国家や政治に関わるセキュリティの話題が多数このブログにポストされていますが、関連した話題をひとつ。

隣国(ご想像におまかせします)のとある大手企業にお邪魔してきました。驚きの連続だったので、雰囲気だけでもお伝えしたいと思います。兎に角、個人的にショッキングだったのが、文化(?)の違いです。

一般に、日本企業ではセキュリティ事件の容疑がかけられた場合は、容疑者側は容疑を晴らすために協力的に対応してくれます。例えば、疑われたPCがあれば、素直に該当PCを提出してくれますし、企業側もある程度信頼のおける情報を提示してくれます。(HDDをフォーマットして提出されるなど、質の悪いケースも珍しくありませんが)

ところが、隣国のある大手企業では一見協力的なのですが、提出しているPCそのものが偽物だったりします。これは序の口で、従業員情報や勤務情報も虚偽ばかり。さらには人まで偽物でした。(書面上では本物)全てが組織的であり、「ここまでやるか!」と寧ろ感心してしまいました。

兎に角、何から何まで面食らって帰ってきたわけですが、そこで思ったのがオフショアに関してです。一般に価格とある程度の品質などで委託先を決定するかと思いますが、本当にそれだけで決めて良いのか、ということです。というのも、過去に委託先から雇主に正確な情報が提示されているのを見たこと無いからです。
#雇主というよりは、日本人に・・・

オフショアに関しましては、私は素人ですので深くは語れませんが、国境を越えたインシデント対応は思った以上に大変です。日本では抑止効果のある対策も、隣国では殆ど意味を成していませんでした。こうなってくると、マネジメント面以上にテクニカル面から強制的に対策をしなければなりません。
#恐らく、それでも対策は不十分・・・

さらに面倒なのが政治的対応が必要になると、より複雑となってきます。これらを総合的に考えますと、オフショア推進が活発化する中において、委託先に対するセキュリティ対策レベルも真剣に考えないといけません。「オフショア・セキュリティ」なるジャンルがあるか分かりませんが、委託先の文化を踏まえた上でセキュリティ対策の計画とリスクの受入れを行わなければ、これらの問題は無くならないのかもしれません。