グローバル企業が直面する見えないサイバーリスク
～KDDI×LACと挑むゼロトラスト戦略～

サイバーセキュリティは、経営層が真剣に取り組むべき最優先課題の一つである。DXが進むなか、リモートアクセスの普及により場所や端末を問わず社内システムに接続できるようになり、取引先やサプライヤーなど、外部との連携も密接になっている。その結果、社内外の境界に依存する従来型の防御には限界が生じ、あらゆるアクセスを検証するゼロトラストや、世界中に分散するデータへのガバナンス強化が経営課題として浮上している。

サイバー攻撃の手法は年々多様化・巧妙化しており、近年ではAIを活用した攻撃が高度化し、人間の判断を上回るスピードで被害が拡大するおそれがある。特に最近は、マルウェア感染の脅威が深刻化しており、セキュリティ対策が不十分な箇所を起点に、サプライチェーン全体へ被害が広がるリスクに直面している。また、ITネットワークだけでなく、制御システム (OT) 領域を狙った攻撃にも備える必要があり、製造現場やインフラ企業ではサイバー攻撃による業務停止のリスクが現実のものとなっている。

実際、重要インフラ企業への規制強化や、金融庁の内部統制報告書への記載義務化を背景に、日本でも情報セキュリティの責任を経営として明確化する動きが加速している。もはやサイバー攻撃対策を現場任せにすることはできず、経営陣がリーダーシップを発揮して全社的な備えを進める必要がある。

サイバー攻撃による被害は、企業の事業継続に直結する重大なリスクである。被害が発生すれば直接的な金銭損失だけでなく、機密データの漏えいやサービス停止による信用失墜で甚大な打撃を受けかねない。ある海外調査では、サイバーセキュリティ侵害の復旧対応に200人以上の人員を要したとの報告もある。経営層はこうしたリスクを経営課題として正面から捉え、迅速な復旧を可能にする体制を平時から整えておく必要がある。

人口減少を背景に多くの日本企業が海外展開を進めるなか、グローバル事業には「潜在的な」セキュリティリスクがある。拠点ごとに言語やIT管理体制が異なるため、本社から現地の実情を把握しづらく、リスクの「死角」が生じやすい。実際、「全拠点の状況を迅速に把握せよ」と指示されても、着手の優先度が分からない、現地とのコミュニケーションや信頼関係の構築に壁がある、といった問題がある。

また近年、特に増えているのがサプライチェーンを狙った攻撃である。自社が堅牢な防御を整えていても、セキュリティ体制の甘い海外子会社や協力会社が踏み台にされ、本社の機密情報が漏えいする事例が増加している。実際、海外の脆弱な拠点を経由してマルウェアに感染する被害は各地で現実化しており、「弱いところから侵入する」手口への備えが急務だ。ラックの調査によると、実機を使ったマルウェア感染のシミュレーションを行ったところ、海外拠点のセキュリティ設定で見落とされていた脆弱箇所が明らかになるケースがある。さらに、企業が全拠点のIT資産を把握できていないこともリスクを高める要因だ。ある企業では全社的なセキュリティアセスメントを実施し、対策を講じたにもかかわらず、把握漏れしていた機器 (シャドーIT) が数カ月後に攻撃を受け、被害に遭っている。まさに「見えないリスク」が現実化した典型例といえる。
 

加えて、各国の法規制の違いも無視できない。個人情報やログ管理に関する法律は国ごとに異なり、統一的なセキュリティ環境の構築には法令遵守の面で大きなハードルがある。例えば、欧州のGDPRはデータ移転を制限しており、ベトナムでは国内にログを保管する義務が課されている。このように、グローバル展開の加速によって企業のセキュリティリスクは複雑化・潜在化している。実際、日本企業の海外拠点数は2018年の約6万社から2023年には約7万9千社へと30%増加しており、それに伴い「ITガバナンスの強化」が多くの企業にとって喫緊の課題となっている。見えないリスクをどう可視化し、統制を利かせるか、経営層がグローバル視点でセキュリティ戦略を策定することが不可欠だ。

