パネルディスカッション アジア各国のセキュリティー事情(第2回)

Panel discussion: Security conditions of the Asian countries (2nd part of the 2)

アジアビジネス通信


2021/11/12

ENGLISH

こんにちは、ユニアデックスグローバルセミナー事務局です。
今回は2021年7月14日に開催したオンラインセミナー「ビジネス化するサイバーアタック ― あらためて考えたい、海外拠点におけるセキュリティー対策のポイント」より、パネルディスカッション"アジア各国のセキュリティー事情"の内容の一部を皆さまにお届けしています。

日本で計画したセキュリティー対策、ひとたび海外に展開しようとするとなかなか上手く進まない、なんとか適用しても抜け穴を探し出されてしまう・・・
そんなお悩みありますよね。何が問題で、何が原因なのか。
ユニアデックスの海外関係会社の各国ネットマークス(フィリピン・シンガポール・インドネシア)も現地から参加して、一味違う観点でディスカッションを行いました。

前編は各国の文化や国民性、人柄について、またビジネスとセキュリティーの現状と事情背景についてのお話を伺いました。後編は各国のセキュリティー事情について、さらに掘り下げた内容をお届けしたいと思います。

パネルディスカッションメンバー

パネルディスカッション参加メンバー

セキュリティールールやそのルールの背景をどこまで説明する?マニュアル整備のコツは?

アジア各国のセキュリティー事情1高橋/ユニアデックス・エバンジェリスト(以下、高橋)

各国で文化的な事情やセキュリティーを含めたITリテラシーの理解度が異なっていることを理解しました。セキュリティールールの趣旨やルールを遵守することの重要性を社員に自覚してもらうために、どのように説明すべきなのか心掛けていることを教えてください。

ウェビナービジネス化するサイバーアタック①レイモンド/ネットマークス・フィリピン(以下、レイモンド)

入社の際に労働条件などの説明はありますが、IT資産の使用やセキュリティールールの説明はありません。そのため、セキュリティーインシデント事例を紹介するなど、定期的にセキュリティー向上のための啓蒙活動を行っています。その際、他人事ではなく、自分の周りでも起こりうるリスクであるということを説明することがポイントです。また、おおらかな気質の国民性であるため、啓蒙活動を定期的に行うことも重要です。

ウェビナー③ビジネス化するサイバーアタック吉澤/ネットマークス・シンガポール(以下、吉澤)

説明資料を作成し、スタッフに配布することはよいことなのですが、それだけではセキュリティーに関するルールや心構えを理解してもらうには不十分です。短い時間でよいので、定期的にセキュリティー教育を行うことが効果的です。

ウェビナービジネス化するサイバーアタック④タオフィック/ネットマークス・インドネシア(以下、タオフィック)

フィリピンと同様に、入社の際に労働条件などの説明はありますが、IT資産の使用やセキュリティールールの説明はありません。また、セキュリティールールを作成するうえで最も重要なことは言語です。国内の一部のお客さまはグローバル化を進めているため、社内公用語の英語化を進めているのですが、インドネシアは英語圏のフィリピンとは違って、まだまだ英語リテラシーが低いのが現状です。そのためインドネシア人向けにインドネシア語でのセキュリティールールを作成しておくことが重要です。その際、文章や話の要点を短くまとめることがポイントです。また啓蒙活動を定期的に行うことも重要です。

セキュリティーインシデント発生!その時の対応は?

ウェビナービジネス化するサイバーアタック②高橋

セキュリティーインシデントが発生した際の日本と現地とのギャップや、インシデントが発生した場合に注意しなければならないポイントを教えてください。

ウェビナービジネス化するサイバーアタック① レイモンド

セキュリティーインシデントのほとんどのケースは未然に防げます。なぜなら、ウイルス対策ソフトの定義ファイル未更新やソフトライセンス切れなどが主な理由だからです。

アジア各国のセキュリティー事情2大平/ユニアデックス(以下、大平)

