こんにちは！
IIJ Global Solutions Singaporeの劉と申します。
弊社は2019年4月より、アジア太平洋地域LanScope Catの総代理店として活動をしております。私は主に日系企業様の営業を担当しており、シンガポールに赴任して今年で7年目になります。
今回は、私がシンガポール赴任以来、さまざまなお客様とのお付き合いの中で気づいた、日系企業が抱える「海外現地法人のリアルな課題」について書いてみたいと思います。もちろん海外現地法人の実態は、業界や会社規模によっても大きく違いますが、あくまでも一つの参考としてお読みいただければ幸いです。

東南アジアのセキュリティ事情

東南アジアのセキュリティ事情は日本と大きな差はなく、ランサムウェア、BEC、フィッシングサイトなどの被害が拡大しており、「ランサムウェアでファイルサーバ全体が暗号化されてしまった」「BECメールを受け取り、詐欺の宛先に振り込みをしてしまった」という話を時々伺います。

シンガポールの政府機関であるCyber Security Agency of Singaporeが、2019年のシンガポールのサイバーセキュリティの状況を公開しています。本レポートによると、シンガポールで起こった犯罪の26.8%はサイバー犯罪であり、その件数は前年と比較して51.7%も増加したとされています。

また、国際刑事警察機構（ICPO-Interpol）配下の組織でASEAN地域でサイバーセキュリティ対策支援を行うASEAN Cybercrime Operations Deskでも、本年2月発行のレポートの中で、ビジネスメール詐欺をはじめとしたさまざまなセキュリティ脅威は、ASEAN地域全体で年々増加していると書いています。

海外現地法人と日本本社のネットワーク

日本企業の海外現地法人の多くは、国際IP-VPNやインターネットVPNで本社と接続しています。特に金融機関をはじめとしたセキュリティ統制を強化している企業では、インターネットへの出口を日本本社に限定するなどの構成を取っているケースも多いようです。駐在員を置いている拠点であれば、そのネットワークを経由して、本社のイントラサイト、人事系システム、ファイルサーバにアクセスし、時には基幹システムを利用する場合もあります。

日系企業の多くにとっては一般的なネットワーク構成ですが、もし万が一海外現地法人に何らかのセキュリティの課題が発生した場合、多少なりとも日本も影響を受ける可能性があるという事を忘れてはいけません。

海外現地法人のITの実態

昨今、海外現地法人のガバナンス強化の中で、ITガバナンスも以前より重要視されるようになっており、日本本社のIT部門が海外現法のIT環境の実態把握に着手し始めています。しかし、ビジネス状況に合わせて日々変化する海外現法のIT環境を、なかなかタイムリーに把握ができないというのが実情ではないでしょうか？

私が日々営業活動をする中で、ある日系企業のシンガポール人のIT担当者様から、こういった話を聞くことがあります。

「日本経由でインターネット接続をしているが、あまりにも帯域が細く仕事にならないので、現法のスタッフは近くのスターバックスに行ってフリーWi-Fiで仕事をしている」

また別のお客様からは、このようなお話も伺ったことがあります。

「来社されたお客様のために、ゲスト用インターネット接続とWi-Fiを用意しているが、そちらの方が使い勝手が良いので、多くのスタッフがひそかに使っている」

総じて言える事は、利用者側の意見が強く、IT担当者様は社員に強く不満を言われてしまうと、解決のために現地で法人独自のネットワーク環境を用意することになってしまうという事です。その様な事が一つずつ積み重なって、結果的に大きなセキュリティホールが生じる可能性が大きくなっていきます。

IT担当者様が不在の海外現地法人も多いので、「ISPが設置したルータがインターネット側から簡単にログインできる状態になっていた」とか、セキュリティとは少しずれますが、「自社で利用している機器に保守契約があるかないか分からない」「ログインIDとパスワードも分からない」といった状況になりがちです。

海外現地法人と日本本社が抱える大人の事情

「であれば、海外現地法人も日本拠点のように本社で集中管理すればいいのでは」と思われるかもしれませんが、その通りにいかない事情があります。例えば、

・海外現地法人と日本本社では確保できる予算規模が違うため、日本と同じようなコストをかけた対策がとれない
・だからと言って、日本本社が全てのコストを負担するのは税制面で課題もある
・海外現地法人のセキュリティを管理ができるだけのリソースが、日本本社側にもない
（日本本社のIT部門は日本の案件だけで手いっぱい）
・海外現地法人に日本人のITスタッフがいないのでコミュニケーションが難しい
・海外現地法人に専任のITスタッフがおらず、総務や経理が兼務しているケースが多いので、本社からの難易度の高い指示には対応できない
・海外現地法人が日本本社の言うことを聞いてくれない

