グローバル企業におけるサイバーセキュリティ
グローバル化は、白人社会の前提を白人社会ではない社会に押し付けます。私はこれが故に、グローバル化には良い部分もあれど悪い部分が大半だと思っています。ただ、数少ない良いものの一つとして、日本には大きく欠落している国防の概念の普及の可能性があります。
この記事では、グローバル企業と言われる会社において、どの様に国防の概念が会社に影響を与えているのかを記載します。
危険な国や地域を把握する
残念ですが、世の中には危険な国や地域が存在します。ここで言う危険とは、治安が悪いという様なものではありません。会社にとって危険な国や地域とは、会社にっとてリスクになり得る価値観、思想、法律を持つ国や地域です。
治安が悪く、そこで暴力が横行していても、その国においてそれが違法行為であると定義されているのであれば、それはそこまで問題ではありません。司法に訴えるという解決方法が存在するからです (それが機能しているかどうかは別の問題です)。ただ、例えば、自国のためであれば自国に支社を置く他国の会社のデータは盗んでも良いという法律を持つ国があったとします。日本の会社の支社がそんな国にあり、データがその国にて盗まれた際、それがその国で合法である場合はどうしようもありません。
どんな国や地域を危険としているか
グローバル企業は、具体的にどのような国や地域を危険としているのでしょう。代表的なのは、中国です。こちらの記事にも記載しましたが、中国はグローバル企業とは異なる価値観、思想、法律を持つ国です。
それ以外は、ロシアも危険な国としているグローバル企業は多いです。主に、中国と同様に共産主義国であることが主な理由です (米国では共産主義を支援すること自体が違法です)。日本の会社としては、北朝鮮も危険な地域とするべきでしょう。しかし、北朝鮮を危険な国として認識しているグローバル企業はあんまり無いと思います。これは、北朝鮮を危険な国として認識していないのではなく、会社として北朝鮮を危険な国として認識していないということです。北朝鮮で事業を展開していないのであれば、会社にとって北朝鮮はあまり関係ありません。つまり、ベン図において、自分の会社が事業を展開する国や地域と、危険な国や地域の交わった部分が、会社として認識するべき危険な国や地域となります。
共産主義国である理由以外では、ウクライナを危険な国として認識しているグローバル企業もあります (この記事は2022年2月28日に記載されています)。 2022年2月24日、ロシアがウクライナに侵攻しました。この際ウクライナは、戒厳令を制定しました。戒厳とは、”戦時や自然災害、暴動等の緊急事態において兵力をもって国内外の一地域あるいは全国を警備する場合に、国民の権利を保障した憲法・法律の一部の効力を停止し、行政権・司法権の一部ないし全部を軍部の指揮下に移行すること (Wikipedia - 戒厳)”です。戒厳令の元では、自国の生存が最優先され、それまでに有効であった法律が厳守される保証はありません。つまり、軍が必要とすれば、特定の会社のデータを盗むことも合法となります。危険な地域とは、侵攻する側だけとは限らず、総合的に物事がどう会社に影響するのかを考えなければなりません。ウクライナに限らず、戒厳令が制定されている国は危険な国として認識すべきです。
危険な国や地域にどう対応するのか
会社にとってリスクのある危険な国や地域を把握した後は、それらの国や地域に対してグローバル企業はどのような対応をするのでしょうか。以下にその例を記載します。
データへのアクセスを制限する
グローバル企業は、危険な国や地域からの会社のデータへのアクセスを制限しています。社員同士のメール、ミーティングの招待などへのアクセスは制限していないことが多いと思いますが、会社の機密情報を含むデータに関してはアクセスを制限します。
これは、危険な国や地域から物理的に仕事をしている従業員に適応されます。それらの国に支社がある場合は、その支社に勤める従業員、他の支社に勤めている従業員であっても出張などで危険な国や地域にいる場合は、同様にアクセスを制限します。
これはつまり、国や地域によって行える会社の機能が変わるということです。会社の機密情報へのアクセスが必要なポジションに対するヘッドカウントは、危険な国や地域にある支社にはつきません。
本番環境へのアクセスを制限する
ソフトウェアの会社においては、本番環境へのアクセスは顧客の情報へのアクセスを意味することも多いと思います。それ故に、従業員の中でも本当に本番環境へのアクセスが必要な従業員のみに本番環境へのアクセスが許可されている場合が多いでしょう。それに加え、危険な国や地域からの場合は、本番環境へのアクセスは制限します。例えば、本番環境へのアクセスが許可されている従業員であっても、危険な国や地域に出張した際は、本番環境へのアクセスは制限されます。
渡航を制限する
データに対するアクセスを制限するだけでななく、グローバル企業は危険な国や地域への物理的な渡航も制限します。会社として従業員に支給しているラップトップや携帯電話には、会社のデータが含まれています。データのアクセスを制限する対象となる国や地域では、その思想や法律から社員のラップトップや携帯電話が入国の際に押収される可能性もあります。国によっては、意図的に特定の会社の従業員のラップトップを押収し、そこからデータを盗むこともあるでしょう。これらの理由から、データへのアクセスを制限する国や地域においては、会社が支給したラップトップや携帯電話の持ち込みを制限するグローバル企業が多いです。
バックグラウンドチェックを行う
従業員を雇う場合に、実際にオファーを出す前にバックグラウンドチェックを行います。行うバックグラウンドチェックには色々な種類がありますが、国防に関する業界 (例: 航空宇宙) と、そうではない業界にて大きく異なります。後者であれば、主に犯罪履歴の有無を確認、それ加えて違法薬物の摂取の有無の確認があるくらいです。前者であれば、それらに加え、国籍、過去X年の間に住んでいた住所の確認、そしてそこに住んでいたことを証明できる人からの確認などが行われます。
社員を見てすぐ判断できるようにする
これも業界によって異なる部分ですが、国防に関する業界の場合、社員証を見てすぐにその従業員が国籍を有する国が核保有国かどうか判断できるようになっています。例えば、インドの国籍を有する従業員は赤色の社員証、核保有国ではない国の従業員は青色の社員証といった具合です。
国防の業界において、実際にデータが盗まれている現場などに出くわした際に、瞬時に適切な対応を取る必要があります。よって、従業員の属性が一目で分かることは非常に重要です。
結論
現在、日本でもサイバー攻撃を受ける日本の会社が多くなっています。根本的な原因は、国防の概念を理解し実装している日本の会社があまりにも少ないことです。平和ボケという言葉がありますが、日本の会社はまさか自分の会社が平和ボケしていること、平和ボケという言葉が会社に適応されることすら想像もしたことがないでしょう。
会社の文化の重要性、会社の透明性の担保、従業員の働きやすさの追求など、日本の会社はグローバル企業に比べても非常に上手くやっています。国防の部分も、日本の会社に合う形で取り入れて頂きたいです。