フィリピンに限らず東南アジア諸国ではそもそも保守を重要視せず、何かあった場合はスポットで対応すればよいとの考えが根本にあります。最近のUTM(統合脅威管理:Unified Threat Management)と呼ばれるライセンスベースで動いている製品は、初回購入時には保守契約が料金に含まれていますが、保守契約更新時に手続きを怠ると、それがきっかけでUTM機能が動作しなくなり、セキュリティーインシデントが発生するケースがあります。

アジア各国のセキュリティー事情3高橋

今のお話に心当たりがあるお客さますぐにご連絡ください。お見積もりいたします(笑)。


ウェビナービジネス化するサイバーアタック②吉澤

セキュリティーインシデントについては、迅速に対応しているという印象を受けます。日系企業では、セキュリティーインシデント対応に関する報告書を求められるかと思いますが、事細かな情報を求められるため、現地スタッフにとっては過度な情報の提供と認識され、理解されにくいケースもあります。

五十嵐/ユニアデックス(以下、五十嵐)

アジア各国のセキュリティー事情4

この件について、フィリピンやインドネシアはいかがでしょうか。



アジア各国のセキュリティー事情5レイモンド

まず、そもそもフィリピンはドキュメントを率先して作成する文化ではありません(笑)。そのため口頭ベースでの報告が一般的です。報告書を提出するケースもありますが、必要最低限に留めています。なぜなら、報告書で責任の所在を明らかにすること、すなわち犯人探しだと解釈されることがあるためです。

アジア各国のセキュリティー事情6高橋

えっ、信じられない。日本の場合、早急な対応を求められるため、担当者は徹夜してでも報告書を作成し上長レビューを受け、お客さまに提出という流れになります(笑)。

アジア各国のセキュリティー事情7タオフィック

セキュリティーインシデントが発生した場合、報告書は提出します。ただ、日系企業が求める報告書はインドネシア人には過剰要求に見えます。セキュリティーインシデントが発生し、終息した場合、インドネシア人は結果にフォーカスし、原状回復したことのみを報告します。しかし、日本人スタッフは発生原因を特定し、その対策を考え、実行に移すための情報を必要とします。もちろん、私たちは日系企業の考え方を理解していますが、日系企業本社から報告依頼を受け、お客さま(ローカルスタッフ)に状況をヒアリングする際にギャップが発生します。

日本で利用しているセキュリティーツール、各国でそのまま利用できますか?

アジア各国のセキュリティー事情8高橋

日系企業が国内で利用している製品やツールを各国でそのまま利用できますか?また、利用する際のポイントがあれば教えてください。

アジア各国のセキュリティー事情9レイモンド

フィリピンの製品の場合、機能の問題ではなく、保守サポートの問題があります。ハードウエアが故障した場合、代替機器が国内にあるかどうかが問題となります。もし代替機器(在庫)が国内にない場合は数日待たなければなりません。IT機器やセキュリティー製品の場合は、このことが致命傷になりかねません。それが最も重大な問題です。

アジア各国のセキュリティー事情10吉澤

日本独自の製品は、言語の問題や実装されている機能があまりにも多いため、現地の人は使いこなせない場合があります。


アジア各国のセキュリティー事情11タオフィック

基本的にグローバル製品を利用しています。また、ほとんどの製品が現地調達可能です。しかし、現地ディストリビューターも国内に在庫を潤沢に抱えているわけではないため、ハードウエア障害時の国内での代替機器調達不足に備え、スペア機器をストックし、対応しています。

アジア各国のセキュリティー事情12大平

日本国内のお客さまが海外拠点の機器を選定する場合、以前は海外拠点についても日本と同じ機器を希望されるお客さまが多かったのですが、最近は機器の選択肢も増え、現地調達可能な機器で問題ないと言われるお客さまも増えてきています。

アジア各国のセキュリティー事情12

五十嵐

このような機器調達リスクヘッジとしてクラウドへの移行は検討されていますか?


