海外拠点のITガバナンスを強化するための対策とは？
世界に広がるKDDIのネットワークで国内・海外をトータルでサポート！

2024 2/28

新たなマーケットを求め、アジアを中心に海外進出を図る日系企業の悩みの種は、情報システムのセキュリティ対策にある。コロナ禍以降、リモートワークが広まり、企業の情報ネットワークへのアクセスが多様化するなかで、サイバー攻撃から自社をいかに守るかは喫緊の課題だ。
KDDIは各国に展開している現地法人をハブとして、海外に拠点を置く企業にITガバナンス強化のためのサービスを提供している。今回はKDDIで企業の海外進出を支援する3名にそれぞれの立場から話を聞いた。

※ 記事内の部署名、役職は取材当時のものです。

海外拠点が直面する情報セキュリティの課題

――日本企業のアジア地域への進出の現状とサイバー攻撃の背景や現状についてどのようにお感じですか？

瀬崎　私はグローバル展開している日本法人のお客さまへ、海外でのICTインフラ構築の提案をしています。企業の海外進出では大きく「生産拠点の設置」と「マーケットの拡大」という2つの側面がありますが、近年はすべての業種でマーケットの拡大を求めた進出が盛んです。
とりわけ、製造業に加え小売業やサービス業の進出が顕著です。他にも地政学的なリスクを回避するための生産拠点のシフト、各国での優遇措置を受けるための進出なども見受けられます。

瀬崎智史

池田数規

池田　私はシンガポールにて、東南アジアや南アジアに進出する日系法人のお客さまへICTソリューションをご提供していますが、ベトナム、インドへの日系企業の進出は活気がありますね。
そういった海外拠点がサイバー攻撃に遭い、対応をしてほしいというご相談は日々、受けています。進出したばかりの現地拠点は、マーケットを拡大するべくビジネスに注力し、どうしても情報システムのセキュリティ対策は後回しになりがちです。本社の情報システム担当者さまがどこまで関与できるか、というのも企業によって異なるところです。

瀬崎　これまで、本社の情報システム担当者さまは海外拠点のネットワークについては本社と各拠点を「つなげるところまで」構築管理し、各拠点内のITインフラ構築や管理については、現地に権限を渡すというケースが多くありました。
しかし、昨今は海外拠点のセキュリティ脆弱性を起因とした情報漏えいや、グループ会社や取引先へ業務影響を与える事案が多数発生しており、海外拠点を含むガバナンス強化とセキュリティ強化がますます重要な経営課題となってくるなど、状況が変わってきました。

片山　私は、シンガポールにてアジア諸国に進出する日系企業にICTサービスの提案を8年弱担当し、現在は日本からICTインフラ構築の提案をしています。
駐在当時、現地でも感じていましたが、セキュリティに対する意識が変化した要因は、新型コロナウイルスの感染拡大だと思います。
企業のシステムは閉域網と呼ばれる閉ざされたネットワークを活用していますが、テレワークが推奨されたことで、外部からでもアクセスできるようインターネット活用が必須となりました。
インターネットを介してシステムに侵入してくるサイバー攻撃からビジネスを守るため、セキュリティへの関心が一気に高まったと思います。

片山孝之

NIST(注1)サイバーセキュリティフレームワークのサイクルを回しながら、
セキュリティの質をアップ

――KDDIでは日系企業の海外拠点におけるITガバナンスの確立を支援するサービスを展開しています。どのような流れで対策を取るのですか？

瀬崎　お客さまによって課題のレベルは異なります。情報システムの現状を把握して、対策について考えている企業もあれば、全く手付かずという企業もあります。
対策を検討する上で、まず正しい現状把握と課題認識を行う必要があり、そこで重要となるのは、2つの調査手法です。

1つ目は「IT環境調査」で、実際にオフィスに伺い、どのようなシステム構成になっているかを現場で確認します。
日本から海外拠点へのヒアリングや書類の机上確認だけでは、意思疎通の難しさもあることから、実態把握が不十分な場合が多いため、実際に現場で確認することが重要です。

もうひとつは、「セキュリティアセスメント」です。適切なセキュリティフレームワークやガイドラインをベースに設問形式でのアセスメントを実施することで、拠点としてのセキュリティレベルがどういった状態にあるかを調査するアプローチです。
これらの調査を組み合わせることで、明確に拠点状況の「見える化」を行うことができます。

当社では「NISTサイバーセキュリティフレームワーク」など、セキュリティ向上のためのガイドラインに沿って、海外拠点に対するセキュリティ対策強化のご提案をしています。
戦略、組織、アカウント、インフラ、データ、ネットワーク、運用監視といったカテゴリーに分類し、それぞれ「識別」「防御」「検知」「対応」「復旧」という5つの機能に対する課題抽出と対策検討を行います。
実際の進め方としては、お客さまの経営方針や予算などに基づき対策の優先順位を決め、段階的な対応ロードマップをつくります。その上でサイバーセキュリティフレームワークのサイクルを回しながら、継続的にセキュリティレベルを上げていきます。

NISTサイバーセキュリティフレームワークは以下の5つの機能に対する課題抽出と対策検討を行い、サイクルを回しながら、継続的にセキュリティレベルを上げていきます。1. 「識別」リスクを特定する、2. 「防御」サイバー攻撃を防ぐ、3. 「検知」サイバー攻撃を検知する、4. 「対応」サイバー攻撃に対応する、5.「復旧」サイバー攻撃から復旧する

