【オンサイトサーベイ】現地調査で明らかになった海外拠点IT環境の実態ーIIJエンジニアが語る課題と対策
index
2026/05/29
海外拠点のIT環境は、日本本社から実態を把握しづらいケースが少なくない。もはや「パンドラの箱」になっていた海外拠点だが、昨今では日系企業へのサイバー攻撃の増加に伴ってその箱を開ける勇気が必要になってきた。
IIJが提供する「IIJグローバルオンサイトサーベイソリューション」は、依頼企業が持つ海外拠点のネットワーク環境における課題をあぶり出し、その対応策をレポートとして提供するソリューションである。これまで数々の海外拠点にIIJのエンジニアが赴いてIT環境を調査し、日本本社へ改善策を提供してきた。
そこで今回は、本ソリューションの提供を通じてわかった日系企業の海外拠点が抱える現状や課題を整理する。コンテンツ内には実際の調査担当者によるアドバイスも併記している。本コンテンツの現場の実態をまとめた情報を、今後海外拠点のIT環境改善に取り組みたいと考えている方に、参考にしてほしい。
調査の過程で明らかになった海外拠点の実態とは?
まずはIIJグローバルオンサイトサーベイソリューション(以下、IIJオンサイトサーベイ)の調査で明らかになった、日系企業の海外拠点の実態を紹介する。実際の調査では、日本本社では考えにくいIT環境や運用状況が確認されるケースも少なくない。担当エンジニアの記憶に残った海外拠点の実態を、IT環境、ネットワーク機器やサーバの運用実態といった様々な観点から紹介する。
海外拠点で見られたIT環境の課題
海外拠点のセキュリティ意識は低い傾向があり、オフィスIT全般が悪環境のまま放置されがちである。例えば以下のような例がある。
ネットワーク機器・サーバ関連の現状
- ラックではなく机にネットワーク機器が無造作に置かれていて誰でも触れる状態にある
- ファイアウォールに適切なアクセス制御がされておらず、悪意ある第三者からの不正アクセスや攻撃を受けるリスクが高い状態である
- 管理画面が他人から見えてしまっている(認証画面が第三者から視認できる)
- 「Windows Server 2008」のようなサポートが終了したOSを継続して利用している
- 構築した担当者の退職後、誰も管理していない状態で放置されている
- 構築後はメンテナンスされておらず、脆弱性が放置されたり保守が未加入の状態
- 機器に残存している設定の一部が変更・削除できないネットワーク/サーバ機器がある
オフィス環境の現状
- 配線が整理されること無くスパゲッティ状態のまま放置されたケーブル類
- 建物の老朽化
- ネズミの噛みつきや水漏れによる断線
- 施錠されていないサーバルーム
- ビルオーナー等、他入居者と共有のインターネット回線
- 停電が頻発する電力事情
- 個人端末のオフィスLANへの接続
また上記のほかにも、「車のバッテリーを利用して自作UPS(無停電電源装置)を作っていた」という極端な事例もあった。一覧に挙げた事例は海外拠点では珍しくない光景であり、海外拠点のオフィスIT全般に関しては、日本本社の目が行き届きにくいことがわかるだろう。
属人化による組織的な弱点
海外拠点で改善が必要なのはIT環境だけではなく、以下のような課題が見られる。
- IT環境を特定の人物しか理解できておらず、担当者が退職した際にも後任の担当者に情報が引き継がれない
- 資産管理をExcelなど手動で行い、長らく更新されていない
- 競合や価格などの情報を収集せず、懇意にしている特定のベンダーのみに発注をしている
海外拠点では専任の担当者不在のケースが多い。組織規模的に専任のIT担当者を雇うのが難しく、専門外の総務・経理担当者がIT担当を兼務し、IT環境の構築や保守運用を現地のITベンダーに委任して、詳細を把握できていない場合が多数である。
「調査を通して海外拠点への危険意識を高めて欲しい」
東南アジアの拠点を筆頭に海外拠点の運用課題は山積しています。セキュリティ機器の運用・保守状況だけでなく、ITセキュリティに関連した規定・ルールの運用といった部分も確認することが大切です。可能であれば現地調査に同行いただき、海外拠点のありのままを実際に見ていただきたいです。調査自体を目的とするのではなく、それを通して危機意識を高めていただくのが理想的といえます。
