パネルディスカッション2023
現地SIerが暴く、海外拠点のIT事情の真実（第3回）

それぞれの国でのガバナンスの必要性について、どのような認識をおもちでしょうか？ また、ガバナンスを強化する上での課題や取り組みについて、パネリストに伺っていきたいと思います。

中国の経営者のセキュリティー危機意識は、まだまだ低いと思います。実際、中国では小さなセキュリティーインシデントが、頻繁に発生しているにもかかわらず、見過ごされています。USBメモリーを使用した機密情報の持ち出し、ランサムウエアへの感染などの重大なセキュリティーインシデントが発生して、初めて日本本社に報告するというのが現状です。 現地法人がシステムを導入する際には、セキュリティー予算を十分に確保するように、本社からの積極的な働きかけや、予算の一部を本社が負担するなどの必要があると思います。システムを導入するだけでなく、従業員のセキュリティーリテラシーを向上させるための教育も重要です。 さらに、システム導入後は各種システムログを監視し、分析しなければなりません。 そのようなときに、我々のようなSIerを活用していただければと思います。

ありがとうございます。セキュリティー対策への投資が必要であるという認識がまだまだ不足していることが大きな問題ですね。また、人材の観点から、従業員へのセキュリティー教育も課題ですね。一企業では対応が難しい場合には、我々SIerが必要になるかもしれませんね。
次に、ベトナムのタインさん、いかがでしょうか？

ベトナムも、先ほど宮崎さんが話していた状況と同じです。セキュリティー対策は、IT環境構築の条件として考慮されていますが、優先順位が低いのが現状です。また、中国と同様、ベトナムの経営者のセキュリティー意識は低く、現在、ランサムウエア被害に関する相談が多く寄せられています。そして、そのほとんどが、被害にあってからの事後対応となっています。そのため、ベトナムも中国と同様に、本社から現地法人に、ITガバナンス強化の働きかけをすべきだと感じています。

日本本社主導でITガバナンスを進めることが必要かもしれませんね。現状、優先度を上げて、セキュリティー対策を推進するといった意見は、現場からはなかなか上がらないでしょうね。先ほどの中国の話もそうですが、この点は共通の課題ではないでしょうか。 では、シンガポールはいかがでしょうか？

シンガポールでも、昨年のランサムウエア被害は132件報告されました。 シンガポールのセキュリティーリテラシーは決して低くないため、社員へのセキュリティーリテラシー向上のための教育のニーズは、それほどありません。それよりも、SIEM（Security Information and Event Management）やSOC（Security Operation Center）のようなセキュリティー関連システムの強化や、サイバー保険への関心がより高まっています。

シンガポールは多民族国家で、私のような外国人が人口の約40%を占めています。文化や習慣など、バックグラウンドが異なる人々が一緒に働いているのです。そのため、セキュリティー関連システムの強化は、理にかなっていると思います。また、ITガバナンスの観点では、シンガポールに拠点を置く会社は、日本本社側の考えに比較的近いと思います。それでも、現地には現地なりの事情があり、本社と現地の間には認識の違いが生じている可能性があります。日本本社と現地の認識のずれを埋めるためにも、日本の文化を十分理解している我々のような現地SIerが役割を果たすべきだと考えています。

なるほど。多民族国家ゆえに文化的背景などの影響を受けないように、ITを活用して、システムのセキュリティーを確保し、適切に保護する仕組みを構築するのは、非常に理にかなっていると思います。言葉や文化の違いもあるため、現地SIerが本社と現地との認識のずれを埋めていくことも必要ですね。そこは牧原さんの腕の見せどころなのではないでしょうか。レイモンドさん、フィリピンはいかがでしょうか？

