NTTコミュニケーションズ

Bizコンパス

なぜ海外拠点にセキュリティガバナンスが必要なのか
2018.08.06

経営者のサイバーセキュリティ:パンドラの箱の開け方第2回

なぜ海外拠点にセキュリティガバナンスが必要なのか

著者 山本 直樹

海外拠点のリスクは組織全体のリスク

 日本貿易振興機構(ジェトロ)が日本企業の決算資料を集計した結果を見ると、2000年時点で28.6%だった海外売上高比率は、2013年に50%を超過し、それ以降、高い水準のまま推移している。また、2018年7月1日の日本経済新聞によれば、日本企業による海外企業のM&A(合併・買収)は、2018年1~6月期に、金額ベースで12兆円弱、件数は340件と過去最高を記録したという。

 国内の人口減少・少子高齢化は今後ますます深刻になり、長期的な内需の縮小は避けられない。業種を問わず、経営者が海外に成長機会を求めるのは至極当然と言える。

 しかし、重要なのはM&Aの後である。「1+1で2になりました」というだけでは、経営手腕が発揮されたとは言いがたい。1+1が3にも4にもなるように、化学反応を促したり、大胆に効率化を図ったりすることが求められる。そのためには買収した海外企業の中に手を突っ込んで、精緻に内情を把握しなければならない。

 この点は、サイバーセキュリティ管理においても同様である。ビジネスをグローバルに展開する以上、その企業グループが一体となってサイバーセキュリティを推進する必要がある。しかし、実際には、本社から目が届きやすい国内拠点だけで管理を進めてしまう日本企業が珍しくない。M&Aで取得した海外子会社や、現地採用の従業員が大半を占める海外の工場・研究所等にセキュリティ上の問題が潜む可能性が高いことに薄々気づいていても、それがパンドラの箱であるかのように遠ざけられ、放置されているのだ。

 優先順位をつけて段階的に対応することは現実的なアプローチだが、見えにくいからと言って海外拠点が最後まで手つかずの状態で放置されてしまったら、グループ全体が大きなリスクに晒される。サイバー攻撃は、組織の最も脆弱な箇所から侵入し、やがては組織全体に及ぶものである。

 また、本年5月に施行された、EUの一般データ保護規則(GDPR)では、違反時にグループ全体の売上の4%か2000万ユーロ(約25億円)のどちらか高い方が制裁金として課せられる。たとえ小規模な事業所であっても、個人情報の取扱いを誤れば、グループ全体に責任が問われることになり、隅々まで目を光らせておかなかければならない。

 

グローバルガバナンスの3つの形態とは

「ガバナンス」という言葉は定義が曖昧なので、まず分かりやすいところから考えてみたい。グローバル企業におけるセキュリティ組織を、中央集権的な形にするのか、それとも、地方分権的な形にするのかという点だ。実際の企業では、必ずしもこれらの二者択一ではなく、両社の特徴を備えたハイブリッド型が採用されるケースも多い(図1)。それぞれの特徴は以下の通りだ。

図1

①中央集権型

・本社に属するセキュリティ部門が、海外拠点も含めた全拠点のセキュリティを管理する。

・当該セキュリティ部門がすべてのルールを司るため、一貫性が保ちやすい。

・当該セキュリティ部門は、強力なリーダーシップのもと、全拠点を支援するための能力と工数を確保しなければならない。言語能力も問われる。

・各国の法規制対応、個別の顧客対応等をすることは難しい。

・買収戦略を取らず、徐々に海外展開を進めるケース等に適している。

・各事業体・子会社への不当な利益供与にならないようにセキュリティ予算の取り方に工夫が必要。

 

