Global Reachグローバル展開する企業を支援

MENU

コラム|Column

中国オフィスのセキュリティ、対策は万全?

2014/08

中国に進出している日系企業の中国法人で、“セキュリティ診断”を実施するケースが増えている。その背景や診断の流れを簡単にまとめてみた。

セキュリティ診断は、お客さまの中国法人のIT環境が、現状、どのような状態にあり、どのような問題を内包しているのか調査するものです。よって、セキュリティ診断に向けた初回のミーティングは、お客さまも我々も大変緊張した状態で開始されます。どんな結果が出てくるのか、まったく予測がつかないからです。

中国法人の位置づけの変化

なぜ、最近になり調査依頼が増加しているのでしょうか?いくつか理由があります。かつて日系企業の多くは、安くて豊富な労働力を求め、生産拠点として中国に進出してきました。この時点では、工場内の生産情報の管理を行なっていればよく、社内にLANはあるものの、「日本本社につなげるネットワークには接続してはならない」と規則化されていたケースもあったほどです。実際、表計算ソフトで対応しているのが実情だったので、実務的にはそれで困るといったこともなかったのではないでしょうか。

中国の位置づけが、そうした生産拠点から巨大な13億人の“市場”へと変貌していくなかで、リアルタイムなビジネス状況を日本の本社が把握する必要性が生じました。それにともない、中国法人の情報システムは日本と連携したグローバルシステムに組み込まれつつあります。しかしながら現地法人では、ITスタッフを強化・増員することは容易でなく、対応に困っているのが実情です。そこで、本社との連携システム導入に向けて中国のシステムの実情を把握するために、診断のニーズが高まっているのです。

セキュリティ診断の流れ

診断は、お客さまの社内ネットワーク構成を正確に把握するところから始まります。よくあるのは、数年前のネットワーク構成図をもとに、全体の構成を探索していくのですが、増設されたりハブが連結されたりしていて、把握不能になっている……というケースです。分析を進めると、冗長化されていると思っていた構成が実はシングルだったりして、障害があれば通信できなくなるリスクを抱えているケースもあります。また、セキュリティソフトウェアが更新されていないとか、とても古いファイアウォールに使うルータが残っていて、現在の不正アクセスへの対応能力が弱いといった問題もあります。さらに、物理的なサーバルームのセキュリティ管理がなされていなかったりするケースも散見されます。

診断から見えてくるもの

診断時、必ず発見されるのは、不正ソフトウェアの使用です。お客さまは「きちんと購入した」と思っていても、実は不正OSだったりして、セキュリティの不安もさることながら、財政的にも大きなダメージであり、会社のイメージダウンにつながりかねません。

各社員のPCの利用状況の調査を通して見えてくるものもあります。例えば、経済状況などを把握することで、ビジネスにプラスになるニュースサイトの閲覧などは、日系企業ではそれほど厳しく管理されていたわけではありません。しかしながら、いざ調べてみると、ショッピングサイトで長い時間を費やしていたり、必要以上に動画のサイトを見ていたり、ゲームをやっていたり、株式投資を行なっていた場合もありました。さらには、利用記録がゼロ! つまり、ユーザにより記録が削除されていることもあり、実はこうしたほうがより深刻であったりします。

未雨綢繆

「未雨綢繆」とは、雨が降り出す前に戸や窓の修繕を行なうという意味で、日本語の「転ばぬ先の杖」と同じ諺です。中国人なら誰もがこの諺を聞くとピンとくるはずですが、こうした診断を通して、セキュリティに対する事前の意識を高めておくことが重要です。もし、心配のあるお客さまがいらっしゃったら、ぜひ我々にお問い合わせいただき、調査されることをお勧めいたします。

IIJ グローバル事業本部 グローバル企画部 袁 航

本記事は、弊社広報誌のVol.123(2014年8月発行)に掲載されています。
Topics 加速するIIJの国際展開「中国法人でのセキュリティ診断」
IIJ グローバル事業本部 グローバル企画部 袁 航
https://www.iij.ad.jp/news/iijnews/2014/pdf/vol123.pdf