PwC タイビジネススタディ

問われる日系企業のサイバーセキュリティ体制 ー サイバーセキュリティ法と国家安全保障 ー(下)

この記事はPDFでダウンロードできます

ダウンロードができない場合は、お手数ですが matsuoka@mediator.co.th までご連絡ください。

※入力いただいたメールアドレス宛に、次回配信分から定期ニュースレターを自動でお送りしております(解除可能)

問われる日系企業のサイバーセキュリティ体制 ―サイバーセキュリティ法と国家安全保障 ―(下)

9月号にてタイで新たに制定された「サイバーセキュリティ法(CS法)」の概要についてご説明させていただきましたが、11月号では具体的に日系企業に求められる対策のポイントについて解説させていただきます。CS法は現状では全ての企業にサイバーセキュリティ対策を求めていませんが、「重要情報インフラストラクチャー(CII)」に認定された企業には様々なセキュリティ対策が求められています。

今後CIIの対象が増えたり、適用範囲の拡大が予想される中で、今回の記事では日系企業が考えるべきサイバーセキュリティ対策の3つのポイントについて、ご説明させていただきます。

サイバーセキュリティ対策において意識すべき3つのポイント

1 日本本社に依存しないセキュリティ体制の確立
2 国際的なセキュリティ基準に基づいた評価の実施
3 従業員のセキュリティリテラシーの向上

日本本社に依存しないセキュリティ体制の確立

1つ目は、現地法人においてサイバーセキュリティ対策を独力で実施できる人員や体制の確保です。多くの日系企業では、現地法人におけるIT部門の役割は非常に限定的であり、サイバーセキュリティに対する対策は日本本社や、地域統括拠点に依存しているのが現状です。CS法では、CII対象企業は監督官庁(NCSC)の規定するサイバーセキュリティ方針や基準への準拠が求められると同時に、様々な報告書の提出が求められています。

このため、CII対象企業には日本等からの遠隔でのセキュリティ対策では無く、タイ国内で各種のセキュリティ対策や法令対応を行う対応が求められています。言い換えると、タイ国内でサイバーセキュリティに従事する人材を確保し、組織を作り、セキュリティ対策を行う事が求められています。

国際的なセキュリティ基準に基づいた評価の実施

次に、国際的なセキュリティ基準による自社のサイバーセキュリティ対策状況の評価の実施と、その評価結果を基にした対応・対策の実施が今後必要になります。多くの日系企業では、日本本社等が定めたセキュリティ基準に基づいた評価や、対策を行われているとは思いますが、CII対象企業においてはこういった独自基準では無く、国際的なサイバーセキュリティ基準に基づいたセキュリティ評価が求められる可能性が非常に高いです。

基準に関してはNCSCの方針やガイドラインを待つ必要が有りますが、国家安全保障という法律の性質上、非常に高いレベルの評価基準が選択されると考えられます。実際に国家安全保障レベルのセキュリティ基準としては、米国の政府機関や日本の防衛省が商品やサービスを納入する民間企業に準拠を求めている、米国標準技術研究所 (NIST)のサイバーセキュリティ基準等がその候補にあがると思われます。

既にタイ国内でも、NISTを基準としたセキュリティ評価を実施するタイの民間企業が増えてきていますので、CII対象企業のみならず日系企業においても、今後の自社のサイバーセキュリティ対策の一つの指針になってくると思われます。

従業員のセキュリティリテラシーの向上

最後に、ソフトウェアや制度などの仕組みに加えて、従業員のセキュリティリテラシーの向上がサイバーセキュリティ対策の重要な要素になります。サイバー攻撃は直接的にシステムを攻撃して相手のシステムに侵入する以外にも、従業員のヒューマンエラーによりシステムやネットワークに侵入しようとする攻撃も多用されています。

手口としては、取引先を装って従業員にメールを送り添付ファイルを開かせてウィルスに感染させたり、外部サイトへ誘導して支払い情報や機密情報を入力させるなどがあります。

このため、サイバーセキュリティ対策では従業員一人一人のセキュリティリテラシーの向上が、システム的、制度的な対策以上に非常に重要な防衛策となります。

サイバー攻撃の手口は日々進化していますので、こういった教育は1年に1回受ければよいようなものでは無く、社内のセキュリティチーム等から定期的に情報発信を行い常に、セキュリティリテラシーの向上を目指す必要が有ります。

今回ご紹介した3つのポイントは、タイの日系企業において共通してみられるサイバーセキュリティ対策のポイントになります。CII対象企業の皆様は記事に記載した内容に加えて、実際のインシデント発生時の対応計画等様々な対策が必要になります。

また、非CII対象企業の皆様もサイバー攻撃を受けた場合にはNCSCによる調査や、システムの押収等のリスクが有る事をご理解いただき、自社のサイバーセキュリティ体制の見直しをご検討ください。

サイバーセキュリティ法及びその対策に関するご質問、ご相談がございましたらご遠慮なくご一報いただけますと幸いです。

加藤 英悟
Manager
カリフォルニア大学サンディエゴ校卒業。
IT企業にて東南アジアにおける日系企業向けのシステムの提案、導入を担当。
PwCコンサルティング合同会社に入社後、2018年4月よりPwC Thailandに赴任。
基幹システム(ERP)、デジタルテクノロジー、サイバーセキュリティ-の専門家として、製造業、金融業、商社等の幅広い日系企業向けの支援を提供している。

095-371-6719(携帯)
eigo.e.kato@pwc.com

PricewaterhouseCoopers
Legal & Tax Consultants Ltd.
15th Floor Bangkok City Tower, 179/74-80
South Sathorn Road, Bangkok 10120, Thailand
Tel: 0 2344 1000

免責事項: 本稿は、一般的な情報の提供を目的としたもので、専門コンサルティング・アドバイスとしてご利用頂くことを目的としたものではありません。情報の内容は法令・経済情勢等の変化により変更されることがありますのでご了承下さい。

この記事はPDFでダウンロードできます

ダウンロードができない場合は、お手数ですが matsuoka@mediator.co.th までご連絡ください。

※入力いただいたメールアドレス宛に、次回配信分から定期ニュースレターを自動でお送りしております(解除可能)

gototop