経営戦略としてのセキュリティ─グローバル企業が直面する課題と解決策

　海外に子会社や取引先を持ちグローバルに事業を展開する企業のセキュリティ環境は、不確実性を増しています。実際にサイバー攻撃により事業が停止するなどの被害も発生しています。最近の国際情勢を踏まえて経済産業省などがサイバーセキュリティ対策の強化に関する注意喚起を発出し、海外拠点を含めてリスク低減のための措置を継続して講じるように呼びかけています。

　しかし、サイバーセキュリティへの対処は単に技術的な問題ではありません。グローバルな環境で企業が直面する複数の課題に効果的に対処するためには、組織ガバナンス、人的要素、法的遵守、技術的進歩、技術革新への対応能力、インシデント対応能力、文化的感受性といった複数の要素を総合的に考慮する必要があります。

　このコラムでは、これらの要素がどのように組み合わさり、グローバルなセキュリティ対策に影響を与えるのかを探ります。また、日進月歩で進化するサイバー攻撃への対処法として、技術的進歩の重要性にも焦点を当てます。

　特に、私の経験を基にサイバーインシデント事例を考察しつつ、文化的感受性、法的な遵守、技術的進歩という3つの領域を中心に、進化し続けるサイバーセキュリティの脅威に対応するためには、企業がさまざまなセキュリティ課題に対処するためのアプローチを取り上げて、思うところを書いてみます。本コラムが少しでも読者の取り組みの参考になればと願っています。

サイバーインシデントのグローバルな事例からの知見

　まず、サイバーセキュリティです。2017年に「WannaCry」というランサムウェア攻撃がありました。この攻撃はセキュリティパッチを適用していないWindowsシステムを標的とし、データを暗号化して身代金の支払いを要求しました。当時、150カ国以上に影響を及ぼし、数十万台のコンピュータが感染しています。被害がこれだけ広範囲に及んだことは、パッチ管理とソフトウェア更新の重要性を浮き彫りにしました。

　2020年には、米SolarWindsの「Orion」というソフトウェア製品のサプライチェーンを悪用した攻撃がありました。製品ベンダーによるソフトウェアアップデートという信頼されたメカニズムを悪用し、数千の企業と政府機関に影響がありました。製品のサプライチェーンを通じた攻撃は対処が難しく、グローバルなビジネスネットワークにおける脆弱性を示すと同時に、第三者によるリスク管理を強化する必要性が認識されました。

　グローバルに事業を展開する企業において問題となるのは、ITインフラの更新頻度やセキュリティ対策の徹底度には、国ごとに大きな差があるという現実です。そのため地域差を考慮したセキュリティ戦略を立案・実行する必要があります。

　ところが日本企業では、海外拠点のITインフラの状況や運用実態が現地任せになっており詳細に把握できていないケースが散見されます。まず、海外拠点の状況を詳細な管理実態を洗い出すことが今後のセキュリティ戦略を立案するための第一歩になります。

文化的感受性とコミュニケーションへの考慮

　異なる文化や習慣を持つ国々で情報セキュリティ対策を効果的に行うためには、文化的感受性と効果的なコミュニケーションが不可欠です。例えば日本では「情報の共有」よりも「情報の保持」に重きを置く傾向が見られますが、欧米ではオープンな情報共有と透明性が重視されます。

　このような文化的差異を理解し、異なる地域におけるセキュリティポリシーの策定や教育プログラムの展開においてはその差異を重要な要素として考慮する必要があります。そのうえで地域における推進体制を確立しながら、地域特有の文化や事情に応じたアプローチを採用し、地域ごとのセキュリティ意識を高めることが欠かせません。

　私の勤務先では各国で異なるデータ保護法に準拠するために、地域ごとにカスタマイズしたデータポリシーを制定して活動していました。セキュリティ教育でも、米国やアジア、欧州といった地域統括会社のセキュリティ推進担当が中心となって各国の制度や文化に合わせた内容でトレーニングし、従業員がセキュリティの重要性を理解しやすくする工夫を凝らしていました。

　さらに国際的なプロジェクトでは、異なる文化間でのコミュニケーションを円滑にするために、多言語対応のセキュリティプロトコルや文化的差異を考慮した協働のためのガイドラインを設けたこともあります。これにより、異なる文化的背景を持つチームメンバー間での信頼と理解を築き、効果的な情報セキュリティ対策を推進できたと考えます。

