パネルディスカッション アジア各国のセキュリティー事情(第4回)

The panel discussion on the security conditions of the Asian countries (The 4th)

アジアビジネス通信


2022/1/28

ENGLISH

こんにちは、ユニアデックスグローバルセミナー事務局です。
今回は2021年8月24日に開催したオンラインセミナー「ビジネス化するサイバーアタック ― あらためて考えたい、海外拠点におけるセキュリティー対策のポイント」より、パネルディスカッション"アジア各国のセキュリティー事情"の内容の一部を皆さまにお届けします。

日本で計画したセキュリティー対策、ひとたび海外に展開しようとするとなかなかうまく進まない、なんとか適用しても抜け穴を探し出されてしまう・・・
そんなお悩みありますよね。何が問題で、何が原因なのか。
ユニアデックスの海外関係会社の各国ネットマークス(上海・ベトナム・タイ)も現地から参加して、一味違う観点でディスカッションを行いました。

前編は各国の文化や国民性、人柄について、またビジネスとセキュリティーの現状と事情背景についてのお話を伺いました。後編は各国のセキュリティー事情について、さらに掘り下げた内容をお届けしたいと思います。

また、2021年7月14日に開催した各国ネットマークス(フィリピン・シンガポール・インドネシア)とのパネルディスカッション前編後編もお楽しみください。

パネルディスカッションメンバー

パネルディスカッションメンバー

セキュリティールールやそのルールの背景をどこまで説明する?マニュアル整備のコツは?

アジアセキュリティ事情

高橋/ユニアデックス・エバンジェリスト(以下、高橋)
各国で文化的な事情やセキュリティーを含めたITリテラシーの理解度が異なっていることがよく分かりました。セキュリティールールの趣旨やルールを遵守することへの重要性を社員に自覚してもらうために、どのように説明すべきなのか心掛けていることを教えてください。

アジアセキュリティ事情2

田中/ネットマークス・上海(以下田中)
中国の場合、日本とのセキュリティーに対する意識の違いはあります。弊社は日系企業なので入社時に、日本で決められたセキュリティールールのうち、弊社も対象になっている事項については守るように伝え、そのルールを守ってもらっています。セキュリティールールについてはそのルールの背景と目的、守らない場合にはどうなるのか、また、セキュリティー事故を起こした場合のデメリット(評価に影響するなど)も伝えるようにしています。

アジアセキュリティ事情3

中元/ネットマークス・ベトナム(以下中元)
ベトナムの場合、セキュリティールールをはじめとし、文書化するのではなく、基本的に物事は口頭で伝えます。また、文書を作成したとしても、何か変更が生じた場合に運用管理できるか、という点についても注意が必要です。

ウェビナー②ビジネス化するサイバーアタック

高橋
前回のパネルディスカッション時に、フィリピンやシンガポールでは、入社の際に、労働条件などの説明はあるもののIT資産の使用やセキュリティールールの説明はなく、セキュリティーインシデント事例を紹介するなど、定期的にセキュリティー向上のために啓蒙活動しているとのことでした。その点は、ベトナムではいかがでしょうか。

アジアセキュリティ事情3

中元
同じような状況です。ただ、定期的なセキュリティー研修などはなく、セキュリティールールなどはOJT研修で先輩社員から教えてもらうのが一般的です。

アジアセキュリティ事情4

ウィセ/ ネットマークス・タイランド(以下、ウィセ)
タイの現在の状況では、セキュリティー意識がそれほど高くないベトナムの状況に似ているかもしれません。ただ、先ほどもお伝えしましたが、セキュリティー関連法案が整備されつつありますので、今後は意識が向上していくかと思います。文書化することが苦手なタイ人ですが、今後は文書化し、定期的にセキュリティー向上のための啓蒙活動をおこなっていく必要があり、そのような仕組みが会社の中で浸透していけばよいですね。また、セキュリティールールは利便性と相反することですので、ただルールを説明するのではなく、なぜ必要なのか背景や目的なども含め、丁寧に説明する必要があります。

アジアセキュリティ事情

高橋
セキュリティールールを文書化した場合、タイの人はそれを読んでくれますか?


