近年の世界規模での景気の低迷、そして先の見えない経済環境は、日本企業のビジネスにも多くのインパクトを与えている。業種によっては、商圏拡大を目指して世界市場への進出を図るといった取り組みも行われているようだ。しかし、ビジネスの拠点が世界各国へと散らばるにつれ、それに付随するさまざまなリスクが生じることも、十分に認識しておく必要がある。今回、シマンテック、プロダクトマーケティング部の広瀬努氏に、「日本企業が海外進出を進める際に考慮すべき、ITセキュリティのリスク」について話を聞いた。

シマンテック、プロダクトマーケティング部の広瀬努氏

近年の世界規模での景気の低迷、そして先の見えない経済環境は、日本企業のビジネスにも多くのインパクトを与えている。グローバル規模で激化する競争や、記録的な円高といった課題に対応し、企業としての生き残り図るため、多くの企業では戦略を立て、その実現に向けた経営努力を続けている。

業種によっては、商圏拡大を目指して世界市場への進出を図るといった取り組みも行われているようだ。特に、今後の市場拡大が期待される、中国、アジア圏への進出意欲はとりわけ高い。

しかし、ビジネスの拠点が世界各国へと散らばるにつれ、それに付随するさまざまなリスクが生じることも、十分に認識しておく必要がある。こうしたリスクには社会文化的なもの、ビジネス慣習に関するもの、各国の法制度に関するものなどが考えられるが、「ITセキュリティ」に関するリスクについても、十分な評価と対策が必要とされている。

今回、セキュリティソリューションを提供するシマンテック、プロダクトマーケティング部の広瀬努氏に、「日本企業が海外進出を進める際に考慮すべき、ITセキュリティのリスク」について話を聞いた。

最新ITリスク対策 注目記事一覧

「社外秘」文書が検索サイトで閲覧できる現状

広瀬氏はまず、「前提として、こういう現状があることを知ってもらいたい」と述べ、ある外国の企業が運営する検索サイトのドキュメント共有サービスのページを示した。

広瀬氏が検索窓に「社外秘」と入力して検索を行うと、PDFやWord、Excel、PowerPointなどの文書が大量に検索結果としてヒットした。内容は、工作機械、検査機械などのカタログや提案書、国内有名メーカーの製品であるデジタルカメラの修理部品図、社内での通達文書など多岐にわたる。共通点は、そのいずれの文書にも「社外秘」という文字列が含まれていることだ。中には「無断転載を禁ず!!」と書かれた文書まで存在する。

通常、こうした文字列を含む文書は、当然ながら社内にのみあるべきものだ。それが、一般に公開された検索サイトのサービスで閲覧されてしまうという状況が、なぜ起こっているのだろうか。

広瀬氏は、「まず、基本的に『日本企業が持っている情報は、欲している人が多く、狙われやすい』ということを再認識してほしいと思います」と言う。この海外の検索サイトですぐに見つかる「社外秘」情報の中には、とりたてて価値のないものも多いかもしれない。しかし、そうした文書が大量に流出している事実は、それ以外の「価値のある重要な情報」も、何らかの形で流出している可能性が高いことを示唆しているのではないだろうか。

流出経路に関しては、人為的なもの、すなわち内部犯行的なものもあるだろうが、広瀬氏は「企業情報の流出を意図したマルウェアによって漏えいした資料もあるはずだ」と指摘する。

悪意を持って、ある企業内の情報を詐取しようとする場合、かつては「産業スパイ」と呼ばれるような人物を使い、内部から情報を持ち出させるという手段が多く使われていた。もちろん、現在でもこうした活動は行われているだろうが、複数のPC、そしてインターネットに接続されたネットワークが当たり前のように企業に設置されている現在では、より効率良く情報を入手する手段として「何らかの方法で企業内のPCをマルウェアに感染させ、情報を外部に流出させる」という手法が用いられるケースも存在するという。

「そうした方法で不正に入手したドキュメントは、ブラックマーケットで売買されるケースもあります。そして、技術力がある日本企業が持っている情報には、高い値がつくこともある。買い手がある情報が狙われやすくなるという意味で、日本企業の情報が狙われるリスクが高まっているというのが現状です」(広瀬氏)

年々増え続けるマルウェア。2011年度も2010年度に比べて大幅に増加した。シマンテック発行の「INTERNET SECURITY THREAT REPORT vol.17」から抜粋

広瀬氏によれば、海外拠点に設置するPCの調達を現地に任せたところ、コストを下げるために「違法コピーされたOS」を導入してしまい、そのOSにマルウェアが仕込まれていたケースや、日本国内で配布する記念品の「USBメモリ」をある国の企業に発注したところ、製品の検品の段階でそのメモリにマルウェアが仕込まれ、さらにそのことに気づかず国内で配布してしまい、後で慌てて回収したというケースもあるという。

ビジネス拡大を目指して海外に拠点を設けたり、海外の企業と共同でビジネスを展開したりしていこうとする場合、ITシステムのセキュリティに関する意識を高く持っておくことは、従来以上に必要な要件となっているのである。