グローバルに展開し、ローカルに攻める——IIJグループの国際戦略 グローバル企業の海外拠点が抱えるIT課題と解決のポイント

セキュリティインシデントの発生件数は年々増加しています。ランサムウェア攻撃や不正アクセスにより事業停止に至るなど大きな被害も多発しており、サイバーセキュリティ対策は重要な経営課題の1つとなっています。近年、海外拠点や委託先から侵入されて本社に不正アクセスされるといったサプライチェーンに関わる攻撃も急増しています。

IIJのダークウェブ監視情報によると、特に日本企業の拠点が多いアジアが狙われる傾向にあり、海外子会社や委託先のシステムの脆弱性を突いたセキュリティインシデントが発生した場合、たとえネットワークが直接つながっていない海外拠点であっても、自社のビジネスへの影響を避けることは非常に困難です。

こうした状況にあって、日本本社はこれまで以上に海外拠点のIT環境を調査・把握したうえで、ガバナンスを強化していく必要があります。攻撃者はセキュリティがより脆弱な拠点を狙うため、以前のように「拠点の規模」に合わせてセキュリティ対策の予算を配分するという考え方では、脅威を防ぐことはできません。少し前まで本社のIT部門が海外拠点のITには積極的に関与していない日本企業も多かった印象ですが、そうした「現地任せ」の考え方は、昨今のセキュリティインシデントの実情を鑑みると、改めざるを得なくなっています。

では、日本企業はどのようにガバナンスを強化すべきでしょうか？　そのポイントは3つあると考えています。

まず「日本から管理可能なソリューションを導入する」ことが挙げられます。おもに外資系ベンダが提供するサービスや製品は、そのまま海外でも利用できるものが数多くあります。よって、日本からリモートで管理・運用できるソリューションを海外拠点にも導入して、海外拠点の状況を把握し、適切な状態を保つことは、管理運用面からも有効な手段となります。

海外でIT製品の構築を信頼して任せられるベンダを探すのは簡単ではありません。また構築後の運用においても、時差があるなかで多言語対応が求められるなど、どのように運用していくのかはさらに大きな課題となります。こうしたことを考慮すると、国内でのソリューション導入時に海外活用も念頭に置いて、パートナーを選定するのが望ましいと言えます。

次に「信頼のおけるITマネージャ」の存在は、IT運用において不可欠な要素の1つです。本来なら日本から海外拠点にIT責任者を派遣すべきですが、全拠点に配置するのは困難であり、現地採用する場合も、欧米に比べてアジアで優秀なITマネージャを採用することは非常にハードルが高いと言われています。よって現状では、日本側で管理を行なう人材を確保する一方、海外拠点のIT担当者を的確に補佐できるパートナーを現地で確保するのが現実的でしょう。

3つ目のポイントは「誰がコストを負担するのか」という問題です。セキュリティインシデントをキッカケに海外拠点を調査して、対応計画を策定したものの、海外拠点側で止まってしまい実施に至らないケースが散見されます。これは、現地法人側で想定している費用感と、本社側が理想とする対策の費用感にギャップがあるためです。これを解決するには、監視・運用・インシデント対応といったガバナンスに関わる共通機能は本社が負担して体制を設えつつ、海外拠点にも応分のコスト負担をしてもらうのが理想的です。

最近では、 IT部門とは別にセキュリティ部門を設け、そこで（海外も含む）グループ全体のセキュリティ対応費用を担うケースが増えてきているようです。対策実施の費用をどのように負担するのかを事前に想定したうえで対策を立案するのが重要です。

IIJでは2010年にグローバル事業を開始してから、数多くのお客さまの海外案件をサポートしてきましたが、最近では業種や規模を越えて共通の課題をお持ちの方が多くいらっしゃいます。そのなかから、ご相談の多い内容とその解決策を紹介します。

1つ目は「海外拠点のインシデント対応」です。 ASEANの小規模な海外拠点では、インシデントが発生しても気づかない、もしくは海外拠点側が発見しても本社に的確な報告が上がってこないといったことがあります。そのため、本社側がインシデントの兆候を把握した段階で、現状把握のために現地の状況を早急に確認しに行ってほしいというご要望をいただきます。なかには見積もりや契約といった事前の手続きが間に合わない、一刻を争う案件もあり、一部の地域を対象に、従量課金型の柔軟な対応も可能なエマージェンシーレスポンスソリューションを提供しています。

2つ目は「海外拠点の現地調査」です。海外拠点ではセキュリティ対策の重要性や優先度が本社ほど認識されておらず、リスクがある状態のままIT運用が行なわれているケースがあります。本社側ではそうした内情を把握できないので、ガバナンス強化のためにブラックボックス化してしまった海外拠点のIT環境を可視化したいとのご要望を複数いただいています。IIJでは「IIJグローバルオンサイトサーベイソリューション」として、幅広い地域や国に対応した調査ソリューションを提供しており、現地調査からセキュリティアセスメント、改善提案までをお手伝いしています。

3つ目は「中国に関するITのご相談」です。一時期は生産拠点として日本の製造業の多くが中国に進出していましたが、今では小売り・サービス業の進出が活発になっています。中国にはグレートファイアウォール、ICP登録制度、中国データ三法など独自のITインフラや規制があり、ITの構築・運用にあたっては、特殊な対応が必要となります。そこで、IIJグループの中国法人では、現地の事情に詳しいスタッフが、中国の法律や規制に則したIT環境の構築や運用をサポートしています。

日本と異なり、海外拠点のIT構築・運用は一筋縄ではいきません。海外拠点における言語や商習慣の違い、現地ベンダの品質に対する認識のズレなど、一つひとつの違いが積み重なり、日本では想像できないトラブルが起きることもあります。

IIJでは日本にグローバル専門の部隊があり、これまで蓄積してきた長年の知見をもとに、日本からお客さまの海外環境をサポートしています。さらに、IIJグループの世界10カ国・16都市に広がる事業所には、日本語が話せる営業スタッフとエンジニアが配置されており、英語や現地語で支援できる体制が整っています。IIJはこれらの強みを生かして、 ITに関するお客さまのさまざまな課題・ご要望にワンストップでお応えできるよう努めています。

IIJのグローバル対応サービス・ソリューション

拡大する