グローバルなセキュリティ対策を語る上で、「ゼロトラスト」は欠かせないキーワードである。ゼロトラストとは「社内外を問わず、すべての通信を信頼せず常に検証する」という考え方であり、従来のように社内ネットワークを全面的に信頼する前提を捨て去るものだ。これまでの主流とされていたのは、ファイアウォールなどで社外からの攻撃を防ぐ境界防御だった。
しかし今では内部ネットワークも安全とはいえず、すべてのアクセスに対してユーザーやデバイスの正当性を確認するゼロトラスト型セキュリティへの移行が求められている。近年猛威を振るうランサムウェアをはじめ、高度化するサイバー攻撃に対応するため、SASEやDLP、CASBなど、ゼロトラスト関連ソリューションの導入が広がっている。

KDDIもセキュリティ強化策の一環として、この流れに沿ったゼロトラスト環境の整備に踏み切った。この背景には、多数の海外拠点を持つKDDIが直面していた三つの課題がある。

一つ目は「巧妙化するサイバー攻撃への対応」だ。近年、日系企業の海外拠点を標的とした攻撃が急増しており、現地から重要情報が漏えいするリスクが高まっていた。

二つ目は「技術人材の確保」である。KDDIは海外展開する法人顧客へのIT支援を行う一方で、自社内のSE (システムエンジニア) が不足し、IT部門の負荷が増大していた。

三つ目は「日本からのITガバナンス強化」だ。海外拠点ごとに独自のシステム環境を構築していたため、本社側では全体の状況を把握しきれず、ITガバナンスの一元管理が困難であった。

こうした課題を受け、KDDIは自社で構築した日本国内のゼロトラスト環境を、段階的に海外へ展開する方針を決定した。2019年末から社内システムのゼロトラスト化を進め、2020年11月までに国内のゼロトラスト環境への移行を完了。さらに2021年からはシンガポールでの試験導入を経て海外拠点への展開を開始し、2022年12月には22ヶ国49の海外拠点すべてで稼働する体制を整えた。ゼロトラストの導入により、KDDIは国内外を問わず社員が「いつでもどこでも安全に」業務を行える基盤を構築した。具体的には、社給PCすべてにEDR (エンドポイント検出) や資産管理ソフトを導入し、クラウド型のセキュアWebゲートウェイ経由でインターネットやクラウドサービスにアクセスさせることで、場所を問わず統一ポリシーによる防御を実現している。

一方で、グローバル展開では各国法規制への対応が課題となった。ゼロトラストではアクセスログ管理が必要となるが、国によってログの取り扱いに関する法規が異なる。例えば米国製クラウドサービスを利用する場合でも、ベトナムでは自国にログを保存することが義務づけられている。KDDIは各国法令を精査し、自社システムを調整することでこの課題を克服し、世界規模でのゼロトラスト展開を実現した。この知見は、グローバル企業がゼロトラストを導入する際の貴重なノウハウとなっている。

もっとも、ゼロトラスト化は一朝一夕に成し遂げられるものではない。経営層が留意すべきは「段階的な移行」と「守るべき資産の明確化」である。ゼロトラストはしばしばバズワード的に語られるが、既存システムを一挙に完全ゼロトラストへ置き換えるのは現実的でない。まずは境界防御の発想から離れ、ゼロトラストの核となる「アイデンティティー中心」の実装へ少しずつ考え方をシフトしていくことが移行への第一歩となる。さらに欠かせないのが「データ中心の視点」である。企業にとって本当に重要なデータは何かを分類・特定しなければ、効果的なセキュリティは実現できない。逆に重要データが不明確なまま技術基盤だけ導入しても、十分な効果は期待できない。したがって導入の出発点は、自社の情報資産を洗い出し、機密度に応じて分類する作業である。その上で、段階的に全体を移行していくことが望ましい。

