APAC地域は、自然で平穏な美しさ及び深い精神的伝統と、多忙な都市生活が常に対照をなしてきた所です。テクノロジーも対照をなしています：一方では、地域の一部が5G、高解像度メディア、デジタルインフラストラクチャなどのテクノロジーで世界をリードしていますが、同時に他の一方では、組織全体がWindows 95デスクトップを使っているのを見るのが珍しくありません。

しかし、テクノロジーの複雑さ水準は、商業の成長を防げません。この地域は経済が飛躍的に発展し続けており、市場は合併、買収、譲渡、及び堅実な拡張計画に満ちています。国内企業も外国企業も同様に、テクノロジーのリスクという点での課題は、新興企業にとってもグローバルな多国籍企業にとっても同じです。

アジア太平洋地域に特定の課題

拡張又は買収によって企業が新しい市場に参入する場合、新しい製品やサービスを開発するか、既存の製品を変更しなくてはなりません。アジアでは、局部的な伝統と好みがわずか数キロメートルの空間で変化することがあるので、特にそうです。

通常、各市場には独自のデータプロビジョニング、インフラストラクチャ、テクノロジースタック、及び確立されたビジネスプロセスがあります。サイバーセキュリティの専門家、及びビジネス全体の経営者（人事担当者、マーケティング担当者、運用管理者など）にとって、これは大きな課題です。

その結果、多くの場合、企業全体でテクノロジーのありとあらゆる使用について深い洞察を持っている人や部門は存在しません。すべての接続ポイント、API、インターフェース、又は第三者へのハンドオフは、データ損失、プライバシー侵害、又はあまり良くない非効率的な慣行の機会を提供します。

APACの地理的性質は、北朝鮮政府の関係者による脅威（現実又は想像）も伴います。また、アメリカのPR宣言の猛吹が信じられると、中国もそうです。デジタルの脅威は、物理的な近接性によって決定されるわけではありませんが、認識された脅威は、この地域で活動するAPACビジネスの重役用会議室とデータセンターと、多国籍企業の重役用会議室とデータセンター両方でのポリシーに重大な影響を及ぼします。

テクノロジーにはリスクが伴います

マルチクラウド、ハイブリッドクラウド、つまり最新のエッジベースのテクノロジーなどの新しいテクノロジーを使用することは、企業のサイバースタンスを変える必要があることを意味します。境界防御が十分であった時代は過ぎ去り、クラウド中心の侵入検知やWAF（ウェブアプリケーションファイアウォール）など、僅か数年前に最先端と考えられていたテクノロジーでさえ、もはやサイバーセーフティを保証するのに十分ではなくなりました。

また、検討が必要な法律やデータガバナンスの一部もあります。オーストラリア、中国、ヨーロッパ、及び米国には、順守すべきガバナンス手順がありますが、単に順守するだけでは十分ではありません。システムが整っていることを政府に証明することと、順守慣行を証明することはまったく別です！

しかし、スターウッド/マリオット違反の場合のように事態が悪化した場合、GDPR規制の侵害に対して、欧州連合が会社に課した罰金で見られるように、その結果は財政的に大きな損害を与える可能性があります。また、それはもちろん、広報活動、投資家の信用、及び将来のビジネス面に永続的な悪影響を加えてです。

リスクの管理、企業の保護

香港のiBDG（ビッグデータガバナンス研究所）が示唆した通り、データフレームワークが、国境を超えるAPACデータの移動をより安全に行うことができる基礎になり、そのフレームワークがアジアに拡大すると、会社はどのようしてサイバーと法律上の圧力から身を守ることができるのですか？

組織全体で「データを認識する」ように考え方を変えるという最終目標により、会社は現在、実用的な措置を講じることができます。これらの手順に従うことは、社内演習として、つまりTech Wire Asiaでこの記事の下にある2つのサプライヤーのいずれかを利用して、優先順位を付けて実施する必要があります。

最初の手順：データマップを作成する

企業は、多くの場合、エンタープライズアーキテクチャの演習と管理変更手順の一部としてプロセスをマッピングします。プロセス図には、テクノロジーと情報の流れを構成する基盤を含める必要があります。新しいイニシアチブ又はプロセスの変更の前に、次の質問をしてください：

-データの所有者は誰ですか？

-情報はどこに保存されますか？

-他にどのようなプロセスがデータに貢献し、影響を与え、又はデータを使用しますか？

-作成からアーカイブまで、データの回復力とセキュリティは誰の責任ですか？

２番目の手順：リスクの段階的な検討

エンタープライズアーキテクチャの手順に再び関連して、各段階で提示されるデータの動きとリスクを検討すると、問題が発生する可能性のある場所を特定するのに役立ちます。新しい手動又は自動プロセスが考案されると、データリスクに基づいて各プロセスを評価することが絶対必要になります：結局のところ、各手順は、悪人によって、又は法律の遵守を保証するためにシステムの監視を許可された政府職員によって「検討」され過ぎる可能性があります。