などです。これらはごく一部の例ですが、どれもお客様を悩ませる深刻な課題です。

私も一度、日本本社のIT部門様と海外現地法人の社長様の板挟みになって困ったことがあります。

＃日本のIT担当者様：
「日本で標準としているセキュリティ基準を、現地法人の社長に説明して提案してほしい（もちろんコストは現地法人負担で）」
＃海外現地法人社長様：
「貴社は日本本社の言いなりになっている、もっと海外現地法人にあった提案をしてほしい（IT対策にはお金をかけられない）」
＃私： 「。。。（汗）」

最終的には、日本のIT担当者様にお願いして、自社のセキュリティ方針を再度海外現地法人にご説明いただき、さらに私の方で海外現法の社長様に、最低限必要なセキュリティレベルをご説明することで、システムを導入していただけることになりましたが、こういったことは、大なり小なり起こりうることです。

有効なソリューションは？

もちろん、こういった大人の事情を乗り越えて、きちんと海外現地法人のセキュリティ対策を実施されている企業もありますが、まだまだ多くの企業が、このような課題を抱えたまま、海外現地法人に対して必要なセキュリティ対策を実施しないままになっているというのも事実です。

しかし、日本本社と海外現地法人がネットワークで接続されている状況で、かつ、昨今のマルウェアが完全に金銭目的になっていることを踏まえると、何も手を打たないということは、あとになって大きな被害を生む可能性があります。攻撃者が日本本社を狙うために、海外現地法人から侵入を試みる可能性も十分に考えられます。

では、どのような対策を取るのか？　どのようなソリューションを導入すれば有効か？　と質問をいただくことがありますが、検討に際しては以下の3点を重要なポイントとしてご説明しています。

1.情報漏洩・マルウェア感染を防御できるソリューションか？
2.日本から海外現法の状況が見える化できるソリューションか？
3.海外現地法人のIT担当者様も関与できるように、インタフェースなどが英語化されているソリューションか？

海外現地法人の限られた予算の中ではまず、何を優先して導入するのかを明確化する必要があります。まず対策すべきは、「会社の重要な情報資産を守ること」と「業務継続性の面からもマルウェアに感染しない対策を取ること」だと考えています。加えて、海外現地法人が日本本社への侵入ゲートウェイになることを防ぐことも重要です。

海外現地法人はIT人材が不足している場合が多いので、日本のIT部門がリモートで海外現法の状況を都度確認し、アドバイスできるソリューションが有効です。日本のIT部門がすべて対応するのではなく、現地のIT担当者も参画できるソリューションを導入することで、海外現地法人のレベルアップも期待できます。

導入するソリューションとしては、やはりエンドポイント対策ソリューションが有効ではないかと思います。セキュリティリスクの経路は、メール、Webサイト閲覧、USBなどの外部デバイスなど、多岐にわたるため、やはりエンドポイントを強化することがまずは即効性があると考えられます。

現地IT担当者とのコミュニケーション

私がこれまで見てきた中で、日本のIT部門の方々の多くは、日本からの赴任者と会話をすることが多いように思います。それ自体は当然の事なのですが、現地IT担当者と距離ができる傾向にはないでしょうか？

東南アジアの方々は言葉に対して非常に寛容で、真面目で飲み込みも早いので、もっと密にコミュニケーションを取り、日本本社のITに対する考え方や、セキュリティの重要性を説明することも、海外現地法人のレベルを上げるための効果的な施策ではないかと感じます。そうすることで、同じIT担当同士、気軽に相談を受けられる環境ができれば、現地法人の意識も高まり、勝手にフリーWi-Fiを導入するようなことも減るかもしれません。

最後に

われわれ日系のITベンダーは、現地でソリューションを提供するだけでなく、こういった日本本社と現地法人の考え方のギャップを埋めるお手伝いもしております。

IIJグループはシンガポール以外にも、タイ、インドネシア、ベトナムに拠点をもち、日本人と現地スタッフの協力のもと、お客様のIT環境の整備にご協力させていただきますので、遠慮なくお問い合わせくだされば幸甚です。

＜連絡先＞
IIJ Global Solutions Singapore Pte. Ltd.
1 Commonwealth Lane, #07-12 One Commonwealth, Singapore 149544
Phone: +65-6773-6903
Email: sales@ap.iij.com