このページはJavaScriptを使用しています。JavaScriptを有効にして、または対応ブラウザでご覧下さい。

海外拠点のITガバナンスを強化するための対策とは?世界に広がるKDDIのネットワークで国内・海外をトータルでサポート!

海外拠点のITガバナンスを強化するための対策とは?
世界に広がるKDDIのネットワークで国内・海外をトータルでサポート!

新たなマーケットを求め、アジア中心海外進出を図る日系企業の悩みの種は、情報システムセキュリティ対策にある。コロナ禍以降リモートワークが広まり、企業情報ネットワークへのアクセス多様化するなかで、サイバー攻撃から自社をいかに守るかは喫緊課題だ。
KDDIは各国展開している現地法人ハブとして、海外拠点を置く企業にITガバナンス強化のためのサービス提供している。今回はKDDIで企業海外進出支援する3名にそれぞれの立場から話を聞いた。

  • 記事内部署名役職取材当時のものです。

海外拠点が直面する情報セキュリティの課題

――日本企業アジア地域への進出現状サイバー攻撃背景現状についてどのようにお感じですか?

瀬崎 私はグローバル展開している日本法人のお客さまへ、海外でのICTインフラ構築提案をしています。企業海外進出では大きく「生産拠点設置」と「マーケット拡大」という2つの側面がありますが、近年はすべての業種マーケット拡大を求めた進出が盛んです。
とりわけ、製造業に加え小売業サービス業の進出顕著です。他にも地政学的リスク回避するための生産拠点シフト各国での優遇措置を受けるための進出なども見受けられます。

瀬崎 智史の写真
KDDI株式会社
グローバル推進部
部長

瀬崎 智史

池田 数規の写真
KDDI ASIA PACIFIC PTE. LTD
Regional CTO
(情報処理安全確保支援士)

池田 数規

池田 私はシンガポールにて、東南アジアや南アジア進出する日系法人のお客さまへICTソリューションをご提供していますが、ベトナムインドへの日系企業進出活気がありますね。
そういった海外拠点サイバー攻撃に遭い、対応をしてほしいというご相談は日々、受けています。進出したばかりの現地拠点は、マーケット拡大するべくビジネス注力し、どうしても情報システムセキュリティ対策後回しになりがちです。本社情報システム担当者さまがどこまで関与できるか、というのも企業によって異なるところです。

瀬崎 これまで、本社情報システム担当者さまは海外拠点ネットワークについては本社各拠点を「つなげるところまで」構築管理し、各拠点内のITインフラ構築管理については、現地権限を渡すというケースが多くありました。
しかし、昨今海外拠点セキュリティ脆弱性起因とした情報漏えいや、グループ会社取引先業務影響を与える事案多数発生しており、海外拠点を含むガバナンス強化セキュリティ強化がますます重要経営課題となってくるなど、状況が変わってきました。

片山 私は、シンガポールにてアジア諸国進出する日系企業にICTサービス提案を8年弱担当し、現在日本からICTインフラ構築提案をしています。
駐在当時現地でも感じていましたが、セキュリティに対する意識変化した要因は、新型コロナウイルス感染拡大だと思います。
企業システム閉域網と呼ばれる閉ざされたネットワーク活用していますが、テレワーク推奨されたことで、外部からでもアクセスできるようインターネット活用必須となりました。
インターネットを介してシステム侵入してくるサイバー攻撃からビジネスを守るため、セキュリティへの関心一気に高まったと思います。

片山 孝之の写真
KDDI株式会社
ネットワークサービス推進部
グループリーダー

片山 孝之

NIST(注1)サイバーセキュリティフレームワークのサイクルを回しながら、
セキュリティの質をアップ

――KDDIでは日系企業海外拠点におけるITガバナンス確立支援するサービス展開しています。どのような流れで対策を取るのですか?