アジア各国のセキュリティー事情13レイモンド

フィリピンでは企業向けクラウドはまだまだ一般的ではありません。インターネット回線の安定供給ができていないことが理由です。

アジア各国のセキュリティー事情13吉澤

シンガポールではクラウドシフトは進んでいるように思います。



アジア各国のセキュリティー事情14タオフィック

2年前よりクラウド利用を希望されるお客さまが増えてきています。その理由はインターネット環境の改善です。特に、ファイルサーバーなどは各社外回りの営業向けに需要があります。またCOVID-19をきっかけに、働き方が大きく変化したことで、クラウドサービスに対して企業の考え方が変化してきました。ただ、クラウドはインターネット環境に依存していますので、インドネシア全土ではなく主要都市のみの提供となっています。

日系企業が各国でセキュリティーポリシーを定着化させるのに大事なことは?

アジア各国のセキュリティー事情14レイモンド

フィリピン人は家族が大好きな民族です。そしてとてもフレンドリーです。そのため、家族のように接することが社員のセキュリティーポリシー定着率を上げることにもつながります。

アジア各国のセキュリティー事情15吉澤

日本のセキュリティールールを無理に適用させようとしないことです。ローカルスタッフ(国や国民性)のことを理解し、信頼関係を築くことが必要だと思います。

アジア各国のセキュリティー事情15タオフィック

まずは信頼関係の構築が大事です。そして、日本のセキュリティールールを無理に適用させようとせず、インドネシア人が腹落ちするルールの適用が重要です。郷に入れば郷に従えという言葉もあるように、せっかくインドネシアに来たのなら、その場の慣習に合うよう行動することが(たとえそれが自分の価値観と異なっていても)、人間関係を円滑に進めるための大切なポイントだと思います。

佐々木
佐々木/ネットマーク・インドネシア(以下、佐々木)

南国ですので時間の流れがゆっくりしています。そのため、現地のペースに合わせて現地の方々と仲良くなることが重要です。

アジア各国のセキュリティー事情17高橋

8年間インドネシア在住とのことですが、どれくらいインドネシア人になりましたか(笑)?


佐々木
佐々木

今のところ70%程度です(笑)。やはり言葉の壁が高いです。3、4年経って、ようやく現地スタッフと会話できるようになってきました。

アジア各国のセキュリティー事情19大平

日本のセキュリティールールを無理に適用させようとしないことが重要です。昨今海外ビジネスにどのように取り組めばよいか、という情報もたくさんあり、日系企業のお客さまも理解されているように思います。

アジア各国のセキュリティー事情20五十嵐

やはりコミュニケーションの重要性を再認識しました。ただ日本人の場合、日本の常識をベースに話をする傾向があり、それが各国でのセキュリティーポリシーの定着化を難しくしてしまっているように感じました。

アジア各国のセキュリティー事情21高橋

私たちユニアデックスと各国ネットマークスは、いろいろな企業さまがさまざまな国で活動することをずっと支援してきた実績とノウハウがありますので、何らかの役に立つヒントをお伝えできるかと思います。是非とも私たちにご相談いただければ幸いです。

前編はこちら

                     


関連コンテンツ

グローバルICTサポートサービス


ご意見・ご感想やグローバルサービスへのご質問など「お問い合わせ」からお気軽にどうぞ!


ENGLISH

Panel discussion: Security conditions of the Asian countries (2nd part of the 2)

Greetings. This is UNIADEX, Ltd. Global Seminar Office.
We would like to share with you some excerpts from the panel discussion on the security conditions of the Asian countries. This discussion took place during the online seminar we had on July 14th 2021 titled [ビジネス化するサイバーアタック ― あらためて考えたい、海外拠点におけるセキュリティー対策のポイント]. This is a translated version of the seminar/panel discussion which were held in Japanese.

Many Japanese companies struggle to apply the same security measures as the one in Japan to their overseas offices/sites. Even after applying the rules, people find ways to not follow the rules... What are the exact issues and causes here?

We had our overseas Netmarks' staffs from Philippine, Singapore and Indonesia join the discussion to talk about this issue.

In the previous 1st part of this panel discussion, the cultures and national characteristics of the countries were told. In addition, the business and the security conditions were spoken with the background reasonings why. In this 2nd part of the panel discussion, we will further dive into the security conditions of these countries.

Panel discussion members

パネルディスカッション参加メンバー

How much in depth do you explain about the security rules and their reasons why? How do you manage and maintain any manuals?