IIJグローバルオンサイトサーベイソリューションを依頼する企業の背景
前述したように放置されてきた海外拠点のセキュリティだが、近年では海外拠点の調査のニーズが徐々に高まっている。IIJの担当エンジニアによれば、日系企業が海外拠点の管理・統制を意識し始めたのには、多様な社会的要因が絡んでいるという。
- 海外拠点のセキュリティホールを発端としたグループ内機密情報窃取や業務影響の頻発
- 経済産業省のセキュリティ対策評価制度など各種セキュリティガイドラインへの対応
- 2025年に発生した大手飲料メーカー・出版社・EC事業者など大手国内企業を標的にしたサイバー攻撃
特に上記3つは日系企業の経営層に「ウチのグループは大丈夫?」と認識させる機会になった。さらにIT担当者にとっても、これまでリソース不足で管理が行き届かなかった海外拠点のIT環境などについて考え直す要因になっている。
セキュリティへの温度感が低くなりがちな企業
既にIIJオンサイトサーベイを実施した企業の中には、調査過程で課題が発見されたにも関わらず最終的な対策まで実行できなかった企業もある。例えば、
- 現地法人との事前合意が充分ではなく、現地の抵抗を受けてしまう
- 対策の実行予算が現地法人負担となり、予算の兼ね合いで断念
- 発見された課題に対し、対応者側のリソースが捻出できず見送りになる
など理由は様々だ。海外拠点のセキュリティ精度が低いままで改善されなければ、日本本社へ及ぼすリスクも高まってしまう。海外拠点を放置しがちな、セキュリティへの温度感の低い日系企業へ、担当エンジニアは以下のように指摘する。
「海外拠点起因のインシデントに備えた対策が必要!」
海外拠点のインシデントは、グループ全体へ影響を及ぼす危険性があります。例えば大手メーカーでは、海外拠点に予備として残存していた旧型VPN装置が侵入口となり、ランサムウェア感染が本社を含む国内拠点へ波及した事例があります。海外拠点での一時的な例外運用や旧資産の残存が全社リスクに直結することを踏まえると、インシデントに備えたリスク調査と対策方針の明確化が不可欠です。
海外拠点の調査に共通する悩みの種
IIJオンサイトサーベイではこれまで、日本企業の進出が多い米国や欧州、アジアをはじめ、南米・アフリカといった多様な国・地域の海外拠点で調査を実施してきた。調査に当たり、事前に海外拠点の基本情報のヒアリングを行うが、各拠点の住所や従業員数といった基本的な情報は本社の国際事業部門などが情報を持っていることが多い。
海外拠点の調査に関しては、こうした本社の関連する複数部門間との連携や事前調整も必要となるため、国内拠点の調査を行う場合と比較しても、調査を開始するまでの手順がより複雑化する傾向にある。
「IIJグローバルオンサイトサーベイソリューション」の調査プロセス
IIJオンサイトサーベイには主に3つのプランがある。それぞれ以下のような特徴がある。
| 項目/プラン名 | ライトプラン | スタンダードプラン | プレミアムプラン |
|---|---|---|---|
| 調査概要 | インターネット出口調査 | IT環境調査 | ITアセスメント |
| 調査範囲 |
|
|
|
| 活用できる場面 |
|
|
|
なお、スタンダード・プレミアムともに日本本社のIT担当者などが現地調査に同行することもできる。現地では調査担当エンジニアもしくはIIJの現地法人の担当者が同席するため、必要に応じて海外拠点の社員とのスムーズなコミュニケーションをサポートすることができる。
ここからは「スタンダードプラン」「プレミアムプラン」の違いに焦点を当てながら、IIJオンサイトサーベイで実現できることを解説する。
【基本のIT環境調査を実施】スタンダードプラン
IIJオンサイトサーベイのスタンダードプランの特徴は以下の3点だ。
- ファイアウォール機器などの稼働状況といったIT環境を調査
- 本社担当者が気になるところの追加調査可能
- IT環境に絞って調査を実施できる
