お客様各位

いつも大変お世話になっております。
TREメルマガ担当三宅です（DX勉強中）。
最近急に暖かくなりましたね。
少し前に「中国のハワイ」三亜に旅行で行ったのですが、
広州よりも暑く、マリンスポーツを楽しんでる方も既にたくさんいらっしゃいました。
わたしは海には入りませんでしたが、波の音を聞きながらパラソルの下でお昼寝などして、
久しぶりにゆっくりとした時間を過ごすことができました。

住み始める前は治安が悪いイメージを持っていた中国ですが、
地方へ行ってもあまり危険は感じず、
スマホがあれば割となんでもできる、IT化、DX化が進んだ国という印象に変わりました。
しかし、そこで不安になるのは自身や自社のIT面でのセキュリティについて。
昨今の日本国内メーカーサプライチェーンへのサイバー攻撃や、
中国のサイバーセキュリティ法などの報道に触れると不安になります。
そこで、ここだけは押さえるべきITセキュリティの要点について弊社西澤よりご紹介いたします。
頻繁に話題に上がる「セキュリティ」ですが、
具体的にどういったことが問題になっているのか、どういった対策をしたらいいのか、
少しでもご参考になれば幸いです。
（担当：三宅）

シリーズ：「中国現地法人のITセキュリティを考える」
　その(1)　スマホの普及でセキュリティ向上？？

ついこの間、日本通の中国人の同僚エンジニアと食事をしているときに、
「中国は以前に比べて治安が良くなってきたよね」等と彼に話していました。
というのも、2008年に私が初めて中国長期滞在を始めた深圳でのこと、
真昼間の大通りで突然背後から女性の悲鳴が聞こえ、振返ってみたら、遠くにひったくりの後ろ姿が…
なんてことが日常の風景だった時代でした。

すると、彼が興味深いことを言うのです。
「実は、私は中国の社会的なセキュリティの向上は、スマホの普及のおかげだと睨んでいるんですよ。」と。
（え？逆にスマホの普及でセキュリティ面の不安は増えたような…）
私が頭の上に？マークを飛ばしていると、彼曰く、
「昔は財布を持ち歩くのが当たり前。でもスマホと電子決済の普及で、財布を持ち歩かないのがむしろ常識に。
大金は持ち歩かなくなりました。ついては、物取りも商売上がったりですよ（笑）。」
なるほど！
治安で言えば、少なくとも都市部では、2008年のような悲鳴を耳にすることは、殆どなくなりました。

では、ITセキュリティにおいても中国は進化したのでしょうか？
法制面では、サイバーセキュリティ法、個人情報保護法、そして現在整備中のデータセキュリティ法など、
中国の情報規制整備は目まぐるしいほど進んでいます。
知らないうちに法を犯していないか、不安が絶えない方もいらっしゃるのではないでしょうか？
一方、コロナならぬ昨今のランサムウェアに代表されるサイバー被害も世界規模、かつ無差別化しています。
「セキュリティ対策に万全はないことは分かっているが、それでも最低限どうしたら良いか教えて欲しい。」
中国現地法人の経営者の皆様から切羽詰まったお顔でご相談をいただくこともしばしばです。

しかしあまり神経質になる必要はありません。
誤解を恐れずに言えば、中国情報規制三法（サイバーセキュリティ法、データセキュリティ法、個人情報保護法）
も頻繁に更新されるようですが、一旦抑えるべきポイントを抑えれば変更を追いかけるのはさほど面倒では
ありません。添付（下記ダウンロード資料）を知識の復習に是非活用してみて下さい。
また、日本語での変更のポイント解説を無料で都度メールで配信しているコンサルティング会社さんやメルマガ
なども良く見かけます。

セキュリティ対策について、最近の新常識は次のようなことが言われています。
① VPNをやめてセキュリティクラウド（関所）を利用
② 対策ソフトからEDR（AI振る舞い検知型ツール）に切替
③ パスワードをやめ（顔認証など）多要素認証に移行
お金も手間も厭わなければなければ色々やりたいところですが，その費用対効果も問われます。
（詳細は日経コンピュータ2022/02/17をご参照ください。）

ランサムウェア対策は今も昔も下記のポイント４つを徹底することまずありきに変わりはありません。
① ウイルスソフトを最新の状態に
② ハードやOSは最新のものに
③ 疑わしいメールの添付は開かない
そして
④ 定期バックアップ機器は繋いだままにしない
（IPA：独立行政法人 情報処理推進機構 資料より）

【今更聞けないランサムウェア対策と中国情報規制三法・虎の巻（ここをクリック）】

添付では、中国の情報規制法が要するにどんなもので、何をしてはいけないか？という順法の観点と、現実的な
セキュリティ対策として最低限何をしなければならないのか？の両側面から出来るだけ分かり易くセキュリティ
対策をまとめてみました。
幸い、アドバイスさせていただいた方からも「安心した」などと喜びの声をいただいており励みとなっています。
それでも、もしウイルスなどの被害に遭ってしまったら…
以前、商工会を交えてサイバーセキュリティー保険をじっくり調べたこともありますが、要は身代金や賠償金等
との費用対効果、もちろん何かの時の備えですから予防対策ではありません。
IT面でやるべきことは、弊社でも実際やっているのは、暗号化されたすべてのPCやサーバーOSの再インストール、
ウイルスがまだ潜んでいないかの確認、バックアップデータの流し込み、などなど。
その間業務は止まりますので時間との勝負でもあります。
いざと言うとき直ちに駆け込める、信頼できるIT専門チームを確保しておくことが大切です。
病院に例えるなら行列待ちの大病院では必ずしもなく健康状態のカルテを持っていて普段から患者の状態を把握
している町医者の方がお勧めかもしれません。
今回の考察が、少しでもお読み下さっている皆様のお役に立てば幸いです。
弊社も掛かりつけ医のようなサービスを目指しています。未病の段階でも何かあればお気軽にご相談ください！
（担当：西澤）