アジア各国のセキュリティー事情1Takahashi / Evangelist @UNIADEX, Ltd.

I understood that the level of understandings in the cultures and the IT literacy including security awareness is different among the countries. What kind of things do you keep in mind when you want your employees to realize the importance of the security rules and their adherence?

ウェビナービジネス化するサイバーアタック①Raymond / Netmarks Philippine

We explain about the working conditions when the employees first come to our company; however, we do not talk about the usage of the IT assets nor the security rules then. Instead, security education is offered on a regular basis by introducing various security incidents that had happened to raise their awareness.
It is important to explain that it's not just someone else's problem & that it can happen to them just as easy. Since the people here in Philippine tend to be easy-going, it is also important to have the awareness raising activities on a regular basis.

ウェビナー③ビジネス化するサイバーアタックYoshizawa / Netmarks Singapore

It's not a bad idea to create a document on the security issues and distribute it to the staffs. However, that won't be enough to have them fully understand the rules and the attitude they should have on security. It is more effective to offer educations on the security issues on a regular basis, even if each of the session is short.

ウェビナービジネス化するサイバーアタック④Taofik / Netmarks Indonesia

Just like Philippine, we explain about the working conditions and such at first, but do not talk about the usage of IT assets nor the security rules. The most important element when making the security rules is the language. Some companies in Indonesia are adopting to use English as the main language of the company due to their globalization. But unlike Philippine where English is spoken throughout the country, Indonesia's level of English literacy is still low. Therefore, it is important to create the security rules using Indonesian. The sentences and the points should be made short and clear. It is also important to have the awareness raising activities on a regular basis.

Security incident had happened! How would you handle it?

ウェビナービジネス化するサイバーアタック②Takahashi

Do you think the security tool used in Japan can simply be used the same way in your country? Are there any points we should be concerned about?

ウェビナービジネス化するサイバーアタック① Raymond

Most of the security incidents can be prevented in advance. I say this because most of the reasons for having incidents are due to not having anti-virus definition file updated or the software licenses being expired.

アジア各国のセキュリティー事情2Ohira / UNIADEX, Ltd.

Not only Philippine, but the Southeast Asia countries in general do not take the preventive maintenance too seriously. The underlaying thinking is that incidents can be attended to on the spot when they actually do happen.
Recently, there are many products which work on the license basis called Unified Threat Management (UTM). The maintenance is included at the beginning when purchased; however, if the IT manager misses to renew the maintenance, then the UTM function stops which may lead to a security incident.

アジア各国のセキュリティー事情3Takahashi

If any of the audiences think that your company is in this situation, we will happily make a quote for you. <grin>


ウェビナービジネス化するサイバーアタック②Yoshizawa

I have the impression that the security incidents are attended to in a fast manner. It is common for many Japan Oriented Companies to ask for a very detailed report on the incident handling. However, the local staffs have a hard time understanding why they are being asked such excessive amount of information.

アジア各国のセキュリティー事情4Igarashi / UNIADEX, Ltd.

How about Philippine and Indonesia on this topic?




アジア各国のセキュリティー事情5Raymond

Philippine does not have a culture of making any documents so proactively to begin with. <laugh>
The reports are often made on verbal basis.
There may be some cases where a report is submitted, but they are kept to the minimum.
This is because by clarifying the point of responsibility in writing, people may feel we are just trying to find someone to point our finger to.

アジア各国のセキュリティー事情6Takahashi

Wow, that's unbelievable.
In Japan, the most immediate action is mandated. So, the IT managers usually stay up the whole night to write a report, get it approved by the boss, and submit it to the customer by the following day of the incident. <laugh>

アジア各国のセキュリティー事情7Taofik

We do submit a report in writing when a security incident happens. However, the level of Japan Oriented Companies demand makes the Indonesian feel it is too much.
When a security incident is taken care of, Indonesians often focus only on the result and just report that the operation is back to normal. But the Japanese staffs want to determine the root cause of the issue and find countermeasures by requiring more information.
We of course understand the ways Japan Oriented Companies think, but the gap in the amount of information is inevitable between the head quarter office demand from Japan and the client/local staffs actually provide.

Can the same security tool used in Japan be utilized in your country?