また、調査の流れは以下である。全体のスケジュールは海外拠点の担当者の対応に依存するが、概ね調査シート送付から納品まで各拠点で二か月程度になることが多い。
- 対象拠点やスケジュール、費用など要件定義
- ラックレイアウト・IPアドレスリスト・セグメントリスト・ネットワーク機器リストといった項目が記載された「調査シート」を海外拠点の担当者へ送付
- 依頼企業の海外拠点の担当者が調査シートの項目を記載(このフェーズでスケジュールが前後する)
- IIJ側が記載内容を確認し、実情と齟齬がないか気になる部分を中心に現地調査を実施
- (要望があれば)本社から海外拠点へ聞きたい固有情報(資産管理ツールの運用状況など)も10項目ほど別のシートで追加調査
- 納品時には調査シートベースで「優良ポイント」「改善ポイント」を報告
【IIJの担当エンジニアによるITアセスメント】プレミアムプラン
IIJオンサイトサーベイのプレミアムプランの特徴は以下の3点だ。セキュリティ体制が属人化している場合の組織的な調査ができるのが大きな特徴である。
- セキュリティ体制が属人化しているなどの組織的な課題に対する調査
- IT環境に加えてセキュリティリスクやセキュリティ教育状況も調査
- IIJの担当エンジニアによる分析と分析レポート(オプション対応)
また、調査の流れは以下である。
- 対象拠点やスケジュール、費用などの要件をすり合わせる
- ヒアリングシート・調査報告書の内容、現地での使用言語、(複数ある場合は)調査する拠点の順番を確認
- IIJの担当エンジニアが2名1組体制で各拠点を調査(ヒアリングシートをベースに80以上の調査項目を現地で証跡確認)
- IIJの評価と依頼企業の評価を相互確認して調査報告レポートなどを納品
「IIJオンサイトサーベイのプランの選び方」
海外拠点の総合的なITアセスメントが必要な場合はプレミアムプランがお勧めです。スタンダードプランは調査コストを抑えられるメリットもあるため、費用感を優先されるお客様に最適です。調査への同行はお客様次第ですが、同行いただいたことで、危機意識が高まったり、海外拠点とのリレーション構築のきっかけに繋げたお客様もいらっしゃいます。
日本本社のIT技術部門へ伝えたいこと
これまで多くの拠点を調査したIIJの担当エンジニアが改めて伝えたい「日系企業の海外拠点の課題と対策」を一部ご紹介する。いずれも日本本社・拠点では基本的なものばかりだが、海外拠点ではセキュリティ体制が十分に整備されていないことを示唆している。
- ゲートウェイ機器のポリシー設定、各種フィルタなどの適切な設定
- OpenVPNやTeamViewer(無料版)など企業向けのセキュリティ機能が備わっていない無料ソフトからの脱却
- Windowsアップデートやパッチ適用など、運用サイクル適正化
「本社側の積極的な動きが大切」
「現時点で何も問題がおこっていないので、このままの運用で問題ない」と、海外拠点のIT担当の方は考えがちです。本社のみで十分なセキュリティ対策が講じられていたとしても、グループ全体としてのセキュリティレベルは、最も対策が不十分な拠点の影響を受けてしまいます。本社IT部門の方々は能動的に実態把握に動き、調査結果を踏まえてアクションプランを練ることが大切です。また、セキュリティ対策の強化には費用と時間がかかります。本社にくらべて予算の少ない海外拠点にも、予算を割いて正しいセキュリティ体制の構築をサポートし、時間をかけて人材のセキュリティ意識を向上させることをおすすめします。
海外拠点のセキュリティ状況についてはこれまで「パンドラの箱」になっていた。しかし、パンドラの箱を開けないままインシデントが発生すると、事業に大きな影響を及ぼしかねないため、本社主導で実態把握に動くことが大切だ。
また、セキュリティ状況が整理されていないと、インシデント時に本社のIT担当者が事前情報の少ないまま対応に巻き込まれ、多くのリソースを割く必要も出てくる。現地調査によって箱の中身を事前に把握しておくことは、インシデント対応時のIT担当者の労力を軽減するという点でも価値がある。
海外拠点のIT環境・セキュリティ意識を把握するために、さらには今後のグループ全体のセキュリティ施策の方向性を定めるために「IIJグローバルオンサイトサーベイソリューション」をぜひ検討いただきたい。
