コラム｜Column

海外拠点におけるセキュリティのリスクと対策を徹底解説

イメージ図

index

海外拠点におけるセキュリティ上のリスク
海外拠点で取るべきセキュリティ対策
海外拠点のセキュリティ対策評価方法
【無料】IIJセキュアMXサービスのホワイトペーパーをご提供中

2023/05/19

海外拠点のセキュリティについてのチェックポイントを知りたい
セキュリティ対策をどうすれば海外拠点まで浸透させられるだろう
海外拠点のセキュリティリスクがどういうところにあるのか確認しておきたい

2019年の帝国データバンクの調査（※1）によると24.7%の日本企業が海外進出をしており、海外展開すること自体は全く珍しいことではありません。また、JETROの調査（※2）によると、海外拠点においてもデジタル対応が進んでいます。

海外拠点に対するセキュリティリスクは多くの企業にとって重要な課題になってきています。海外だからこそ物理的に本社からの管理がしにくかったり、調達できる資材や働く人の考え方の違いなど、国内拠点とは違う状況があります。

セキュリティインシデントが発生すると、競争力の低下、賠償金の問題、株価低下などを引き起こす恐れがあります。

この記事では、海外拠点におけるセキュリティについて、海外拠点の情報セキュリティ対策に詳しいIIJグローバル部門の海外セキュリティチームが解説します。

※1：帝国データバンク海外進出に関する企業の意識調査(PDF)
※2：JETRO 2020年度海外進出日系企業実態調査(PDF)

海外拠点におけるセキュリティ上のリスク

イメージ図

ここでは、海外拠点におけるセキュリティ上のリスクとして以下の3つを解説します。

サプライチェーンの弱い部分を狙った攻撃
セキュリティ対策が行き届かない
海外拠点従業員が起点となる情報漏洩

では、順番に解説していきます。

サプライチェーンの弱い部分を狙った攻撃

1つ目の海外拠点におけるリスクは、サプライチェーンの弱い部分を狙った攻撃です。

独立行政法人情報処理推進機構（IPA）が発表している「情報セキュリティ10大脅威」（※3）の組織部門で「サプライチェーンの弱点を悪用した攻撃」は、2018年までランク圏外でした。しかし、2019年からは3年連続で4位にランクインしています。

サプライチェーンは、原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群のことです。商流の全体の中で弱い部分を狙って攻撃を仕掛ける、という手口が広がっています。

本社が強固なセキュリティでサイバー攻撃を行うことが困難だったとしても、最初にセキュリティが弱い関連会社や取引先などを攻撃・侵入し、それらを経由して本社への攻撃を行うという事例が増えています。

海外拠点も例外ではなく、セキュリティの弱い海外拠点を経由して本社がターゲットにされる事例が発生しています。

※3：情報処理推進機構（IPA）情報セキュリティ10大脅威2021

セキュリティ対策が行き届かない

2つ目の海外拠点におけるリスクは、セキュリティ対策が行き届かないという点です。

企業が内包するセキュリティリスクには国境がありません。攻撃者はあらゆる方法で、そして場所と時間を選ばずに企業を狙ってきます。しかも、新しい脅威が次々誕生しているため、順次対応し続けなければなりません。

しかし、海外拠点だけではセキュリティ対策を十分に行き届かせることは非常に困難です。

本社主導でセキュリティ対策を行う場合は、海外拠点の現地状況を把握するのに時間がかかる上、情報伝達のレスポンスに遅れが生じるなど、海外拠点にまでセキュリティの実施管理を行うことが難しいケースもあります。

また、地域によっては本社で定めたインフラを整備できないこともあります。さらに、海外独特の状況まで加味したセキュリティ対策を行うと、本社のセキュリティ運用負荷が増大してしまい、人手が足りなくなるといった人的リソースの問題が起こる場合もあります。

反対に、最終的には海外拠点にセキュリティ対策を任せると、各拠点ごとに従業員のレベルや認識がまちまちで、同じ基準を定めたとしても対応・運用レベルにバラツキが生じる可能性があります。

本社で当たり前にできている対策を海外拠点までしっかり運用したくても、実際のところ実現できていないという企業は多くあると言えるでしょう。

海外拠点従業員が起点となる情報漏洩

海外拠点では、従業員が起点となって情報漏洩が発生することが少なくありません。

原因の一つは、本社と海外拠点とで、セキュリティへの意識や認識が異なることです。例えば、本社主導でセキュリティポリシーを定めても、現地従業員の危機意識の低さや認識違いによってセキュリティレベルに差が出てしまいます。

従業員のモラルも情報漏洩の原因となります。海外企業を買収して拡大した場合など、海外の従業員が会社に帰属意識をあまりもっていないと、従業員の利己的な判断で重要情報を漏らす可能性もあります。

また、海外では人材の流動性が日本より大きいエリアも多く、退職者から情報流出が起こる可能性も高まります。さらに、悪意がある人物が海外拠点から侵入して情報を盗むといった工作が行われる可能性もあります。

