中国で増え続けるセキュリティリスク

近年、世界中でますます増え続けているサイバー攻撃。その猛威は独自の規制が多数存在する中国にも向けられている。「中国は米国に次いで2番目にサイバー攻撃が多いという調査があり、海外からの中国国内への攻撃のほか、中国国内のハッカーによる、国内/外資系企業への攻撃も非常に多いです」と山口は語る。

中国といえば「GFW」、「ICP登録制度」、「データセキュリティ三法」といった独自の規制を設けており、自国の公的機関・国内企業を徹底的に監視する印象もあったが、そのじつ、厳しい目をかいくぐって国内外問わずサイバー攻撃が仕掛けられているのだ。

AI悪用の攻撃やランサムウェア攻撃がトレンド

中国も世界各国と同じくサイバー攻撃にさらされているようだが、攻撃の種類に関しても世界のトレンドと同じようだ。その代表例がAIを悪用したサイバー攻撃。日本だと馴染みの薄いAIを悪用した攻撃は、「2025年セキュリティインシデントランキング【上半期の最新事例からサイバー攻撃対策を学ぶ】」にて紹介しているように世界で頻発しており、官民問わず対策を講じるべき事案となっている。

次いでランサムウェア攻撃も多い。ランサムウェアが多発していることは日本でも知られているところだが、中国においても同様なようだ。

「お客様や知人から聞いた話だけでも、今年に入って十数件以上の攻撃が発覚しています。恐らく日系企業全体だと相当数が被害を受けていると推測できます。攻撃によっては財務データなどが暗号化され、連結決算ができなくなるケースをよく耳にします」

ランサムウェア攻撃で狙われるデータの身代金については、被害を受けた企業の中でも一部の企業が支払いに応じ、暗号化を解除できた例もあるが、支払ったが解決しなかった例も多くあるようだ。例えば日本でも地域インフラを担う医療機関が業務継続のために支払いに応じた事例があったが、中国でも各業界・企業ごとに要求に応じなければならない切実な事情があるのだろう。

サイバー規制への対策のカギは「企業間連携」

海外で日本企業情報を入手するのが難しい中、中国で成長するために大切なのが横連携である。日本企業は相互に連携しあい、コミュニティ内で活発に情報を交換しているそうだ。

「日本にいるよりも現地法人同士が＜小さな村＞みたいに結びつき、横のつながりを形成しています。例えば多くの日系企業が参加している日本商工会会ですとか、私（山口）自身も異業種交流会を開催するなどして、ほぼ毎週どこかの業種の人たちとコミュニケーションを取っています」

ビジネス上で意識的に情報交換し、有意義な情報をより多くゲットしていくことがビジネスを進展させるために必要なのだろう。また、中国ではネット上で「有意義な情報」を得ようとすると有償なことも多く、そういった意味でも異業種交流会などを活用しているのだ。

日本企業撤退の意外＆リアルな理由

近年の中国経済は以前と比べて減速していると様々なメディアで述べられているが、実際のところGDPの成長率はいまだ5％以上をキープしており、広東省や江蘇省はその省のGDPだけでメキシコ・オーストラリア・韓国・スペイン・インドネシア等のGDPを超えている。

まだまだ成長を見せる中国だが、日系企業の撤退も少なからず存在している。

中国系企業の発展と日本企業の市場撤退・縮小には一体どんな背景があるのだろうか。

セキュリティ課題解決のニーズはあるものの・・・オフショア開発などにおける人件費の高騰が大きなネックに

2017年、「中国サイバーセキュリティ法」等級保護規定が定められたため、日本企業ではその遵守のためにITセキュリティ投資が増加し続けている。山口の元にも日本企業の経営層レベルからセキュリティ対策の相談が多くあるそうで、セキュリティ課題解決のニーズが高まっていることを肌感覚で感じているそうだ。

その一方で、中国のIT人材の単価が高騰していることが、日本企業の中国撤退・縮小につながっている。中国のオフショア開発に関する動向がその証左になる。オフショア開発の魅力は“国内よりも安価な海外のIT人材を活用して、コストパフォーマンス高くプロジェクトを進められること”であるが、近年の中国のIT人材は以前よりも高騰している。「オフショア開発.com」でも示されているように、中国のIT人材の単価相場は40～50万円で高い水準を推移中だ。

「経済合理性のある一般的な話ですが、中国の人件費が高騰していることで特に海外向け製品や自動車業は縮小・撤退しています」と山口が語るように、中国市場に向けた製品を開発やサービスを開発できていない企業は生き残りが厳しくなってきている。輸出向けの製品やIT業界でいうとオフショア開発等では人件費高騰の為、東南アジアへの移転を余儀なくされている企業もある。

小売業・サービス業が中国市場で躍進中

日本の大手製造業が中国市場から撤退している一方で、小売業・サービス業が中国内で躍進中だ。特にアパレルブランドや二次元産業（アニメ・漫画・ゲーム）の一部が、中国で度々ブームとなっているという。

「日本製だから買おう」から「日本のこのブランドだから買おう」へ

中国で躍進を続けるアパレルブランドの代表格が、「ユニクロ」と「無印良品（MUJI）」だ。まず、ユニクロは中国本土に2024年時点で926店舗を構え、売上げも約6,770億円を記録している。価格上昇・品質低下などを指摘する声や閉店店舗も少なくないものの、一時のブームではなく中国に定着したブランドの一つだ。つづいて、「無印良品」は中国含む海外店舗が709店舗、売上げも2023年に大台の1,000億円を記録している。公式サイトにて中国のみの店舗数などの発表はないが、近年は中国内の店舗の年間純増数が30店舗以上という報道もあり、良品計画が中国市場を海外事業の主要なターゲットとしていることは想像に難くない。

