悩み(3) 海外拠点のセキュリティ意識が低い
c社は近年、アジア各国を中心に生産拠点の海外展開を進めているが、国や地域により従業員のセキュリティ意識が低い拠点が多く見られた。経営層は、海外拠点におけるセキュリティの確保に加え、対策が脆弱な海外拠点を踏み台にした本社への攻撃のリスクを低減するためにも、海外拠点のセキュリティ対策の強化が必要であると認識していた。
基本情報
c社の状況
- 現在、海外拠点には、グローバルポリシーで定めたベースライン(最低遵守事項)の遵守を求めている。
- なお、実施基準やセキュリティ製品の選定等は、法規制やビジネス習慣をふまえた各拠点の判断に委ねている。
- 本社より定期的にポリシーの遵守状況を 確認し、遵守状況の良い拠点は表彰を行う運営としているが、依然として対応のレベルが低い拠点が多くみられた。
c社のプロフィール
| 業種 | 製造業 | |
|---|---|---|
| 規模 | 1,500人 | |
| 管理 体制 | CISOの有無 | 有(CROが兼任) |
| 専任のセキュリティ部署 | 無 | |
| サイバーセキュリティ の主管部署 | IT部門 | |
セキュリティ担当者の問題・悩み
経営層より、同業他社の海外拠点で発生したインシデントの事例を踏まえ、海外拠点のセキュリティ対策を強化するよう指示がなされた。
全ての海外拠点に、セキュリティの知見を有し、本社の指示のもとマネジメントを一任できるキーパーソンを配置することが理想であったが、海外拠点においてセキュリティの専門人材を確保し、定着させることは困難であった。
取組(3) 対面のコミュニケーションを通じ、セキュリティ意識を向上させる
解決に向けたアプローチ
c社の情報システム部は、海外拠点においてセキュリティ担当者を確保し、キーパーソンとして定着されるためには、本社と現地拠点との顔の見える関係作りや、セキュリティに対するモチベーションの向上が必要であると考えた。そこで、年に一度全拠点のセキュリティ責任者を本社等に招集し、取組状況を確認するセキュリティ連絡会を開催することにした。また、取組状況の悪い拠点(セキュリティに対する取組意識が低い拠点)については、拠点の担当者を日本に呼び寄せ、セキュリティやITに関するフォローアップを目的とした研修を受講させた。なお、セキュリティ担当者を配置できていない拠点等、直接的な支援が必要な拠点については、本社より担当者を派遣して直接支援を行った。また、互いの表情がわかるテレビ会議を活用し、定期的にコンタクトをとった。f社では、こうした対応について、グループ全社のガバナンスに必要な投資ととらえ、本社が負担して実施した。
得られた知見
グローバル拠点におけるセキュリティ意識の向上においては、現地拠点のメンバーが、セキュリティに対してモチベーション高く取り組める仕組みを構築することが求められる。
また、セキュリティに関して共通の課題認識や目標感を共有するためには、顔を突き合わせてのコミュニケーションや相互理解が重要となる。