②地方分権型

・各事業体や子会社の自治を尊重する。各国の事情にあったセキュリティ管理が可能になる。

・グループ内に様々なルールが乱立し矛盾が生じる可能性がある。

・すべての事業体・子会社が、自主的に同等水準のセキュリティ管理を推進する場合に限りグループ全体のセキュリティが保たれる。

・連邦制と呼べば聞こえは良いが、実態としてはガバナンスが存在していないケースがほとんど。

・買収後のコントロールが弱いと、結果的にこの形になる。

・セキュリティ予算を十分に確保できる子会社とそうでない子会社とでは、セキュリティのレベルに大きな差が生じる。

 

③ハイブリッド型

・グループ全体として最低限の共通ルールを設定するが、その運用は各事業体・子会社に一任される。

・買収後、能力的に①のモデルを採用することが難しい場合に適用されることが多い。

・昨今はグローバル共通で、クラウドベースの業務アプリケーションを利用する企業が多いため、ITガバナンスという観点では、買収直後からより中央集権的なアプローチが取りやすくなった。

・本社のセキュリティ部門が、各事業体・子会社の事業環境を正しく理解しないと、実効性のある管理はできない(現場に言うことを聞いてもらえない場合がある)。

・本社のセキュリティ部門と各事業体・子会社のセキュリティ部門の役割分担を明確に定義することが鍵。

・グループの共通ルールを各事業体・子会社にあった形で展開することができる。各社の実態にあった従業員向けのセキュリティ教育を実施しやすい。

 

 これらのモデル化した3つの形の中から、最適なモデルが見つかったら、その次に着手すべきなのは、情報が行き来するプロセスやコミュニケーション手段を確立することである。セキュリティポリシーや技術標準に関する教育コンテンツを配布したり、定期的に各国のセキュリティ責任者が一同に会するグローバルセキュリティ会議を開催したり、セキュリティ内部監査を実施したり、アプローチは様々である。

 何をするにしても骨の折れる作業なのだが、いつかそのうちやろうと思っているなら、今すぐ着手した方が良い。グローバルガバナンスは言うまでもなく、パンドラの箱であってはならない。

 次回(第3回)は、「投資領域としてサイバーセキュリティ」について論じてみたい。

山本 直樹

山本 直樹

PwCコンサルティング合同会社 パートナー, PwC Japan サイバーセキュリティ事業統括

コンサルティング業界で20年以上の業務経験を持ち、金融機関や大手製造業などに対して、サイバーセキュリティ、ITガバナンス、アイデンティティ管理、事業継続管理、IT組織改革、ITコスト管理、内部統制など、幅広い分野のサービスを提供。入社以前には、外資系コンピューターメーカーの情報セキュリティ統括責任者として情報セキュリティ管理、顧客情報のプライバシー保護、インシデントレスポンス、事業継続管理、SOX法対応に従事した経験も持つ。日本市場においては、サイバーセキュリティやITリスク・ガバナンスの専門家として認識され、テレビ、雑誌、ウェブなどでのコメント・寄稿やセミナー・カンファレンスでの講演などを数多く務める。近著「サイバー攻撃に勝つ経営(日経BP社)(https://www.pwc.com/jp/ja/knowledge/publication/cyber-attack2017.html)」。公認情報システム監査人(CISA)、公認内部監査人(CIA)。

この記事が気に入ったらクリック!

お気に入り登録

関連キーワード

SHARE

関連記事

グローバルITガバナンス確立のために何をすべきか

2018.03.07

実践に学ぶグローバルIT戦略第1回

グローバルITガバナンス確立のために何をすべきか

個別最適から標準化へ、新電元工業のグローバル戦略

2017.10.20

クラウドERPで実現するグローバル生販在の見える化

個別最適から標準化へ、新電元工業のグローバル戦略

三菱電機の海外事業強化の鍵、ハイブリッドクラウド

2017.02.10

働きやすさの向上を図るグローバルICT基盤を構築

三菱電機の海外事業強化の鍵、ハイブリッドクラウド

三井物産の“攻めのIT”を支えるグローバルIT基盤

2017.02.17

スピード経営に求められるIT基盤とは

三井物産の“攻めのIT”を支えるグローバルIT基盤