瀬崎 お客さまによって課題レベルは異なります。情報システム現状把握して、対策について考えている企業もあれば、全く手付かずという企業もあります。
対策検討する上で、まず正しい現状把握課題認識を行う必要があり、そこで重要となるのは、2つの調査手法です。

1つ目は「IT環境調査」で、実際オフィスに伺い、どのようなシステム構成になっているかを現場確認します。
日本から海外拠点へのヒアリング書類机上確認だけでは、意思疎通の難しさもあることから、実態把握不十分場合が多いため、実際現場確認することが重要です。

もうひとつは、「セキュリティアセスメント」です。適切セキュリティフレームワークガイドラインベース設問形式でのアセスメント実施することで、拠点としてのセキュリティレベルがどういった状態にあるかを調査するアプローチです。
これらの調査を組み合わせることで、明確拠点状況の「見える化」を行うことができます。

当社では「NISTサイバーセキュリティフレームワーク」など、セキュリティ向上のためのガイドラインに沿って、海外拠点に対するセキュリティ対策強化のご提案をしています。
戦略組織アカウントインフラデータネットワーク運用監視といったカテゴリー分類し、それぞれ「識別」「防御」「検知」「対応」「復旧」という5つの機能に対する課題抽出対策検討を行います。
実際の進め方としては、お客さまの経営方針予算などに基づき対策優先順位を決め、段階的対応ロードマップをつくります。その上でサイバーセキュリティフレームワークサイクルを回しながら、継続的セキュリティレベルを上げていきます。

NISTサイバーセキュリティフレームワークは以下の5つの機能に対する課題抽出と対策検討を行い、サイクルを回しながら、継続的にセキュリティレベルを上げていきます。1. 「識別」リスクを特定する、2. 「防御」サイバー攻撃を防ぐ、3. 「検知」サイバー攻撃を検知する、4. 「対応」サイバー攻撃に対応する、5.「復旧」サイバー攻撃から復旧する

池田 このセキュリティ対策海外拠点現地スタッフ実施していくのは非常困難なことです。
私たち日本人は、初等教育で「読み・書き」を徹底的に教え込まれるので、マニュアルを読んで理解し、それに沿って行動していくことはとても得意です。しかし、海外の国々では、まず「聞く・話す」ことが優先されます。
ですので、現地の方に「これを読んで、マニュアル通りにNISTサイバーセキュリティフレームワークに準じてセキュリティ対策実施して」と言っても、すぐに対応してもらえないことが多いです。
また、海外拠点という時間空間的距離セキュリティに対する考え方や法制度ビジネス習慣などが異なるといった難しさもあります。
つまり、日本スムーズにできていることが、海外でもうまくいくとは限らないのです。これは、あくまで文化の違いによるものだと私は考えています。

  • 注1) NIST:National Institute of Standards and Technology (米国国立標準技術研究所)

拠点国の文化を理解し、現地の言語でルール徹底を図る

――文化言語問題があるなかで、KDDIでは豊富海外拠点ネットワークを生かしたサービス展開しています。

瀬崎 海外拠点課題遠隔発見しても、現地実際対策を打てなければ、問題解決にはなりません。
KDDIでは欧州から中国東南アジアアメリカ大陸まで、日本を含めた世界104都市245拠点 (2023年8月時点) を展開しています。
それだけのエリアカバーして各国でICTサービス提供している日本企業は少ないと思います。
 

お客さまの世界のビジネスを支える、KDDIグループプラットフォーム

KDDIグループ法人拠点:104都市・245拠点、TELEHOUSEデータセンター:約18都市・約45拠点、世界で支えるKDDIグループスタッフ:約40,000人、海外でのお客さまサポート実績:70年以上、欧州:ロンドン・デュッセルドルフ・フランクフルト・ミュンヘン・パリ・アムステルダム・ブリュッセル・イスタンブール、東南アジア:シンガポール・バンコク・マニラ・ハノイ・ホーチミン・ドンナイ・ハイフォン・ダナン・ジャカルタ・クアラルンプール・プノンペン・ヤンゴン・ニューデリー・グルグラム・ムンバイ・ニムラナ・チェンナイ・ベンガルール・アーメダバード・シドニー・メルボルン・バーレーン・ドバイ・ダッカ、東アジア:北京・台北・天津・長春・上海・広州・大連・深セン・蘇州・武漢・成都・長沙・青島・常熱・無錫・瀋陽・福州・香港・ソウル・プサン、米州:ニューヨーク・ヒューストン・デトロイト・サンフランシスコ・ロサンゼルス・シカゴ・プレイノ・サンパウロ


