Global Reachグローバル展開する企業を支援

MENU

コラム|Column

コロナ禍を経て、一部の地域ではあるものの、再び日本企業が海外での事業を拡大しています。外務省の調査*によれば、進出先の約8割がアジア諸国、約1割が北米および欧州となっており、これは大企業に限った動きではなく、中小企業においても海外展開はもはや珍しいことではありません。

*出典:外務省「海外進出日系企業拠点数調査」

その一方、海外拠点や現地法人は日本本社からの状況の把握や統制、管理が行き届かない体制の場合も多く、言語や文化、慣習や法規制が異なるなどの事情も重なり、セキュリティリスクが深刻な課題となってきています。

本コラムでは、海外拠点や現地法人におけるセキュリティ脅威の実態と有効な対策を解説すると共に、現実的な解決策として、海外拠点向けに仕様を最適化したファイアウォール運用管理サービスのメリットを解説します。

海外拠点のセキュリティ対策、喫緊の課題とは?

1. 海外拠点でのリモートワーク拡大、サプライチェーン攻撃への対応

COVIT-19感染拡大を機に、全世界的にテレワークやリモートワークが拡大しました。SaaS などクラウドサービスの利用機会も増加し、社内ネットワークにアクセスするデバイスも、PCやスマートフォン、タブレットなど多種多様になりました。

そして近年、セキュリティが脆弱な海外拠点を経由して本社がターゲットにされる、サプライチェーン攻撃のリスクが高まっています。IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威」において、このサプライチェーン攻撃は2019年から3年連続で4位、2022年に3位、2023年では2位となるなど、その対策の重要性は高まり続けています。

(参考)サプライチェーン攻撃とは?―その有効な対策としてゼロトラスト・セキュリティの実現手法も解説

2. ASEAN各国で次々と施行されるサイバーセキュリティ関連法案への対応

ASEAN諸国ではマレーシアが2013年、シンガポールが2014年に「個人情報保護法」を施行したのを皮切りに、サイバーセキュリティ関連法整備が進んでいます。

マレーシアは2013年に、シンガポールは2014年に「個人情報保護法」をそれぞれ施行・発効。フィリピンは2016年に「データ・プライバシー法」を施行。インドネシアは2016年に「改正電子情報および取引(EIT)通信情報省規則」が成立。タイでは2019年に「個人情報保護法」、5つのデジタル・電子関連法と共に施行。ベトナムでも2019年に「サイバーセキュリティ法」を施行。これらの動きに留意しつつ、適切な対応が求められます。

イメージ図

海外拠点や現地法人のセキュリティ対策が国内より難しい理由

海外拠点や現地法人のセキュリティ対策が難しい最大の理由は、言うまでもなく本社からの管理が行き届きにくいことに起因します。そしてその原因は、

本社からの管理が行き届きにくい原因

  • 物理的な距離が離れているため、問題の発覚や対処が遅れる
  • 文化や風習の違いで従業員のセキュリティに対する意識が異なる
  • 国や地域により法令や整備状況に差がある
  • ネットワークなどのインフラ環境が国や地域により異なる

など、多岐にわたります。

これらを解消するには、

  • 全社統合的なセキュリティガバナンス体制の確立
  • 海外拠点や現地法人のセキュリティ対策状況や運用の可視化、障害時の迅速な現地での対応
  • 本社と海外拠点IT運用担当者とのコミュニケーション課題の解消(言語対応)
  • セキュリティ人材の獲得および育成、社員教育

といった対策が必要になりますが・・・。ご承知の通り、これらはいずれも一朝一夕にはいかず、実現に向けては多大なコストと時間がかかります。

海外拠点で取るべき現実的なセキュリティ対策とは

これらを実現する手法の一つとして、IIJでは海外拠点でのファイアウォール運用管理体制の整備をお勧めしています。その理由は、

  1. セキュリティインフラにおいて重要性の高いファイアウォールが、海外拠点においては運用が正しくなされていないケースが多い
  2. (上記1.を踏まえ)最終的に、解決策としてグローバル拠点全体をカバーできる統合的なセキュリティのサポート体制が求められる

という2点が挙げられます。

海外拠点のセキュリティガバナンス課題を解消するためには統合的なサポート体制が必要となります。しかし、セキュリティの整備対象項目は多岐に渡るため、まず初手として、ファイアウォールにフォーカスして整備を行うことが、現実的なアクションと言えます。

