野村総合研究所は7月1日、「中国、アジアの日系企業における情報セキュリティ上の課題」について説明会を行った。同社の子会社で上海に拠点を持つ、NRIセキュアテクノロジーズが2007〜2008年度にわたって、中国の現地企業15社、日系企業80社にインタビュー調査を行ったところ、多くの企業でセキュリティ監査・診断の習慣がなく、セキュリティに対する意識も低いことが分かった。同社は今後、企業の情報セキュリティ体制整備に向けた支援サービスに注力していくという。
数年前まで“世界の工場”と認識されていた中国だが、近年はその経済力の高まりを受けて、“市場”として認知されるようになった。中国でビジネスを本格展開する日本メーカーも増え、いまや現地企業、日系企業問わず、各社が営業機能や物流・在庫機能の強化などに取り組んでいる。これに伴い、販売管理やSCMなど、各種情報システムの構成・機能が高度化し、重要な情報のやり取りに伴うアクセス管理など、セキュリティ面へのより確実な配慮も欠かせなくなった。
ところが同社が調査したところ、情報システムの運用保守に当たる人材が不足しているほか、「セキュリティに対する意識がそもそも低い」という“実態”が浮き彫りになった。
例えば、中国には線香を持つパンダのアイコンで有名になった“線香パンダ(お祈りパンダ)”と呼ばれるものなど、中国独自のウイルスが多発している。線香パンダはユーザーのアカウント、パスワードなどを盗み出すもので、数百万台のパソコンに感染したという。犯人はすでに逮捕されたが、猛威を振るっていた時期には深刻な社会問題となった。
そうしたウイルスが多発しているにもかかわらず、就業時間中の私用サイト閲覧を許容している企業が多いうえ、ウイルス対策ソフトの運用方法に問題を抱えているケースも目立ったという。オフィスへの入退室にしても、カードキーシステムを備えているのに、ドアを開け放しにしているケースが多かった。
システム開発企業のセキュリティ意識にも問題が見受けられた。システムを開発後、セキュリティ面を監査・診断するプロセスがそもそも存在せず、構築が終了したら即納品してしまうのだという。
「ユーザー企業にとって、セキュリティ面がチェックされていないことは不安なものだが、システム開発企業は根拠が希薄な“大丈夫”を繰り返すだけ、ユーザー企業もそれでよしとしてしまう──非常に危険だといわざるを得ない」(NRIセキュアテクノロジーズの事業開発部長 工藤眞一氏)
一方、中国固有のセキュリティ関連の法制度の問題もある。例えば現在、個人情報保護法や、製品安全認証制度「CCC制度」の情報セキュリティ製品への適用などが検討されているが、新法施行のこれまでの事例を見る限り、「突然に施策が発表され、唐突に施行される傾向が強い」(工藤氏)という。
「個人情報保護法もいきなり施行されて、過度に厳しい条項を、ある日突然に義務付けられる可能性がある。CCC制度も、場合によっては、これまで使っていた情報セキュリティ製品が制限され、使えなくなってしまうかもしれない。そうなれば企業は大混乱に陥る。日頃からセキュリティに対する意識を高め、セキュリティ関連のあらゆる情報に敏感になるとともに、自ら然るべき対策を打つ姿勢が大切だ」(工藤氏)
こうした状況を受けて、NRIセキュアテクノロジーズは2009年4月、上海拠点に情報セキュリティ事業部を新設、コンサルティングによる現状把握からセキュリティ体制の整備まで、ワンストップでサービスを提供しているという。
体制整備への具体的な方針としては、ウイルス対策、IT関連資産の管理、サーバのアクセス管理という基本対策を徹底させるとともに、現地拠点の実情に即したセキュリティポリシーを明確化する。さらに「“収益最優先”で、セキュリティ対策という“守り”の要素への投資を避けたがる考え方自体も見直してもらうべきだ」という。
工藤氏は、「確かに、今回の調査では意識の低さばかりが目立った。しかし日系企業の場合、コンプライアンス経営が常識となった本社から強い指示を受けているなど、次第に意識が高まりつつあることも事実だ。中国の現地企業も、金融業を中心に着実にセキュリティに対する認識は深まっている。弊社としてはこの傾向をしっかりとつかみ、現地企業・日系企業のビジネスをセキュリティ面からしっかりとサポートしていきたい」とまとめた。
Copyright © ITmedia, Inc. All Rights Reserved.