アジアセキュリティ事情

ウィセ
はい、読んでくれると思います。


アジアセキュリティ事情

五十嵐/ユニアデックス(以下、五十嵐)
フィリピンでは、ルールに明記されていないことについてはやってもよいと解釈するとのことですが、皆さんの国ではいかがでしょうか?

アジアセキュリティ事情

ウィセ
すべてを文書化するのは難しいので、そのような場合にはタイでの常識によって判断すると思います。また、先輩社員や上司などに確認するケースもあるかと思います。

アジアセキュリティ事情

中元
フィリピンと同じ解釈です。そのためには、定期的な啓蒙活動が重要になります。


アジアセキュリティ事情

田中
フィリピンと同じ解釈です。性善説を前提とした考え方はナンセンスかと思います。


セキュリティーインシデント発生!その時の対応は?

アジアセキュリティ事情6

田中
インシデント発生時の対応はルールに沿って行っていきます。中国の場合は、インシデントが発生すること自体は当たり前で、その際にインシデントをどのように迅速に解決するかが評価されます。再発防止や原因追及は得意ではなく、その点では、むしろ日本が特別かなと思います。ただ、日本側から詳細なレポートを求められますので、随時記録するように指示しています。

アジアセキュリティ事情7

中元
インシデント発生時の対応については、日本と同様に迅速に対応できます。ただ、原因究明や再発防止に対する対応については、日本の方がきめ細やかな対応ができているかと思います。

アジアセキュリティ事情

高橋
日本側から詳細なレポートを求められることがあるかと思いますが、それに対する抵抗感などはありますか?

アジアセキュリティ事情8

中元
日本側の求めるレポートは詳細であると感じますが、必要であれば対応するという姿勢です。


アジアセキュリティ事情9

市川/ ネットマークス・タイランド(以下、市川)
まずは落ち着いて対策を考える。次に真の原因追及を考える。複雑なセキュリティーインシデントの場合、納入業者、SIer、IT管理者、エンドユーザーなど登場人物も多岐にわたり、第三者に責任を押し付けるようなことがあります。タイ人の結束は固く、自分たちの立場を守ることを優先します。自分たちの立場が悪くするような回答はまずしません。また、原因追及もまともに調査できない状況にされ、力が強いものが生き延びるような回答が意図的に作られてしまいます。結果として、真の原因を追及できずにクローズすることがあります。そのため、真の原因を追究できるように、日頃よりコミュニケーションを取り、各人の事情を理解しておくことがとても重要です。

日本で利用しているセキュリティーツール、各国でそのまま利用できますか?

アジアセキュリティ事情

田中
中国国内の市場では独自なものがあり、欧米系のクラウドセキュリティーソリューションなどは利用できず、日本で利用しているものが規制によって利用できないということもあります。そのため中国独自で開発されたツールを調達することになります。

アジアセキュリティ事情

中元
グローバル製品(英語化された製品)であれば、問題はありません。言語に依存してしまうため、日本で開発された日本語でのみ対応している製品は導入が難しいと思います。

アジアセキュリティ事情

ウィセ
ベトナムと同じくグローバル製品(英語化された製品)であれば問題ありません。また、各ディストリビューターも現地にいますので、手厚いサポートを受けられます。

日系企業が各国でセキュリティーポリシーを定着化させるのに大事なことは?

アジアセキュリティ事情

田中
現地を信頼し、現地の需要に合わせて現地側に権限移譲することが大事です。一方、日本側から現地の状況が見えづらくなってしまうため、各企業にとっては適度な距離で管理していくのがよいかと思います。

アジアセキュリティ事情

中元
言語や文化、歴史的な背景など異なる価値観や環境を理解し、日本の常識や価値観を無理に適用させないことが重要です。


アジアセキュリティ事情

ウィセ
日本人駐在者などタイへ来て働いている日本人とタイ人との間で、話が嚙み合わないこともよくあります。いずれも、会社のために一生懸命働いているということは理解しています。そのため、例えばセキュリティーポリシーの適用についても、お互いの立場を理解し、尊重し、時間はかかるかもしれませんが、根気強くコミュニケーションを取ることが重要かと思います。