池田　このセキュリティ対策を海外拠点、現地スタッフで実施していくのは非常に困難なことです。
私たち日本人は、初等教育で「読み・書き」を徹底的に教え込まれるので、マニュアルを読んで理解し、それに沿って行動していくことはとても得意です。しかし、海外の国々では、まず「聞く・話す」ことが優先されます。
ですので、現地の方に「これを読んで、マニュアル通りにNISTサイバーセキュリティフレームワークに準じてセキュリティ対策を実施して」と言っても、すぐに対応してもらえないことが多いです。
また、海外拠点という時間空間的な距離、セキュリティに対する考え方や法制度、ビジネス習慣などが異なるといった難しさもあります。
つまり、日本でスムーズにできていることが、海外でもうまくいくとは限らないのです。これは、あくまで文化の違いによるものだと私は考えています。

注1) NIST：National Institute of Standards and Technology (米国国立標準技術研究所)

拠点国の文化を理解し、現地の言語でルール徹底を図る

――文化や言語の問題があるなかで、KDDIでは豊富な海外拠点ネットワークを生かしたサービスを展開しています。

瀬崎　海外拠点の課題を遠隔で発見しても、現地で実際に対策を打てなければ、問題解決にはなりません。
KDDIでは欧州から中国、東南アジア、アメリカ大陸まで、日本を含めた世界104都市245拠点 (2023年8月時点) を展開しています。
それだけのエリアをカバーして各国でICTサービスを提供している日本企業は少ないと思います。

お客さまの世界のビジネスを支える、KDDIグループプラットフォーム

KDDIグループ法人拠点：104都市・245拠点、TELEHOUSEデータセンター：約18都市・約45拠点、世界で支えるKDDIグループスタッフ：約40,000人、海外でのお客さまサポート実績：70年以上、欧州：ロンドン・デュッセルドルフ・フランクフルト・ミュンヘン・パリ・アムステルダム・ブリュッセル・イスタンブール、東南アジア：シンガポール・バンコク・マニラ・ハノイ・ホーチミン・ドンナイ・ハイフォン・ダナン・ジャカルタ・クアラルンプール・プノンペン・ヤンゴン・ニューデリー・グルグラム・ムンバイ・ニムラナ・チェンナイ・ベンガルール・アーメダバード・シドニー・メルボルン・バーレーン・ドバイ・ダッカ、東アジア：北京・台北・天津・長春・上海・広州・大連・深セン・蘇州・武漢・成都・長沙・青島・常熱・無錫・瀋陽・福州・香港・ソウル・プサン、米州：ニューヨーク・ヒューストン・デトロイト・サンフランシスコ・ロサンゼルス・シカゴ・プレイノ・サンパウロ

片山　セキュリティのインシデントは、セキュリティ対策が難しい海外の支店・工場で発生することが多くなってきています。
KDDIは主要な都市はもちろん、一部、地方都市にも拠点を構えています。日本人スタッフと現地のエンジニアが一緒に対応しますので、現地法人の方々にもきちんと現地の言語で説明しています。
日本にいる情報システム担当者さまは、日本語でKDDIのスタッフと対策を検討いただけますので、言語のストレスはありません。
日本の担当者さまの感覚を理解しながら、お客さまの代わりに海外の現地に出向いて対策を取るため、強い安心感を持っていただいていると思います。

池田　日本から見ると、現地での対応はすべて英語で行うと思われるかもしれませんが、タイならタイ語、ベトナムならベトナム語でないと日本側の要望は現地の従業員の方に伝わりません。
現地の従業員の方がきちんと理解することができる体制・仕組みを有しているか？ということまでを考慮して、しっかり対策を練っていくのが「セキュリティ」であると考えています。
KDDIでは、そうした言語の壁にお困りのお客さまをご支援できる体制が整っていると信じています。

幅広いサービスからお客さまの課題に最適なソリューションを提供

――今後、グローバルに進出する日系企業へのKDDIのITガバナンスのサービスはどのような展開を図っていくのでしょうか？

片山　2023年7月、弊社ではグローバルに対応したセキュリティサービス「Global SASE Platform Service by Fortinet (以下、Global SASE) 」の提供を開始しました。
これまで弊社では数多くの日系企業をサポートしてきましたが、地方都市でのエンジニア確保の難しさ、エンジニアの採用コストの高騰と離職率の高さ、海外拠点でセキュリティを担保する難しさを実感してきました。しかし、これまでお伝えしてきたように、海外へ進出した企業は、ビジネスの加速と同時にセキュリティの確保が重要な課題となっています。

「Global SASE」は、グローバルでのセキュリティ対策に必要な主要機能を網羅したセキュリティサービスで、弊社の国際的な通信網を活用し、既存のインフラを変えることなくセキュリティが担保された状態を保つことが可能です。
サポートは弊社が展開する数多くの海外拠点が対応します。お客さまにはぜひ、情報セキュリティの問題に悩まされず、本業の事業に集中していただきたい。「Global SASE」は、その思いから生まれたサービスです。

KDDI が提供する統合セキュリティ（Global SASE Platform Service（Global SASE Platform Service by Fortinet）、グローバル PoP（自社/パートナー）、VPN（KDDI Wide Area Virtual Switch、KDDI Wide Area Virtual Switch 2、KDDI Global IP-VPN）サポート）を総合管理ポータルやマネージドでサポートします。

※ 中国では2024年度提供開始を予定しています。

池田　まずは、日本の本社で海外拠点を含めたグローバルのITセキュリティに関するルールをしっかり定めて、それを海外拠点で実践します。セキュリティはあくまでもルールだと考えており、海外拠点を含めて共通化したプラットフォームや運用体制をもとに、ITのガバナンスを運用する必要があります。
そして、海外拠点でそのルールを適用するときは、現地の法令や文化、習慣、言語などを鑑みて調整をしていくのです。
「Global SASE」はグローバルで共通してご利用いただけるプラットフォームの選択肢のひとつです。