといった考え方も広がっていますが、すぐ始めることができるセキュリティ対策に取り組むことも必要でしょう。
コロナ禍以降はテレワークも増えているため、情報の置き場所やネットワークへのアクセスの厳重チェック、並びに情報の制限などが必要となるでしょう。
また、ログを取得する際の対象となる範囲や頻度も上げることで、セキュリティ対策を強化しておく必要があります。
セキュリティポリシーと教育の徹底
海外に進出した際は、日本国内とは違ってグローバルな視点からセキュリティポリシーを定め、セキュリティ教育をしっかり行いましょう。
セキュリティポリシーが無ければ、セキュリティがなぜ必要なのか、どのように対策するのかを説明することはできないでしょう。
また、事業もグローバルに展開するため、進出先の法律や状況も理解したうえで可能なセキュリティポリシーを制定しましょう。
自社が海外に展開した拠点だけではなく、関連企業にも規範を求め、セキュリティポリシーを明らかにして今後環境が変化したときも対応できるようにするべきです。
海外拠点で働く従業員も含めて、全社で教育を行う必要があるため、従業員に正しく理解してもらいましょう。
素早い不正の検知とログ管理
海外のセキュリティリスクへの対策のため、不正があった時は素早く感知してログを管理できるようにしておきましょう。
セキュリティ上のリスクは、セキュリティポリシーを定めて従業員に教育を施し、さらにセキュリティシステムを強化しても完全に防ぐことはできません。
セキュリティインシデントが発生した場合に備えて、すぐ対応できるようにするためにも、不正を素早く検知してログを管理できるようにしなくてはならないのです。
海外の拠点ではファイアウォールの運用管理体制を整え、ログを取って管理できるようにする取り組みは、今後増えていくでしょう。
セキュリティ対策の評価方法
海外でのセキュリティ対策については、国内とは異なる方法で評価する必要があるため、どのように評価するのかを解説します。
日本国内だけで比較した場合と比べて、言語や習慣の違いからセキュリティ対策の評価はかなりの違いが生じやすいのです。
国内だけで対策を評価するよりも、海外と一緒に対策について評価する方が、難易度は高くなります。
評価方法としては、現場担当者の自己評価と、専門家による第三者の評価、ツールを使用した機械的評価があり、方法によってメリット、デメリットが異なります。
順番としては、まず現場担当者の自己評価から全体について把握して、ツールを使用して器械的評価を定期的に得るようにします。
評価を終えたら、専門家に依頼して第三者評価を受け、フォローアップしていくというのが一般的です。
まとめ
海外拠点では、従業員が現地の人であれば国によってセキュリティに対する意識が異なることから、日本の基準では認められないようなセキュリティリスクになることがあります。
特に、人為的な情報漏洩などは徹底して避けなくてはならないため、海外も含めた社員全体の教育は必須であり、グローバルなセキュリティポリシーも定めるようにしましょう。
セキュリティは、定期的に評価を受けて改善点などを洗い出すようにしてください。
#保険見直し #保険事業 #保険業界 #保険アドバイス #自動車保険 #保険相談 #保険知識 #事業保険 #事業承継