アジアセキュリティ事情

市川
一番大切なことはその国を理解することです。たとえば、日系企業がタイでビジネスを開始する場合、おそらく従業員の7割以上は現地のタイ人を雇用するかと思います。そのような状況では、まず大枠のセキュリティーポリシーを決める、その後、タイの国民性にあったルールを作っていくことがうまく運用していくコツだと思います。

アジアセキュリティ事情

高橋
私たちユニアデックスと各国ネットマークスは、いろいろな企業がさまざまな国で活動することをずっと支援してきた実績とノウハウがありますので、何か役に立つヒントをお伝えできるかと思います。是非とも私たちにご相談いただければ幸いです。

前編はこちら

                     


関連コンテンツ

グローバルICTサポートサービス


ご意見・ご感想やグローバルサービスへのご質問など「お問い合わせ」からお気軽にどうぞ!


ENGLISH

The panel discussion on the security conditions of the Asian countries (The 4th)

We had our overseas Netmarks' staffs from Shanghai, Vietnam and Thailand join the discussion to talk about this issue.
In the previous Part 1 of this panel discussion, each country's culture, national characteristic as well as the business and security conditions and the backgrounds were discussed.

Many Japanese companies struggle to apply the same security measures as the one in Japan to their overseas offices/sites. Even after applying the rules, people find ways to not follow the rules... What are the exact issues and causes here?

We had our overseas Netmarks' staffs from Shanghai, Vietnam and Thailand join the discussion to talk about this issue.
In the previous Part 1 of this panel discussion, each country's culture, national characteristic as well as the business and security conditions and the backgrounds were discussed.

There is also another panel discussion which took place on July 14th, 2021 among Netmarks staffs from Philippine, Singapore and Indonesia. The discussion summary can be viewed here: I. Part 1, I. Part 2

Panel Discussion Members

パネルディスカッションメンバー

How much of the backgrounds do you explain when teaching your employees about the security rules? How do you maintain the manuals?

アジアセキュリティ事情Takahashi / Evangelist @ UNIADEX, Ltd.

I understood that cultural and security IT literacy and its understanding differs greatly depending on the country. To make the employees aware of the importance and the background of the security rules, how do you explain these things?

アジアセキュリティ事情Tanaka / Netmarks Shanghai

The level of security awareness in China differs from the one in Japan. Since our company is a Japan originated company, we tell the employees when they first come to work that they must obey the Japan headquarter security rules which are applicable to China. When educating them about the security rules, I try to also explain the background, the consequence of not obeying, and the disadvantage of having a security incident (i.e. affecting their evaluation).

アジアセキュリティ事情Nakamoto / Netmarks Vietnam

In Vietnam, we usually communicate verbally instead of having them in writing when educating the employees things like the security rules. If the written documents are made, we must also determine how it should be managed for changes/updates.

アジアセキュリティ事情Takahashi

In the last panel discussion with other countries, Philippine and Singapore said they do not educate the employees about the usage of IT assets nor the security rules on the first day of work. Instead, awareness raising activities are made on a regular basis by introducing the security incidents which happened and such. How about Vietnam?

アジアセキュリティ事情Nakamoto

Same here. However, we do not have any security educations on a regular basis. The security rules are often told from the senior colleagues on OJT basis.

アジアセキュリティ事情Vise / Netmarks Thailand

The current condition of Thailand is similar to the one of Vietnam where the security awareness is not yet so high. However, since the security related regulations are being made as explained earlier, the awareness is expected to raise. Although the people in Thailand may have a harder time putting things into writing, I find it necessary to enforce it. Providing some activities to improve the security level on a regular basis is also important. I hope that kind of system become more common in the society. However, since the security rules will hinder the ease of usage, it is important to explain the background and the purpose of the rules in detail.

アジアセキュリティ事情

Takahashi
If you put the security rules in writing, will the people in Thailand read them?

アジアセキュリティ事情

Vise
Yes, I think so.


アジアセキュリティ事情

Igarashi / UNIADEX
I heard that in Philippine, people think that they are allowed to do something unless it's clearly specified as the rules. How about other countries?

アジアセキュリティ事情

Vise
Since it will be quite difficult to put everything in writing, I believe people will use the norms of Thailand to make their decisions. They may also check with the senior colleagues and/or their bosses if things are unclear.

