ますます脅威を増し、後を絶たないサイバー攻撃に対し、セキュリティ強化は経営上の重要課題です。今回は製造業各社の共通課題である、海外のグループ会社に対するセキュリティ確保について考察します。

製造業では、業態や規模に関係なく、ほとんどの企業が海外に生産拠点や販売拠点を展開しています。しかも海外の売上比率や生産比率は年々高まり、今や多くの企業において、海外のビジネスボリュームが国内と同等、あるいは大半が海外となりつつあります。そして、今後も継続的に成長していくために、海外拠点をさらに増やしていくと想定されます。

一方で、それに併せて、海外拠点で保有される情報資産が増えていき、グループ企業間での情報連携や情報共有を進めるためのグループ内ネットワークも拡充されていきます。このように増え続ける海外拠点の情報資産はサイバー攻撃の格好のターゲットとなります。標的型攻撃メールやランサムウエアなどによる、大きなセキュリティリスクを抱えることにもなります。さらに、セキュリティ対策が脆弱な海外拠点を狙って侵入し、そこからネットワークを介して本社、グループ内に侵入してくるマルウエアの被害に遭うリスクも高まります。攻撃者は常套手段として守りの最も弱い部分を狙い、ありとあらゆる方法を駆使して、地域と時間を選ばず企業の情報資産を狙ってきます。セキュリティ攻撃に国境はありません。企業は本社がある国内だけでなく、海外拠点を含むグループ全体のセキュリティ攻撃への対策を考えなければなりません。

海外ビジネスの拡大に伴い、セキュリティ管理上の留意点がもう一つあります。昨今の情報資産の重要性の高まりに併せて、国ごとや地域ごとの情報の取り扱いに関する規制が強化されています。グループ内海外拠点のセキュリティが適切に管理できなければ、操業停止などビジネス面の損失になるだけでなく、顧客や取引先の信用を失い、重い罰則を受ける可能性もあります。

激しくなる一方のサイバー攻撃に対し、グループ内海外拠点のセキュリティレベルを本社並みに高めていきたいところです。しかし、国内拠点のセキュリティ対策はなんとかできていても、海外拠点に対する対策はなかなか進まない、またはどう進めるべきか悩んでいるという企業がほとんどです。製造業の海外拠点のセキュリティ対策には、海外拠点ならではの特有の難しさあります。

図表1：海外グループ拠点のセキュリティ管理上の難しさ
(クリックして拡大できます)

まず、国内同様に本社主導で海外拠点のセキュリティ対策を進めようとしても、現状把握や情報伝達において距離や時差、言葉の壁があり、多大な時間と労力を要することになります。対策立案の前提となる各拠点が位置する国や地域独自の法規制、そして拠点固有のIT環境等を理解し、個別に対応していく必要がありますが、本社主導では負担が大きく、従事できる本社要員も限りがあります。結果的に全てに遅れや手間が生じ、セキュリティ対策はなかなか行き届きません。
では、海外拠点主導で進めていく場合はどうでしょうか？一般的に、海外拠点の多くが小規模で体制や予算も限定されるため、セキュリティ対策や運用のレベルは不十分なものとなり、グループ内にはセキュリティ攻撃に脆弱なままの拠点が残ってしまいます。また、海外拠点の中には、最近M＆Aした企業など本社のガバナンスが効きにくい拠点、元々本社の方針に素直に従わない大規模拠点が存在し、拠点ごとのセキュリティレベルにバラつきが出てしまいます。

そこで、製造業各社の共通課題である海外拠点に対するセキュリティ確保の現実的な解決策は、本社の統制と拠点の自律をうまくバランスさせる方法です。中には全て本社主導で、グループのセキュリティ・ポリシーを定め、方針や基準、手順そして導入するツール群まで統一し、海外拠点におけるログも本社で集約し、分析・検知できている企業もあります。しかし、このように、各拠点へのポリシーの周知や教育を徹底でき、標準ツールの調達と導入・運用を完遂できる本社要員体制を敷くことは大半の企業にとって極めて困難です。セキュリティ基盤をグループで統一する一方で、各地域の法規制に則った運用・管理、各拠点固有のIT環境での標準ツール導入・運用など多くの課題をクリアできなければなりません。この為、目指す方針や基準、複数の推奨ツールは本社主導で統一・提示し、その手順の具体化や最適ツール選定は、各拠点が自社状況に応じて実施するといったバランス型が、多くの企業にとって有効で、実現性の高いセキュリティ対策となります。

図表2：本社主導の統制と拠点自律のバランスによる海外グループ拠点のセキュリティ確保
(クリックして拡大できます)

国内ではハイレベルのセキュリティ対策を講じていても、海外拠点で同じレベルの対策ができておらず、企業全体としてのセキュリティレベルは低いままという企業は少なくありません。グループ全体のレベルを引き上げていくには、本社がリーダーシップを発揮し、海外拠点の事情を考慮した取り組みを進めていく必要があります。複雑かつ変化するグループ環境の中で、必ずしもグループ内の統制や標準化のみに傾倒するのではなく、本社の統制と海外拠点の自律をうまくバランスさせながら、社内外のステークホルダーから信頼されるセキュリティ対策をとられることをお奨めします。

2023年6月