[架け橋 by CIO Lounge]

2024年4月10日(水)CIO Lounge

リスト

　海外に子会社や取引先を持ちグローバルに事業を展開する企業のセキュリティ環境は、不確実性を増しています。実際にサイバー攻撃により事業が停止するなどの被害も発生しています。最近の国際情勢を踏まえて経済産業省などがサイバーセキュリティ対策の強化に関する注意喚起を発出し、海外拠点を含めてリスク低減のための措置を継続して講じるように呼びかけています。

　しかし、サイバーセキュリティへの対処は単に技術的な問題ではありません。グローバルな環境で企業が直面する複数の課題に効果的に対処するためには、組織ガバナンス、人的要素、法的遵守、技術的進歩、技術革新への対応能力、インシデント対応能力、文化的感受性といった複数の要素を総合的に考慮する必要があります。

　このコラムでは、これらの要素がどのように組み合わさり、グローバルなセキュリティ対策に影響を与えるのかを探ります。また、日進月歩で進化するサイバー攻撃への対処法として、技術的進歩の重要性にも焦点を当てます。

　特に、私の経験を基にサイバーインシデント事例を考察しつつ、文化的感受性、法的な遵守、技術的進歩という3つの領域を中心に、進化し続けるサイバーセキュリティの脅威に対応するためには、企業がさまざまなセキュリティ課題に対処するためのアプローチを取り上げて、思うところを書いてみます。本コラムが少しでも読者の取り組みの参考になればと願っています。

サイバーインシデントのグローバルな事例からの知見

　まず、サイバーセキュリティです。2017年に「WannaCry」というランサムウェア攻撃がありました。この攻撃はセキュリティパッチを適用していないWindowsシステムを標的とし、データを暗号化して身代金の支払いを要求しました。当時、150カ国以上に影響を及ぼし、数十万台のコンピュータが感染しています。被害がこれだけ広範囲に及んだことは、パッチ管理とソフトウェア更新の重要性を浮き彫りにしました。

　2020年には、米SolarWindsの「Orion」というソフトウェア製品のサプライチェーンを悪用した攻撃がありました。製品ベンダーによるソフトウェアアップデートという信頼されたメカニズムを悪用し、数千の企業と政府機関に影響がありました。製品のサプライチェーンを通じた攻撃は対処が難しく、グローバルなビジネスネットワークにおける脆弱性を示すと同時に、第三者によるリスク管理を強化する必要性が認識されました。

　グローバルに事業を展開する企業において問題となるのは、ITインフラの更新頻度やセキュリティ対策の徹底度には、国ごとに大きな差があるという現実です。そのため地域差を考慮したセキュリティ戦略を立案・実行する必要があります。

　ところが日本企業では、海外拠点のITインフラの状況や運用実態が現地任せになっており詳細に把握できていないケースが散見されます。まず、海外拠点の状況を詳細な管理実態を洗い出すことが今後のセキュリティ戦略を立案するための第一歩になります。

文化的感受性とコミュニケーションへの考慮

　異なる文化や習慣を持つ国々で情報セキュリティ対策を効果的に行うためには、文化的感受性と効果的なコミュニケーションが不可欠です。例えば日本では「情報の共有」よりも「情報の保持」に重きを置く傾向が見られますが、欧米ではオープンな情報共有と透明性が重視されます。

　このような文化的差異を理解し、異なる地域におけるセキュリティポリシーの策定や教育プログラムの展開においてはその差異を重要な要素として考慮する必要があります。そのうえで地域における推進体制を確立しながら、地域特有の文化や事情に応じたアプローチを採用し、地域ごとのセキュリティ意識を高めることが欠かせません。

　私の勤務先では各国で異なるデータ保護法に準拠するために、地域ごとにカスタマイズしたデータポリシーを制定して活動していました。セキュリティ教育でも、米国やアジア、欧州といった地域統括会社のセキュリティ推進担当が中心となって各国の制度や文化に合わせた内容でトレーニングし、従業員がセキュリティの重要性を理解しやすくする工夫を凝らしていました。

　さらに国際的なプロジェクトでは、異なる文化間でのコミュニケーションを円滑にするために、多言語対応のセキュリティプロトコルや文化的差異を考慮した協働のためのガイドラインを設けたこともあります。これにより、異なる文化的背景を持つチームメンバー間での信頼と理解を築き、効果的な情報セキュリティ対策を推進できたと考えます。

●Next：変化する法制度への対応、テクノロジーとITツールの選定