パネルディスカッション　アジア各国のセキュリティー事情（第2回）

各国で文化的な事情やセキュリティーを含めたITリテラシーの理解度が異なっていることを理解しました。セキュリティールールの趣旨やルールを遵守することの重要性を社員に自覚してもらうために、どのように説明すべきなのか心掛けていることを教えてください。

入社の際に労働条件などの説明はありますが、IT資産の使用やセキュリティールールの説明はありません。そのため、セキュリティーインシデント事例を紹介するなど、定期的にセキュリティー向上のための啓蒙活動を行っています。その際、他人事ではなく、自分の周りでも起こりうるリスクであるということを説明することがポイントです。また、おおらかな気質の国民性であるため、啓蒙活動を定期的に行うことも重要です。

説明資料を作成し、スタッフに配布することはよいことなのですが、それだけではセキュリティーに関するルールや心構えを理解してもらうには不十分です。短い時間でよいので、定期的にセキュリティー教育を行うことが効果的です。

フィリピンと同様に、入社の際に労働条件などの説明はありますが、IT資産の使用やセキュリティールールの説明はありません。また、セキュリティールールを作成するうえで最も重要なことは言語です。国内の一部のお客さまはグローバル化を進めているため、社内公用語の英語化を進めているのですが、インドネシアは英語圏のフィリピンとは違って、まだまだ英語リテラシーが低いのが現状です。そのためインドネシア人向けにインドネシア語でのセキュリティールールを作成しておくことが重要です。その際、文章や話の要点を短くまとめることがポイントです。また啓蒙活動を定期的に行うことも重要です。

セキュリティーインシデントが発生した際の日本と現地とのギャップや、インシデントが発生した場合に注意しなければならないポイントを教えてください。

セキュリティーインシデントのほとんどのケースは未然に防げます。なぜなら、ウイルス対策ソフトの定義ファイル未更新やソフトライセンス切れなどが主な理由だからです。

フィリピンに限らず東南アジア諸国ではそもそも保守を重要視せず、何かあった場合はスポットで対応すればよいとの考えが根本にあります。最近のUTM（統合脅威管理：Unified Threat Management）と呼ばれるライセンスベースで動いている製品は、初回購入時には保守契約が料金に含まれていますが、保守契約更新時に手続きを怠ると、それがきっかけでUTM機能が動作しなくなり、セキュリティーインシデントが発生するケースがあります。

今のお話に心当たりがあるお客さますぐにご連絡ください。お見積もりいたします（笑）。

セキュリティーインシデントについては、迅速に対応しているという印象を受けます。日系企業では、セキュリティーインシデント対応に関する報告書を求められるかと思いますが、事細かな情報を求められるため、現地スタッフにとっては過度な情報の提供と認識され、理解されにくいケースもあります。

この件について、フィリピンやインドネシアはいかがでしょうか。

まず、そもそもフィリピンはドキュメントを率先して作成する文化ではありません（笑）。そのため口頭ベースでの報告が一般的です。報告書を提出するケースもありますが、必要最低限に留めています。なぜなら、報告書で責任の所在を明らかにすること、すなわち犯人探しだと解釈されることがあるためです。

えっ、信じられない。日本の場合、早急な対応を求められるため、担当者は徹夜してでも報告書を作成し上長レビューを受け、お客さまに提出という流れになります（笑）。

セキュリティーインシデントが発生した場合、報告書は提出します。ただ、日系企業が求める報告書はインドネシア人には過剰要求に見えます。セキュリティーインシデントが発生し、終息した場合、インドネシア人は結果にフォーカスし、原状回復したことのみを報告します。しかし、日本人スタッフは発生原因を特定し、その対策を考え、実行に移すための情報を必要とします。もちろん、私たちは日系企業の考え方を理解していますが、日系企業本社から報告依頼を受け、お客さま（ローカルスタッフ）に状況をヒアリングする際にギャップが発生します。

日系企業が国内で利用している製品やツールを各国でそのまま利用できますか？また、利用する際のポイントがあれば教えてください。

フィリピンの製品の場合、機能の問題ではなく、保守サポートの問題があります。ハードウエアが故障した場合、代替機器が国内にあるかどうかが問題となります。もし代替機器（在庫）が国内にない場合は数日待たなければなりません。IT機器やセキュリティー製品の場合は、このことが致命傷になりかねません。それが最も重大な問題です。

日本独自の製品は、言語の問題や実装されている機能があまりにも多いため、現地の人は使いこなせない場合があります。

基本的にグローバル製品を利用しています。また、ほとんどの製品が現地調達可能です。しかし、現地ディストリビューターも国内に在庫を潤沢に抱えているわけではないため、ハードウエア障害時の国内での代替機器調達不足に備え、スペア機器をストックし、対応しています。

日本国内のお客さまが海外拠点の機器を選定する場合、以前は海外拠点についても日本と同じ機器を希望されるお客さまが多かったのですが、最近は機器の選択肢も増え、現地調達可能な機器で問題ないと言われるお客さまも増えてきています。

このような機器調達リスクヘッジとしてクラウドへの移行は検討されていますか？

フィリピンでは企業向けクラウドはまだまだ一般的ではありません。インターネット回線の安定供給ができていないことが理由です。

シンガポールではクラウドシフトは進んでいるように思います。

2年前よりクラウド利用を希望されるお客さまが増えてきています。その理由はインターネット環境の改善です。特に、ファイルサーバーなどは各社外回りの営業向けに需要があります。またCOVID-19をきっかけに、働き方が大きく変化したことで、クラウドサービスに対して企業の考え方が変化してきました。ただ、クラウドはインターネット環境に依存していますので、インドネシア全土ではなく主要都市のみの提供となっています。

フィリピン人は家族が大好きな民族です。そしてとてもフレンドリーです。そのため、家族のように接することが社員のセキュリティーポリシー定着率を上げることにもつながります。

日本のセキュリティールールを無理に適用させようとしないことです。ローカルスタッフ（国や国民性）のことを理解し、信頼関係を築くことが必要だと思います。

まずは信頼関係の構築が大事です。そして、日本のセキュリティールールを無理に適用させようとせず、インドネシア人が腹落ちするルールの適用が重要です。郷に入れば郷に従えという言葉もあるように、せっかくインドネシアに来たのなら、その場の慣習に合うよう行動することが（たとえそれが自分の価値観と異なっていても）、人間関係を円滑に進めるための大切なポイントだと思います。

南国ですので時間の流れがゆっくりしています。そのため、現地のペースに合わせて現地の方々と仲良くなることが重要です。

8年間インドネシア在住とのことですが、どれくらいインドネシア人になりましたか（笑）?

今のところ70%程度です（笑）。やはり言葉の壁が高いです。3、4年経って、ようやく現地スタッフと会話できるようになってきました。

日本のセキュリティールールを無理に適用させようとしないことが重要です。昨今海外ビジネスにどのように取り組めばよいか、という情報もたくさんあり、日系企業のお客さまも理解されているように思います。

やはりコミュニケーションの重要性を再認識しました。ただ日本人の場合、日本の常識をベースに話をする傾向があり、それが各国でのセキュリティーポリシーの定着化を難しくしてしまっているように感じました。

私たちユニアデックスと各国ネットマークスは、いろいろな企業さまがさまざまな国で活動することをずっと支援してきた実績とノウハウがありますので、何らかの役に立つヒントをお伝えできるかと思います。是非とも私たちにご相談いただければ幸いです。