サービスの詳細やお見積りなど担当者よりご返事します
%22%3E%20%3Crect%20id%3D%22%E9%95%B7%E6%96%B9%E5%BD%A2_906%22%20data-name%3D%22%E9%95%B7%E6%96%B9%E5%BD%A2%20906%22%20width%3D%2231.999%22%20height%3D%2231.999%22%20transform%3D%22translate(1128%20592)%22%20fill%3D%22%23d7063b%22%20opacity%3D%220%22%2F%3E%20%3Cg%20id%3D%22%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97_746%22%20data-name%3D%22%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%20746%22%20transform%3D%22translate(1128%20596.923)%22%20clip-path%3D%22url(%23clip-path)%22%3E%20%3Cpath%20id%3D%22%E3%83%91%E3%82%B9_272%22%20data-name%3D%22%E3%83%91%E3%82%B9%20272%22%20d%3D%22M31.738%2C102.583l-8.277%2C8.431a.149.149%2C0%2C0%2C0%2C0%2C.215l5.792%2C6.169a1%2C1%2C0%2C0%2C1%2C0%2C1.415%2C1%2C1%2C0%2C0%2C1-1.415%2C0l-5.769-6.146a.158.158%2C0%2C0%2C0-.223%2C0L20.438%2C114.1a6.193%2C6.193%2C0%2C0%2C1-4.415%2C1.861%2C6.317%2C6.317%2C0%2C0%2C1-4.508-1.915l-1.354-1.377a.158.158%2C0%2C0%2C0-.223%2C0l-5.769%2C6.146a1%2C1%2C0%2C0%2C1-1.415%2C0%2C1%2C1%2C0%2C0%2C1%2C0-1.415l5.792-6.169a.164.164%2C0%2C0%2C0%2C0-.215L.262%2C102.583a.152.152%2C0%2C0%2C0-.262.108V119.56a2.469%2C2.469%2C0%2C0%2C0%2C2.461%2C2.462H29.538A2.469%2C2.469%2C0%2C0%2C0%2C32%2C119.56V102.691a.154.154%2C0%2C0%2C0-.262-.108%22%20transform%3D%22translate(0%20-99.868)%22%20fill%3D%22%23d7063b%22%2F%3E%20%3Cpath%20id%3D%22%E3%83%91%E3%82%B9_273%22%20data-name%3D%22%E3%83%91%E3%82%B9%20273%22%20d%3D%22M50.839%2C14.084a4.182%2C4.182%2C0%2C0%2C0%2C3.008-1.262L65.916.538A2.418%2C2.418%2C0%2C0%2C0%2C64.393%2C0h-27.1A2.4%2C2.4%2C0%2C0%2C0%2C35.77.538L47.839%2C12.823a4.182%2C4.182%2C0%2C0%2C0%2C3%2C1.262%22%20transform%3D%22translate(-34.839)%22%20fill%3D%22%23d7063b%22%2F%3E%20%3C%2Fg%3E%20%3C%2Fg%3E%3C%2Fsvg%3E)
フォームでのお問い合わせ