また、日本の二次元産業も人気が根強い。例えば、「バンダイナムコ」では中国含むアジア地域の売上高が年々上昇し、2024年には973億円を記録した。『ONE PIECE』『NARUTO』『機動戦士ガンダム』シリーズなど定番人気コンテンツに加えて、中国市場向けのオリジナル商品の展開にも積極的だ。そのほか、バンダイナムコがグッズなどを手がける人気漫画『怪獣8号』と、日本のファッション・ライフスタイルブランドの「niko and...」のコラボも大きな話題となった。

山口曰く「昔は“日本製だからなんか良い、すごいな買おう”のような感じでしたが、今は“日本のこのブランドだから買おう”に変わっています」とのこと。従来の漠然としていた日本製へのポジティブなイメージから、日本の特定のブランド・コンテンツへの愛着に変質しているのだ。ユニクロや『ONE PIECE』といったブランド・コンテンツが定着したことが、日本へのイメージの解像度が高まった一因なのかもしれない。

中国でリスクにさらされている“セキュリティ対策の甘い企業”の事情とは？

業界毎で明暗分かれている中国でのビジネスだが、業界・会社規模問わず徹底しておきたいことがITセキュリティ対策だ。日本企業は大手になればなるほどセキュリティ対策をしっかりするイメージがあるかもしれないが、中国での現地法人のセキュリティ体制の現実は甘くない。

中国をはじめ海外進出している日本のグローバル企業においても、ITセキュリティ体制にバラつきがあるというのだ。ITセキュリティやグローバルガバナンスの観点で、しっかりと現地法人含めグループ全体で対策している企業もあるのだが、一方で基本的なセキュリティツールも適切に運用・保守できていないところも多い。

「紙ベースでIT監査をグローバルで実施してみると、“やってます、やってます、全部〇（まる）です”と担当者から返答されますが、実際に蓋を開けてみるとファイアウォールが穴だらけ、リモートソフトが接続されたまま放置、Windows XPがまだ利用されている、パスワードがadminのままといったように、とにかくボロボロ状態なことがあります」

どれも大企業であればクリアしていて当たり前の問題だが、「ボロボロ状態」なことはけっして珍しくない。そうした企業の特徴は「ひと工場当たり数百人規模だと中国人IT担当者しかいない」らしいが、日本とも物理的距離が近い中国でなぜそのような状況なのだろうか。

「ASEAN諸国などほかアジアと違う点は、英語社会ではない（≒中国語社会である）ことが挙げられます。（現地担当者と）コミュニケーションが取れず、情報収集もしにくい。加えて、グローバル統合に伴ってグローバル製品を採用しようと思っても、“グローバル＋チャイナ”みたいに中国だけオリジナル製品で実装する必要が生じます。その結果、日本のIT担当者の方が対応するのに重くなってしまう」

中国ではコミュニケーションコストやツール・ソリューション導入の障壁が高く、恐らくセキュリティ対応の遅さに表れているのだろう。

日本人経営者の悩み解決に「日本人（IIJ・GS中国）がココで働く意味」を見出す

オフショア開発の動向を見るに、中国のIT担当者の能力が低いわけではないことは自明だが、セキュリティやガバナンスについては意識的にまだ低い。そのため日本本社と現地法人スタッフ間でコミュニケーションを取る必要があるのだが、前述したように情報収集もしにくいのが現状だ。

このような場合だからこそIIJのサービスが役立つ。「お客様、特に経営者層の方とお話ししていると“同郷のつながりをお互いに感じて、日本人だからこそ言える、理解してくれる”みたいな印象を抱いてもらえて、中国でのITセキュリティについて相談をいただいています」

IIJ Global Solutions Chinaではこれまで数多くの企業の悩みを聞いてきた。とりわけクラウド・セキュリティ・法律コンサルティングなどの分野の実績やノウハウに自信がある。競合とも被らない独自の強みを活かして、日本人同士でコミュニケーションを取り、課題解決に向けて動くことが、山口にとって「日本人がココ（中国）で働く意味」。特にIIJはセキュリティ・法律といった重要な分野でコンサルタントのように併走できるのが強み。山口含むチーム全体が日頃のコミュニケーションを武器に、日本企業の課題解決に奔走している。

中国拠点のセキュリティに不安がある場合は第三者目線のチェックがおすすめ

今回はIIJ Global Solutions Chinaで活躍する山口の話をもとに、中国のセキュリティ事情についてまとめた。インタビューを通して、顧客と積極的にコミュニケーションを取り、悩みをヒアリングすることで中国における様々な課題に向き合う日常を垣間見れた。

また、世界と同じく中国でも日々サイバー攻撃が巧妙化していることも判明した。それに伴い企業側のIT投資が拡大し、日本本社に加えて海外子会社におけるセキュリティ強化も盛んだ。各企業がFirewall・IPS・SOCといった様々なサービスを導入しているものの、企業ごとの“最適なセキュリティ対策”は異なる。自社視点のみの対策は不十分な場合が多く、サービス導入前の現状調査や客観的な視点を加え、自社の現状に沿ったセキュリティ対策を講じるのがおすすめだ。

IIJ Global Solutions Chinaでは攻撃者の視点に立ち、IT資産や侵害ポイント、不必要な情報資産の露出などのリスクを可視化するセキュリティ調査サービスを提供している。より本質的なセキュリティ対策をするためにも、少しでも中国拠点のセキュリティ体制に不安のある方は気軽に相談してみてほしい。