重要性増す世界各地域・各国の法制度への適応

　もう1つ、グローバル企業においては地域ごとの法制度に対応する必要があります。典型例がEUの一般データ保護規則（GDPR）です。GDPRでは個人データの扱いに関する厳格な規則が設けられており、違反すると企業は最大で年間売上高の4％、または2000万ユーロ（約33億円）のうち高い方の罰金が科されます。GDPRはデータ主体の同意取得、データの透明性、データ漏洩時の報告義務など、企業に多くの責任を課しています。

　一方、米カリフォルニア州の消費者プライバシー法（CCPA）は、消費者が自身の個人情報について知る権利、その情報を削除する権利、および情報の販売をオプトアウトする権利を含む消費者のプライバシー保護を定めています。

　アジアでもいくつかの国が独自のデータ保護法を導入しています。例えば、シンガポールの個人データ保護法（PDPA）は、個人データの収集、使用、開示に関する基準を定め、データ保護責任者の指定を義務づけています。インドでは2023年8月にデジタル個人データ保護法案（The Digital Personal Data Protection Bill）が成立し、データ保護の新たな枠組みが導入されました。

　このような異なる地域での法規制に対応するために、複数の重要な要素に注意を払う必要があります。企業は活動する各地域でのデータ保護法の要件を理解し、それに従うことが不可欠です。これは、法律順守だけでなく、顧客との信頼関係を築き、保持するためにも重要です。

　順守の取り組みは、データ保護オフィサー（DPO）や専門チームによって運営され、常に最新の法律変更に対応できるようにすべきです。特にGDPRのような厳格な法規制下では、個人データの国境を越える移転は特別な注意を要します。さらに企業は適切なデータ保護措置が施されていることを保証し、移転先国の法規制も満たしていることを確認する必要があります。

　このような各地域・国によるデータ保護法規制への準拠・対応は一度きりの取り組みではなく、継続的な活動が求められます。法制度は常に改定されるからです。各企業は技術的、法的、文化的な側面を統合したアプローチを採用し、グローバルなビジネス環境におけるプライバシーとデータ保護の要件を満たす必要があります。そこまでやってようやくグローバル市場での競争力を保ちつつ、顧客の信頼を獲得し、維持できます。

テクノロジーとITツールの選定も重要なミッション

　サイバー攻撃への対応、法制度順守のいずれについても、企業は適切なテクノロジーやITツールの選定・導入・活用が求められます。クラウドベースのセキュリティソリューション、エンドポイント保護、多要素認証などのセキュリティ技術を活用することが、グローバルな規模でのセキュリティ保護を実現するために欠かせません。適切なテクノロジーを導入していなければ、データ保護への取り組みが不十分であると見なされる可能性があるからです。

　しかし、これもまた難題であり、重要なミッションの1つです。テクノロジーやITツールを導入・活用するためには、地域ごとの法規制やインフラの違いを十分に考慮する必要があります。単に技術的な問題だけでなく、文化的、組織的な課題も含まれます。サイバーインシデントの情報を収集し、文化的感受性を持ちながら、適切なセキュリティ戦略と教育プログラムを展開することが、企業の貴重な情報資産を保護する上で不可欠なのです。

情報セキュリティ分野での革新を

　情報セキュリティ、なかでもサイバーセキュリティは、企業がグローバルな市場で競争力を維持し、顧客からの信頼を確保するための基盤となります。ここでは技術の進化、法制度の変化、そして文化的差異の理解という3つの柱を不可欠な要素として取り上げました。サイバーセキュリティ強化の取り組みは、これらの要素を統合的に考慮し、進化する脅威への継続的な対応により企業の持続可能な成長と顧客の信頼獲得を実現することが可能となります。

　これらの取り組みには完了はありません。最新の情報を感度高く把握し、常に柔軟かつ効果的に対応できる体制や取り組みを確立することが求められています。それは終わりのない旅路でもあります。未来を見据え、企業は新たなチャレンジの機会と捉え、革新を続ける必要があります。私としましては、今後とも読者の皆様と一緒に議論し、知見や実践を深めていきたいと考えています。