新しいビジネスプロセスの各手順は、さらに複雑になる場合があります。安全なシステムが使用される場合、ユーザー（又は自動化されたプロセス）をどのようしてに認証しますか？企業全体でパスワード管理が行われていますか？セキュリティ証明書がありますか、データはどのように暗号化されますか？

3番目の手順：既存及び新しいテクノロジーとハードウェアを慎重に評価する

単純な基本的接続デバイスであっても、新たな関心分野を開く可能性があるので、セキュリティ設備は慎重に検討する必要があります。代表的な例として、産業環境では、IIoTが、Industry 4.0スタイルの変革に従事する会社に大きな機会を提供しますが、既存のネットワークでデバイスをオンラインにすると、新しい攻撃ベクトルとリスクが生じます。

どの会社でも、ビル管理システム、監視カメラ、デジタル入力システムなどの接続されたスマートデバイスは、組織を保護するように設計されているかも知れませんが、悪用される可能性のある抜け道を提供します。

4番目の手順：コントロールとリスクを意識した精神構造を構築する

サイバーセキュリティとリスクに対する最初のルールは、「発生した場合」の考え方ではなく、「発生した時」の態度を育てることです。したがって、データの回復力とリスク要因を重視して、すべてのビジネス決定を検討する必要があります。提案されたビジネスプロセス、又は戦略が機能する場合がありますが、安全でないデータプラクティスが含まれる場合、決定を変更する必要があります。

データの観点では、組み込みの制御は非効率的で、100％効果的ではありません。一例を挙げると、新しいクラウドサービスのスピンアップはプロセスベースの問題に対する回答になることがありますが、サービスが企業の中央PAMシステム（パスワードアクセス管理）を統合できない限り、スピンアップを避けるのが良いかもしれません。

Tech Wire Asiaでは、過度のリスクから自社を保護するという点で、企業の姿勢を変えるのに役立つと思われる、セキュリティ、リスク、及びガバナンスの管理ソリューションの2つのサプライヤーを検討しています。相変わらず、安全性の完全な保証や、法規制への適切な準拠を保証するシンプルなボックスチックプラットフォームはありません。組織を保護することは、組織自身が責任を負うままです。次のベンダーには、ユニークなものを提供しているつもりです。

EY

EYは、サイバーセキュリティとリスク管理ソリューションを提供する世界最大の企業の1つであって、特に局所及び局所を越えて運営されるAPACビジネスに関連するタイプのサービスを提供するのに適しています。

会社のトポロジーが変化すると、リスクの挙動も変化するので、EYは、データのセキュリティと回復力に対する、次の革新的なアプローチを提案しています：Trust by Design（考案による信頼）

Trust by Designは、優れたデータプラクティスを企業の運用に効果的に「焼き付け」ますが、企業内のすべての利害関係者が大きな信頼を築くことができるように、さらに推し進めます。内部組織、サービス、機能と同様に、利害関係者にもパートナー、サプライヤー、請負業者、顧客が含まれます。外部の利害関係者と顧客は、PRの観点からデータの不正管理の問題に特に敏感であるため、ビジネスにおける良好な関係を維持するには、すべての手順で情報セキュリティに適切な重みを付けることが絶対必要です。

会社の全体的なアプローチは、Trust By DesignがIT部門とCISOだけに焦点を当てるのではなく、企業全体に拡大することを意味します：今日のすべての部門、部署、ビジネス機能はデータを扱うため、エンドツーエンドの最上の慣行が最も重要です。

Tech Wire Asiaのこちらで、EYがAPAC全体でセキュリティと信頼の革新をどのように開発しているかをご覧ください。[プロフィールピースへのリンク]

IBM

de factoハードウェアのサプライヤーから世界有数のITサービス企業への移行に成功した会社から期待されているように、IBMの実質的なポートフォリオは、データセキュリティの全範囲のソリューションの標準的なソースになります。

社内のデータセンターから、ハイブリッド、社内、およびマルチクラウドのプロビジョニングの絶えず変化するトポロジーを備えたマルチクラウドネットワークに企業が移行するとき、IBMフレームワークは保護と確保を支援します。

たとえば、IBMの重要なデータ保護プログラムは、企業全体のセキュリティスタンスの分析から開始して、潜在的な弱点を特定します。これは、実務面だけでなく、潜在的なデータ侵害についても同様です。監査プロセスは、データの種類と重要度の分類を支援し、個々のサイロ（およびサイロ間の相互関係）に対して企業内で責任を割り当てるためのフレームワークを設定します。

IBMセキュリティサービスは、情報がどこにあっても、データガバナンス、セキュリティ、およびデータ整合性の包括的な監視と制御を提供できます。当社の一元化されたデータセキュリティの自動化および管理ソリューションは、企業内のさまざまな責任ポイントに全体的な制御をもたらします。IT、金融、人事、物流など。

IBMの重要なデータ保護プログラムの詳細については、こちらをご覧ください。