ランサムウエア被害などセキュリティーインシデント全般に言えることですが、ほとんどは被害が発生してからの事後対応となっています。そのため、バックアップからデータを戻せるのか、何時間で通常運用になるのか、といった相談が多いのが実情です。また、フィリピンでは、１つの企業で長期間働く人はほとんどいません。多くの場合、3年から4年で転職してしまいます。フィリピン人は英語が話せるので、国外で働くケースも多く、フィリピン国内で優秀な人材を確保することが難しいのです。さらに、もう一つの問題は、フィリピンには文書化する習慣がないということです。IT業務では、各種システム関連の情報を文書化していないケースが散見されます。そのため、そのIT担当者が退職してしまうと、システムの関連情報がわからなくなってしまうのです。お客様のIT資産の棚卸で、このような問題をよく相談されます。

なるほど。人材の確保が課題ということですね。採用しても、3、4年で転職してしまう。また、関連文書がなく、業務の引継ぎができないというのは、文書化するという習慣がないためということですね。非常に深刻な課題なのではないでしょうか。では、鵜飼さん、タイはいかがでしょうか？

タイでも、現地に日本人ITスタッフがいない場合、ITガバナンスが適切に効いていないことがあります。生産性向上のためのシステム投資には積極的ですが、収益を生み出さないセキュリティー対策については、投資が消極的です。一方では、サポート期限切れの Windows OS を利用したり、OSなど各種セキュリティーパッチが適切に適用されていないお客さまが存在しています。現地に予算を一任することも重要ですが、現地のために、日本本社が最低限のセキュリティー対策に予算を割り当てることも必要だと感じています。

ITへの投資は認識しているが、セキュリティーへの投資の優先度は低い。ある程度、本社主導でガバナンスを効かせて進めていく必要があるということですね。タオフィックさん、佐々木さん、インドネシアはいかがでしょうか？

2022年に、インドネシア国内にある5つの工業団地で約60の工場がランサムウエアの被害を受けています。これはインドネシアの日本人会からの公表に基づいています。大手企業はITガバナンスの強化を含むさまざまな対策を実施しています。しかし、中小企業になると、現地のIT担当者が専門的な知識をもっていないことも多く、ランサムウエアなどのセキュリティーインシデントへの対策が、ほとんどとられていません。特に、インドネシアでは、セキュリティーに対する教育が課題となっています。

ランサムウエア被害の原因の一つは、人間の不注意です。対策として、IT人材の確保と従業員のセキュリティー意識の向上が不可欠です。しかし、政府の政策により、企業は毎年従業員の給与を5%から8％引き上げなければなりません。特に、IT関連の職種では、通常の労働者よりも高い給与が求められています。そのため、IT人材の確保が難しくなっています。

従業員のセキュリティー意識向上については、インドネシア人による、インドネシア人へのレベルに合わせたセキュリティー教育が重要だと思います。現場で働いているのはインドネシア人であり、日本人とは、文化も、言葉も、知識も異なります。そのため、インドネシア人のIT担当者が、インドネシア人のスタッフに対して、現地語で分かりやすく説明することが必要で、たとえ時間がかかってもそうすべきだと提案しています。

タオフィックさんのお話では、システムやツールだけでなく、やはり人だよ、というコメントがありました。人材確保の問題や国の方針もあり、いろいろ大変だと思いますが、やはり意識改革ですね。現地の言葉で、現地のスタッフに、時間をかけて丁寧に教育していく。 これを抜きにして、意識改革やセキュリティーへの危機意識は醸成できないのではないかと改めて感じました。

各国の状況や課題について、各国のパネリストの皆さんにお伺いしました。現地経営や社員へのセキュリティーリスクについての危機意識が広がりつつある一方で、IT人材の育成や知識の継承、人材や予算の確保など難しい課題が山積みです。また、シンガポールでのCyber Security Agencyの設立や、インドネシアでのPersonal Data Protection ACTなど、企業のガバナンスやセキュリティー対策に影響を与える取り組みや法整備、業界団体のガイドライン対応などが加速しており、これらの対策の適用は企業の価値評価に直結するものと考えています。
本日は、多くのグローバル企業のお客さまに参加いただいておりますが、 これまで紹介した課題は、グローバルサプライチェーンに関わる全てすべての企業に共通する「今そこにある危機」であり、 サプライチェーン全体でのガバナンスの必要性を再認識確認できたのではないでしょうか？