グローバル企業においてセキュリティ対策を推進する際の課題と留意点

こんにちは。はなくとです。
今回は、グローバル企業においてどのようにセキュリティ対策を推進していけばいいのか思うところを書いてみます。

1. セキュリティ対策を推進する際の課題と留意点

まず最初にグローバル企業にはどのような課題があるのか考えてみます。また、ここで言うグローバル企業とは、国内外に拠点を持つ企業のことを指します。
課題を考えるにあたり、

①日本国内のみに拠点がある場合
②海外にも拠点がある場合

に着目して課題を考えてみます。

1.1 日本と海外の違い

まず最初に思いつくのは、物理的な「場所(国)」の違いが挙げられます。
そして「場所(国)」の違いに伴い、そこに住む人(民族、文化)の違いや、そこで施行されている「法規制」が違います。

これらの違いによってどのような課題があるのか考えてみます。

1.2 グローバル企業におけるセキュリティ対策推進時の課題

前述した「場所(国)」の違い、「人(民族、文化)」の違い、「法規制」の違いに起因する課題を下記の表に整理しました。

項番違い課題
1場所の違い複数の海外拠点で保有する情報資産の把握。
2複数の海外拠点のセキュリティ対策実施状況の管理。
3人の違い

文化、宗教等の考え方の違いを考慮したセキュリティ対策の導入。
例)労働者の高い流動性、モラル、企業への帰属意識の違い等

4法規制の違いセキュリティ関連の法規制に対する正確な解釈。
5

セキュリティ関連の法規制に対する正確な解釈の全海外拠点での共有。翻訳時のニュアンスの違いを乗り越える。

項番1~2は、どこにどのような情報資産があるのか?そしてそれを保護するためにどのようなセキュリティ対策が施されているのか?の把握であり、情報資産自体に着目しています。

項番3~5は、その場所ではどのような考え方を持つ従業員がいるのか?どのようなセキュリティ関連の法規制のもとでビジネスを実施しているのか?の把握であり、情報資産を取り巻く環境に着目しています。

項番1~5の課題によって、最低限守るべきセキュリティ対策のベースラインの策定が困難になり、セキュリティ対策が遅れている海外拠点からマルウェアの感染が拡大する、といったリスクが発生します。

下記の例を用いて説明します。

①外部デバイス制御を未導入の海外拠点Aにおいて、USBメモリから未知のマルウェアが侵入

②海外拠点B、Cでは外部デバイス制御を導入済だが、未知のマルウェアのため検知できない

大事なことは、海外拠点Aにおいて外部デバイス制御を未導入であったがために、未知のマルウェアの感染が海外拠点B,Cに拡大した、ということです。このようにセキュリティレベルの低いところから、インシデントが発生し拡大していきます。

1.2 グローバル企業におけるセキュリティ対策を推進するための留意点

前述した課題を踏まえ、グローバル企業がどのようにセキュリティ対策を推進していけばよいのか、留意点を「場所(国)」の違い、人(民族、文化)の違い、「法規制」の違い毎に整理しました。

項番違い留意点
1場所の違い各海外拠点の課題や状況をまとめるためのPMOを設置し、共通の課題や共有事項を一元管理する。
2協力的な海外拠点にセキュリティ対策を先行導入し、導入・運用時の課題を洗い出しておく。
3人の違い海外拠点の予算や運用負担を考慮したセキュリティ対策を検討する。スムーズに受入れられるよう密にコミュニケーションをとる。
4海外拠点毎に異なるセキュリティ対策(セキュリティポリシー含)を適用すると「差別」捉えられる可能性がある。
5誤解を防止するため、会議の議事録や取り決めは文書化し、内容について合意しておく。
6法規制の違い法律の専門家を交え、サイバーセキュリティ関連の法規制を正確に解釈する。
7翻訳時のニュアンスの違いをできるだけ避けるため、各海外拠点の現地語に翻訳できない単語の利用を避ける。難解な表現を避ける

2. セキュリティ対策の導入プロセス

ここでは、前述した課題の解決と導入プロセスについて書いていきます。と思いましたが、別途追加します(ごめんです)。大まかな流れは下記の記事と同じと思っています。

はじめに ここでは、セキュリティ対策を導入する際にどのようなプロセスを踏めば効果的か記載していきます。セキュリティ製品ベンダのカタログに記...

3. まとめ

グローバル企業においてセキュリティ対策を推進する場合、異なる国に拠点を持つため、国内企業では考えなくてよい、

①「場所(国)」の違い
②「人(民族、文化)の違い
③「法規制」の違い

を考慮する必要がある。

留意点としては、

①PMO設置による、情報の一元管理
②先行導入、密なコミュニケーションによるスムーズなセキュリティ対策の導入
②文書化や表現の工夫によるミスコミュニケーションの防止
③サイバーセキュリティ関連の法規制の正確な解釈

が挙げられます。

おしまい。

error: Content is protected !!