イメージ図

ファイヤーウォールを安全に運用するために必要なこと

1. 境界型セキュリティの強化

境界型セキュリティとは、ネットワークにおける外部からの悪意ある攻撃に対して、内部ネットワークとの境目(境界)に障壁を作ることで、攻撃を阻み内部ネットワークの安全性を保つというものです。ご存じの通り世界的なCOVID-19感染拡大の影響でテレワークが拡大し、クラウドサービス利用も広がりました。このような従来とは異なる働き方において、どの情報を社内ネットワークのどこに置くのか、ネットワークの外からのアクセス方法をどのように制限するのか、ログ取得の範囲や頻度を上げることも含めて境界型セキュリティの基準を上げ、見直しを図る必要があります。

2. 素早い不正検知とログ管理

どんなにグローバルでのセキュリティポリシーを定め、人材教育を実施し、セキュリティソリューションを導入したとしても、セキュリティリスクを完全になくすことは事実上不可能です。そのため、セキュリティインシデントが発生したとしても即座に対応できるよう、素早い不正の検知とログ管理を実行する仕組みが必要です。

3. 海外拠点のファイアウォールの運用体制を整備することで得られる効果

前述の通り、海外拠点のファイアウォールの運用体制を整備し、そこできちんとログを取り管理するという取り組みは、費用面や対応期間も含めて、現実的で効果の高い選択肢です。

その効果は、以下の通りです。

  • ファイアウォールで異常を検知するアノマリ検知機能を活用することで、海外拠点であっても不正なアクセスを適時検知できる体制を構築することが可能です。
  • ログ管理を行うことで、さまざまなセキュリティインシデントに備えることができます。例えば、通信ログの監視により、システムのアクセス急増やネットワークのトラフィック量増大などの事象にいち早く気付く事ができ、事前にサーバを補強するといった対策を講じることも可能になります。

イメージ図

海外拠点のセキュリティ課題を解消!IIJのファイアウォールマネジメントサービス

「海外拠点でも日本本社と同等のレベルでセキュリティ運用基準を運用したい」「海外拠点のセキュリティ運用管理コストの軽減」「セキュリティ技術者の確保」「日本と海外で異なるサービスレベルやセキュリティ脅威動向(脅威インテリジェンス)への対処」「多言語対応」など、多岐にわたるお客様ニーズにお応えするため、IIJは1994年のサービス開始以来、国内で1,000社以上にご利用いただいている「IIJマネージドファイアウォールサービス」を海外向け仕様に最適化した、「IIJ Firewall Management Service(IFMS)」を提供しています。本サービスは、日本で長年実績のある監視基盤や検知機能を活用し、IIJ海外現地法人のセキュリティエンジニアによる運用を実施します。日本本社およびASEAN現地法人で契約可能です。

1. IIJ Firewall Management Service(IFMS)サービスの概要

IIJ Firewall Management Service(IFMS)は、IIJの海外現地法人がサービスプロバイダとして、海外のお客様にIIJと同品質のサービスを月額で提供するマネージド型のファイアウォールサービスです。

本サービスは、日本にあるIIJの監視システムから24時間365日体制でお客様サイトのファイアウォール機器の稼動状態を監視します。ファイアウォールの通信ログを解析し、お客様固有の通信傾向を学習。通常と異なる変則的な通信が発生した場合に通信異常の検知(アノマリ検知)を行います。

また海外現地法人のエンジニアが、障害対応や月次報告書の作成までワンストップでサービス提供し、さらにサービスの導入支援や障害対応(オンサイト作業含む)なども実施します。

  • お客様の海外拠点のファイアウォール/UTM機器を、IIJの監視システム基盤から監視
  • 日本向けに提供しているサービスと同様の検知機能を、ASEAN各地域および中国でもご提供
  • 海外拠点の機器手配から導入設計/運用/保守/障害対応を、IIJのASEAN現地法人のセキュリティエンジニアがフルマネージドで対応
  • お客様からのお問い合わせに英語/日本語での対応(*中国契約においては日本語/中国語での対応)

イメージ図

まとめ

今回は海外拠点のセキュリティ強化のための現実的な施策として、IIJが提供する海外拠点向けファイアウォールマネジメントサービスについてご紹介しました。

サービスについての詳細は下記をご参照ください。

(参考)IIJ Firewall Management Service(IFMS)

さらに、IIJではお客様の海外拠点をIIJグループのセキュリティエンジニアが訪問し、第三者の視点から、現地のIT環境を調査し、現状をレポートにしてご提供するサービス「海外現地調査パッケージ」もご提供しています。

海外現地調査パッケージ