海外拠点の人的な問題によって、情報漏洩が起きてしまうリスクは対策を考えておくべきことだと言えるでしょう。

海外拠点で取るべきセキュリティ対策

イメージ図

ここでは、海外拠点で取るべきセキュリティ対策として、以下の3つを解説します。

境界型セキュリティの強化
グローバルでのセキュリティポリシーとセキュリティ教育の徹底
素早い不正の検知とログ管理

では、それぞれ順番に解説します。

境界型セキュリティの強化

海外拠点で取るべきセキュリティ対策の1つ目は、境界型セキュリティの強化です。

境界型セキュリティとは、ネットワークにおける外部からの悪意ある攻撃に対して、内部ネットワークとの境目（境界）に障壁を作ることで、攻撃を阻み内部ネットワークの安全性を保つというものです。社内と社外の接点で侵入を防ぐことで、社内の安全性を保ちます。

実際のところ、新型コロナウイルス感染症によるテレワークの拡大でクラウドサービスの利用が広がり、社外にデータを保存するケースも珍しく無くなってきました。

ゼロトラストネットワークといった考え方も広がっていますが、現実的にすぐに実施できるセキュリティ対策である境界型のセキュリティを徹底することも有効な手段です。

これまでとは違うテレワーク環境において、どの情報を社内ネットワークのどこに置くのか、ネットワークの外からのアクセス方法の厳重化やアクセスできる情報に対する制限、ログ取得の範囲や頻度を上げるなど、境界型セキュリティの中での基準を上げて強化を進める必要があります。

グローバルでのセキュリティポリシーとセキュリティ教育の徹底

海外拠点で取るべきセキュリティ対策の2つ目は、グローバルでのセキュリティポリシーとセキュリティ教育の徹底です。

セキュリティポリシーを制定していなければ、セキュリティ対策どころかその必要性すら説明できません。また、グローバルに事業を展開するのであれば、現地の法律や現地状況も理解した上で、運用可能なセキュリティポリシーを制定する必要があります。

海外拠点の本部だけでなく、関連会社に対しても規範を求めましょう。セキュリティポリシーを明確にすれば、今後起こる環境の変化にも対応しやすくなります。

セキュリティポリシーの制定や更新には、経済産業省のサイバーセキュリティ経営ガイドラインもご参照ください（※4）。

海外拠点も含めた従業員に対して教育を行うことも必要です。セキュリティポリシーや、使用するツールのセキュリティレベルも重要ですが、従業員がそれらを正しく理解して使いこなさなければ意味がありません。

社内のセキュリティについて教育カリキュラムを制定し、人為的なセキュリティ・インシデントが起きない状況を作るべく人材教育を進めていきます。その際には、テストを行って理解度を測定することや、情報セキュリティに関わるトラブルの発生数を過去と比較することで、教育の効果測定も忘れずに行うことが大切です。

※4 経済産業省サイバーセキュリティ経営ガイドライン

素早い不正の検知とログ管理

海外拠点で取るべきセキュリティ対策の3つ目は、素早い不正の検知とログ管理です。

セキュリティポリシーの制定や人材教育を施し、セキュリティシステムを強化しても、セキュリティ上のリスクを完全になくすことは事実上不可能です。そのため、セキュリティ・インシデントが発生しても即座に対応できるよう、素早い不正の検知とログ管理も必要です。

そのため、海外拠点でのファイアウォールの運用管理体制を整備し、そこできちんとログを取り管理するという取り組みは、費用面も含めて現実的な選択肢だと言えるでしょう。

ファイアウォールで異常を検知するアノマリ検知機能を活用することで、海外拠点であっても不正なアクセスを適時検知できる体制を作ることができます。

また、ログ管理を行うことで、様々なセキュリティインシデントに備えることができます。例えば、通信ログを監視することで、システムのアクセス急増やネットワークのトラフィック量増大などの事象にいち早く気付き、事前にサーバを補強するなど対策を講じることができます。

海外拠点のセキュリティ対策評価方法

イメージ図

最後に、海外拠点のセキュリティ対策評価方法について解説します。

言語や習慣が違うため、日本国内だけよりも、セキュリティ対策評価結果はバラツキが発生しがちです。そのため、国内だけよりも、海外拠点を含めたセキュリティ対策評価方法の方が難易度が高いといえます。

評価方法は、大きく分けて現場担当者による自己評価、専門家による第三者評価、ツールによる機械的評価の3つがあります。いずれも長所短所があるので、場面によって使い分けることが賢明です。

最初に現場担当者による自己評価で全体像を把握し、ツールによる機械的評価を定期的に行うことで定量的に評価を行います。そして、専門家による第三者評価でフォローアップしていくことが一般的な流れです。いずれにしても、一度評価するだけでなく、PDCAサイクルを回してセキュリティ対策の現状を把握しながら改善していくことが必要です。