ゼロトラスト環境を維持するには、継続的な監視とユーザビリティの両立も不可欠だ。最新の脅威に備えるためにはログの常時監視や定期的な設定見直しが必要だが、業務効率を損なえば本末転倒である。守るべき資産は保護できても、現場社員の生産性が下がり、顧客への価値提供が滞れば意味がない。この「利便性と強固さをどう両立するか」という課題に対し、理論だけにとどまらずKDDIが全社および海外拠点にゼロトラストを導入する過程で得た知見も、ゼロトラスト化を目指す企業へ共有、還元できればと考えている。

サイバーセキュリティにおいては「人材」の問題も深刻である。経済産業省の推計によれば、日本国内の情報セキュリティ人材は約11万人不足しており、実に9割近い企業が不足を実感しているという。だが課題は単なる人数の不足ではない。必要とされるスキルがあまりに幅広い点こそ本質的な問題だ。サイバー攻撃の監視・防御からインシデント対応、さらにはクラウドやOT (制御システム) まで、企業が備えるべきセキュリティ機能は多岐にわたる。一人のセキュリティ担当者がすべてを担うことは不可能であり、役割分担を組織的に整理しておかなければ現場は混乱し、結果として「人手が足りない」と感じることになる。
 

もう一つの問題は、社内ナレッジ共有とセキュリティのバランスである。例えば、ノウハウ共有を目的に社員が自由にアクセスできる環境を整えると、セキュリティ上のリスクが生じる。一方で、セキュリティ強化を重視しすぎて過剰にアクセス制限や権限管理を行うと、情報共有や人材育成の妨げになる可能性がある。セキュリティ人材の育成においては、情報の保護をしつつナレッジを共有する仕組みを整えることが重要である。

グローバル企業における課題は、現地のITガバナンスが未整備であることだけでなく、言語や文化、ITリテラシーの違いも大きな障壁となる。現地の業務や組織構造を正確に理解しなければ、的確な対策は講じられない。ヒアリング調査と、ツールを使った実機調査を併用することで、現地の体制や業務内容を把握し、信頼関係の構築が可能になる。机上調査だけでなく、現場に足を運び、ネットワーク設定や資産構成を直接確認することで、リスクを可視化し、実効性のあるガバナンス強化につなげることができるのだ。

サイバーセキュリティ対策は、自社だけで完結させるには限界がある。グローバル化とともに脅威は多様化しており、信頼できるパートナーと連携して取り組むことが重要だ。その点、通信インフラで培った「つなぐチカラ」を持つKDDIと、サイバーセキュリティの専門知識を有したラックの「守るチカラ」が融合するシナジーは心強い。

KDDIとラックの支援は、単なるソリューションの提供にとどまらない。企業のサイバーレジリエンスを高めるため、あらゆるフェーズに対応する伴走型の支援を行う点が大きな特長だ。具体的には、戦略立案支援やガバナンス体制構築、リスクアセスメントによる「見える化」、ゼロトラスト環境の整備、脆弱性対策支援、インシデント対応、社員向けの教育・研修までをワンストップで提供可能だ。
 

さらにKDDIは通信事業者としての強みを生かし、ITインフラの企画・構想から運用まで、一貫した支援が可能だ。

もう一つの強みはグローバル対応力だ。KDDIは各国に拠点を持ち、現地事情に詳しいスタッフを擁しているため、現地での調査や対策導入を円滑に進められる。一方、日本側の専門家は本社のガバナンスポリシーを基盤にプロジェクト全体を統括し、現地との橋渡しを担うことで、整合性の取れたセキュリティ体制を実現する。

「備えあれば憂いなし」。サイバー攻撃を受けても事業を止めずに乗り越えるには、平時からの総合的な備えが欠かせない。グローバル展開やサプライチェーンリスクへの不安を抱える経営者は、ぜひ一度相談してほしい。その豊富な知見と実績に基づく提案は、サイバーレジリエンス強化への確かな一歩となるだろう。