アジア各国のセキュリティー事情8Takahashi

Do you think the security tool used in Japan can simply be used the same way in your country? Are there any points we should be concerned about?

アジア各国のセキュリティー事情9Raymond

Philippine products often have issues with the maintenance support rather than the hardware functions. The key point is whether the hardware stock is available or not in the country for a replacement. If no stocks are available, we must wait for days.
For IT and security related equipment, this situation is very critical. This is the biggest issue we have.

アジア各国のセキュリティー事情10Yoshizawa

Many of the Japan specific products are made with too many functions and the language is in Japanese only.
Therefore, the local staff here often have a hard time handling them.



アジア各国のセキュリティー事情11Taofik

In general, we use global products which are often procurable locally in Indonesia.
The local distributors however do not always keep a large stock in the country, so we try to stock some spare units ourselves to handle when the incidents happen.

アジア各国のセキュリティー事情12Ohira

It used to be that the Japanese clients required to implement the same equipment installed in Japan to the overseas locations. But more recently, many say that locally procured products are fine to be used as the selection of the products widened.

アジア各国のセキュリティー事情12Igarashi

Do you ever consider of transitioning to the cloud as a part of risk hedge of the procurement issues?



アジア各国のセキュリティー事情13Raymond

Business use cloud is not common in Philippine yet. This is because we do not have the stable Internet connections in the country.

アジア各国のセキュリティー事情13Yoshizawa

It seems like Cloud-shift is expanding in Singapore.




アジア各国のセキュリティー事情14Taofik

There are more customers requesting cloud services in the past 2 years. This is due to the improvement we had in the Internet connection. File servers and such are more in demand for the sales staffs being outside of their office.
Our styles of work had dramatically changed due to COVID-19, so the ways the client companies think towards the cloud services also shifted.
Having said that however, the cloud services are dependent on the Internet. So, the services are still limited to the metropolitan area instead of the whole country.

What is the most important thing a JOC should do to establish the security policies overseas?

アジア各国のセキュリティー事情14Raymond

Philippine is a country where the people here love their family very much. We are also very friendly.
I treat my employees like my family & that also leads to raise their security policy adherence.

アジア各国のセキュリティー事情15Yoshizawa

I try not to force the security rules of Japan too much.
It is important to understand about the local staffs' backgrounds and build the trust relationships first.

アジア各国のセキュリティー事情15Taofik

Building a trusting relationship first is important.
Rather than forcing to apply the security rules of Japan, we must apply the rules the Indonesians can understand and relate to.
Just like how we say, "When in Rome, do as the Romans do", making behaviors based on the local culture is important to have a smooth relationship, even if the values may differ from your own.

佐々木
Sasaki / Netmarks Indonesia

The time here goes by slowly as this is a tropical island.
So, it is important to make friends at a pace of the locals.

アジア各国のセキュリティー事情17Takahashi

I heard you've been in Indonesia for 8 years. Are you very localized now? <smile>


佐々木
Sasaki

For now, I'm about 70% Indonesian. <laugh>
The language barrier is quite high. It took me 3 to 4 years to have a communication with the local staffs.

アジア各国のセキュリティー事情19Ohira

It is important to not force the security rules of Japan.
Recently, there are a lot of information on how we should tackle the overseas businesses. So, it seems like the Japanese clients are also starting to understand the differences.

アジア各国のセキュリティー事情20Igarashi

I recognize the importance of communication.
I think the Japanese often speak based on the norms of Japan only & that makes the security policy adherence a challenge at the overseas locations.

アジア各国のセキュリティー事情21Takahashi

UNIADEX & Netmarks have a long history of supporting various companies over at various countries.
We will be happy to make a catered advice based on our experiences and know-hows.
Please feel free to ask us for a consultation.

Click here for the 1st part of the 2


Feel free to send any questions or comments by clicking the "Contact" button below.

2021年11月12日公開
(2021年12月03日更新)
新事業への取り組み

新事業への取り組み一覧

お問い合わせ

お客さまの立場で考えた、最適なソリューションをご提供いたします。
お気軽にお問い合わせください。

お問い合わせ
page top