海外インシデントが実際に発生、CISOはどう対応した?
サプライチェーンセキュリティのリスクが特に懸念されるのが、グローバルに事業を展開する大企業だ。海外に拠点をもつ企業では、各国の法規制に対応しつつ、セキュリティ対策を施していかなければならない。近年、個人情報保護やセキュリティに関する規制の動きが各国で見られるようになり、自社が事業を展開する国や地域に応じて個別に対応する必要性が高まっている。実際に海外拠点でインシデントが起きた場合も、こうした各国のルールに乗っ取った対応が必要となる。
イオンでは主に中国や東南アジアを中心に海外事業を展開しており、こうした拠点には日本で定めたルールを適用していると吉田氏。海外拠点では、日本に比べるとセキュリティ人材も十分ではなく、言語・文化の壁も相まって、いざというときの初動に後れをとる恐れもあるため、英語版・中国版といったようにルールを現地の言語で文書化して共有するなど、地道にフォローしているところだと説明する。
これを受け、内海氏は「仕事柄、様々な企業のセキュリティ対策状況を見てきましたが、グローバル拠点の統制となると、まだ立ち上がって間もないところも少なくありません。ようやく国内の整備が終わり、これから本格的に国外の対策に着手する企業も多いと実感しています」と現況を分析する。
たとえば、本部が多要素認証をグループ全体に浸透させようと各拠点に呼びかけても、海外拠点では「具体的にはどうやってやるのか? どのベンダーに頼めば良いのか?」などと頭を抱えてしまうところも出てくる。内海氏は「ここは戦略が必要になるところです」と指摘。戦略をもとに、海外拠点用のガイドを作成してある程度は現地に裁量を持たせるなど、臨機応変に進めていく必要があると説いた。
海外拠点でのセキュリティ対応にあたって現実的な問題が浮かび上がるのが、海外拠点におけるインシデント発生時だ。イオンでは実際にインシデントが発生したときには日本から支援する体制を整えている。基本的にはWeb会議などで情報共有するものの、緊急度に応じて吉田氏やセキュリティを担当する社員が現地に向かうこともあるという。
「直近で海外に出向いたケースでは、インシデントが発生した現地に対応できる詳しい人がいませんでした。そのため日本チームで調整し、数日後に私が行くことになったのです。現地では、まず担当者からインシデント発生の経緯や状況を聞き、ログなどを確認しながら情報を整理して一つずつ対応していきました」(吉田氏)