片山
 セキュリティインシデントは、セキュリティ対策が難しい海外支店工場発生することが多くなってきています。
KDDIは主要都市はもちろん、一部地方都市にも拠点を構えています。日本人スタッフ現地エンジニア一緒対応しますので、現地法人の方々にもきちんと現地言語説明しています。
日本にいる情報システム担当者さまは、日本語でKDDIのスタッフ対策検討いただけますので、言語ストレスはありません。
日本担当者さまの感覚理解しながら、お客さまの代わりに海外現地出向いて対策を取るため、強い安心感を持っていただいていると思います。

池田 日本から見ると、現地での対応はすべて英語で行うと思われるかもしれませんが、タイならタイ語、ベトナムならベトナム語でないと日本側要望現地従業員の方に伝わりません。
現地従業員の方がきちんと理解することができる体制仕組みを有しているか?ということまでを考慮して、しっかり対策を練っていくのが「セキュリティ」であると考えています。
KDDIでは、そうした言語の壁にお困りのお客さまをご支援できる体制が整っていると信じています。

幅広いサービスからお客さまの課題に最適なソリューションを提供

――今後グローバル進出する日系企業へのKDDIのITガバナンスサービスはどのような展開を図っていくのでしょうか?

片山 2023年7月、弊社ではグローバル対応したセキュリティサービスGlobal SASE Platform Service by Fortinet (以下、Global SASE) 」の提供開始しました。
これまで弊社では数多くの日系企業サポートしてきましたが、地方都市でのエンジニア確保の難しさ、エンジニア採用コスト高騰離職率の高さ、海外拠点セキュリティ担保する難しさを実感してきました。しかし、これまでお伝えしてきたように、海外進出した企業は、ビジネス加速同時セキュリティ確保重要課題となっています。

「Global SASE」は、グローバルでのセキュリティ対策必要主要機能網羅したセキュリティサービスで、弊社国際的通信網活用し、既存インフラを変えることなくセキュリティ担保された状態を保つことが可能です。
サポート弊社展開する数多くの海外拠点対応します。お客さまにはぜひ、情報セキュリティ問題に悩まされず、本業事業集中していただきたい。「Global SASE」は、その思いから生まれたサービスです。

KDDI が提供する統合セキュリティ(Global SASE Platform Service(Global SASE Platform Service by Fortinet)、グローバル PoP(自社/パートナー)、VPN(KDDI Wide Area Virtual Switch、KDDI Wide Area Virtual Switch 2、KDDI Global IP-VPN) サポート)を総合管理ポータルやマネージドでサポートします。
  • 中国では2024年度提供開始予定しています。

池田 まずは、日本本社海外拠点を含めたグローバルのITセキュリティに関するルールをしっかり定めて、それを海外拠点実践します。セキュリティはあくまでもルールだと考えており、海外拠点を含めて共通化したプラットフォームや運用体制をもとに、ITのガバナンス運用する必要があります。
そして、海外拠点でそのルール適用するときは、現地法令文化習慣言語などを鑑みて調整をしていくのです。
「Global SASE」はグローバル共通してご利用いただけるプラットフォームの選択肢のひとつです。

瀬崎 KDDIは、お客さまに寄り添い、課題解決最適ソリューション提供して参りました。課題抽出段階からお客さまに伴走することで、打ち手として複数ラインアップからお客さまに最適サービス提案し、それを海外現地担当者が落とし込んでいく。弊社の強みはそこにあると考えています。


オンデマンドセミナー


関連サービス