アジアセキュリティ事情

Nakamoto
Vietnam is the same way as in Philippine. Therefore, having awareness raising activities on a regular basis is a must.


アジアセキュリティ事情

Tanaka
Shanghai is also the same as in Philippine. It is a risk to automatically assume people think humans are inherently good in nature.

What to do when a security incident happens!?

アジアセキュリティ事情

Tanaka
If an incident happens, we follow the steps specified in the rules. In China, people think that having incidents are inevitable & people evaluate you based on how fast and how you reacted to the incident. People here are not too keen on finding the root cause of the problem nor having a way to prevent the same issue from happening again. I would say Japan is rather unique in that sense. But of course, the Japan side will mandate a very detailed report, so I tell them to keep all records along the way.

アジアセキュリティ事情

Nakamoto
In Vietnam, people generally respond to an incident as fast as the Japanese do. But when it come to finding the root causes or the re-prevention measures, Japan seems to be more detailed.

アジアセキュリティ事情

Takahashi
If the Japan side requires a detailed report, do people become hesitant about that?


アジアセキュリティ事情

Nakamoto
People in Vietnam may think that the level of the details Japan requires is a lot, but they will accommodate if they are told that's necessary.

アジアセキュリティ事情

Ichikawa / Netmarks Thailand
The first thing is to stay calm and consider the possible counter measures. Some security incidents can be very complex involving various parties such as the delivering venders, SIer, IT managers, and the end users. There may be a case where they try to impose the responsibility to a third party. The ties among the people here are strong & they prefer to defend for their positions as a priority. It is rare to have them reply to things in a way which jeopardizes their positions. There is a risk of people making the situation where the causes become hard to find & reply in a way so only the strongest can survive. As a result, we sometimes are forced to close a case without knowing the root causes of the issue. Therefore, it is very important to have a good communication on a routine basis to understand each person's situations.

Can the same security tool used in Japan be used as is in your countries?

アジアセキュリティ事情

Tanaka
Chinese market is unique. For example, some Western cloud security solutions used in Japan cannot be used due to the local regulations. Thus, tools developed within China have to be procured.

アジアセキュリティ事情

Nakamoto
It will not be any issues if the product is sold globally (in English language). If the product is in Japanese only, it will be difficult to implement.

アジアセキュリティ事情

Vise
Thailand is same as Vietnam. If it is a global product (in English language), no issues. We also have various distributors in Thailand, so a thorough support can be promised.

What is the most important thing Japan Originated Companies should do to establish the security policies in different countries?

アジアセキュリティ事情

Tanaka
It's important to trust the local country & delegate authorities to the local side. But this will have a side effect of not having the transparency on the local situation. Thus, each company should determine the most appropriate distances for the management.

アジアセキュリティ事情

Nakamoto
It is important to understand the diversity in perspectives/environments such as the languages, cultures, and historical backgrounds & not force the standards nor values of the Japanese.

アジアセキュリティ事情

Vise
I often see a gap in the communication between the local Thai and the person coming from Japan. But know both are working very hard for the company. Therefore, when a security policy is being implemented for example, it is important to take time and keep on having a continuous communication by understanding each other's positions with a respect.

アジアセキュリティ事情

Ichikawa
The most important thing is to understand the local country. For example, if a Japan Originated Company wants to start a business in Thailand, more than 70% of the employees for hire will be the local Thai. In this kind of situation, first thing is to determine will be the overall security policies & then apply the rules in a way to suite the Thai nationality. This will be the key to a successful management.

アジアセキュリティ事情

Takahashi
We Unaidex and Netmarks entities in various countries have long been supporting the client companies in the overseas. We will be happy to make advises based on our experiences and know-how, so please feel free to contact us.

Click here for the first part of this discussion - II Part 1


Feel free to send any questions or comments by clicking the "Contact" button below.

2022年01月28日公開
(2022年03月18日更新)
新事業への取り組み

新事業への取り組み一覧

お問い合わせ

お客さまの立場で考えた、最適なソリューションをご提供いたします。
お気軽にお問い合わせください。

お問い合わせ
page top