ソフトウェアやシステム、アプリケーションなどのオフショア開発を受け入れる国々の多くは開発途上国や新興国で、なかにはセキュリティ意識が低い場合も少なくありません。一方で、日本や欧米から多くの案件を受注する目的でセキュリティ対策などに注力している企業も増えてきています。
本記事では、オフショア開発におけるセキュリティ対策について、そのリスクやセキュリティリスクのある企業の特徴、具体的な対策内容などのポイントを軸に、詳しく解説します。オフショア開発を検討している企業の皆様はぜひ参考にしてください。
オフショア開発でのセキュリティリスクとは
オフショア開発を実施する場合、具体的なセキュリティリスクを事前に把握しておく必要があります。「機密情報・ソースコードの流出」および「予算不足による対策の不備」の2つのポイントを解説します。
機密情報・ソースコードの流出
オフショア開発では、機密情報やソースコードの漏洩が大きなリスクです。オフショア開発を請け負う国々のなかでも、開発途上国や新興国はセキュリティ意識が低く、情報が漏れる可能性が否定できません。セキュリティやコンプライアンス、個人情報などへの意識も低く、教育も立ち遅れています。
特に、システム開発などのソースコードは、成果物として形がなく持ち出しやすいのが特徴です。それだけに、エンジニアの入れ替わりが頻繁な請負型開発の現場では、流出のリスクが高まる恐れがあります。
予算不足により十分な対策が取れない
ラボ型契約では、セキュリティ強化のために現地に専用のプロジェクトルームを設けますが、高度なセキュリティ対策を実施するにはそれ相応のコストが必要です。そのため、オフショア開発の目的であるコスト削減とセキュリティ強化の両立が難しく、予算不足により十分な対策が取れない可能性があります。
開発途上国や新興国では、一部を除き、知的財産に対する意識も低く教育も遅れているため、開発中のシステムの機密情報が漏洩するリスクが高い傾向があります。
セキュリティ事故・事件の事例
オフショア開発におけるセキュリティ自己の事例として、村田製作所のケースを紹介します。2021年8月、村田製作所では取引先情報と従業員情報合わせて約7万2,000件が流出する事件が発生しました。
村田製作所では、会計システムの移行を日本アイ・ビー・エムに依頼、さらに日本アイ・ビー・エムがこの案件をIBM中国法人に再委託しました。しかし、現地採用のエンジニアが業務用パソコンから無断で村田製作所にデータを持ち出し、個人用クラウドにアップロードしたことで、情報漏洩が起こりました。
オフショア開発におけるセキュリティの課題
オフショア開発では、委託先の国ごとにセキュリティへの意識レベルが異なる点、さらにセキュリティ対策にお金がかかる分コストパフォーマンスがよくないという点も指摘されています。これらセキュリティ上の課題を詳しく解説します。
1.国によってセキュリティへの意識が異なる
オフショア開発を請け負う国々では一般的にセキュリティや知的財産、コンプライアンスへの意識が低い傾向があります。特に中国では、「国家情報法」によりすべての情報が国の命令で開示を求められる可能性があるため、セキュリティ対策が十分でないケースが多いのが実情です。
こうした国々では元からセキュリティや知的財産、コンプライアンスに関する社員への教育が進んでいない点も、セキュリティ意識の低さや対策の甘さにつながり、事故や事件が発生する温床となっています。
2.セキュリティ対策はコスパが悪いという声も
オフショア開発の主な目標はコスト削減です。委託先で十分なセキュリティを確保しようと対策に力を入れると、余分なコストが発生します。これでは、せっかくオフショア開発を選択してもコストパフォーマンスが悪く、矛盾が生じます。
先述のとおり、国ごとにセキュリティ意識も異なります。オフショア開発によるコスト削減と高度なセキュリティの確保の両立は難しいのが現状です。
そもそもオフショア開発とは
オフショア開発とは、海外の遠隔地にある企業やチームに開発業務を委託する手法です。高度な技術力を持ったIT人材が多い国々のなかでも、人件費や物価の高い都市部を避け、あえて地方に拠点を置いて開発を行うことで、大幅なコスト削減と、高い技術力を持つエンジニアの確保を両立できます。DX推進などでIT需要が伸びているにもかかわらず、IT人材不足が深刻化している日本では、オフショア開発はリソースの確保の観点から重要な手段です。
オンショア・ニアショアとの違い
オフショアとの関連で使われる用語に「オンショア」「ニアショア」があります。
オンショア開発とは、国内の企業やチームにすべての開発業務を委託する手法です。同じ文化や言語により円滑なコミュニケーションが促進され、やり取りを行ううえで時差や齟齬の問題がなく、品質管理が容易などのメリットがあります。
ニアショア開発とは、日本国内の地方、あるいは日本と地理的に近い国や地域の企業に開発業務を委託する手法です。時差や文化の違いが少なく、コミュニケーションが取りやすい、コストはオンショアより低いなどの点が、ニアショアのメリットです。
オフショア開発においてセキュリティリスクのある企業とは
オフショア開発においてセキュリティリスクを回避するためには、こうしたリスクの発生原因となっている特徴を持った企業かどうかを見極めることが肝心です。3つのポイントから、セキュリティリスクのある企業の特徴を解説します。
再委託を行っている企業
オフショア開発で委託を受けた企業が、さらに別の企業へと再委託を行っているケースは要注意です。再委託先では、セキュリティ対策や管理基準の確保が、直接委託先に比べて不十分になる可能性があります。
直接の委託先であれば、契約書にセキュリティ条項を盛り込み、セキュリティに関する教育を通じてセキュリティ意識を高めることが可能です。しかし、再委託先にはそれらの取り組みによる影響が及びにくく、セキュリティリスクの軽減は困難なため、注意が必要です。
実績開示をしていない企業
オフショア開発について過去の実績を開示しない、または実績が少ない企業は、セキュリティ対策に慣れていない可能性があります。
実績のない企業では、セキュリティ管理体制を整えるのに時間がかかるため、それだけリスクが高まります。オフショア開発の実績が豊富で、信頼できる企業を選ぶことが大切です。特に日本の案件を多くこなしてきた企業なら、要求されるセキュリティレベルもよく承知しているので、適切なセキュリティ対策を講じてくれるでしょう。
エンジニアの離職率が高い企業
エンジニアの離職率が高い企業も要注意です。スタッフの出入りが多いとプロジェクトから離れた人員の管理が難しくなり、セキュリティリスクは自ずと高まります。
エンジニアの離職率が低ければ、それだけチームの基盤は固定されています。安定したチーム構成を維持する企業に委託することで、開発にかかわるチームメンバーの誰が何を担当するかの把握もしやすくなるでしょう。
オフショア開発でセキュリティ対策を高める方法
オフショア開発を選択したとしても、委託先企業でセキュリティ対策を高める方法はいくつもあります。7つのポイントから、セキュリティ対策を向上させる具体的な内容を解説します。
入退室の管理を徹底する
開発に加わるメンバーの登録および異動の際は、事前に日本側に申請して承認を得る体制を敷き、入室許可も社員証(セキュリティカード)で管理します。プロジェクトルームの入退室は日本側で承認されたメンバーのみに制限し、プロジェクトルームおよび施設全体も、社員証に加えて生体認証などで二重の制限を設けつつ、出退勤の時間と照合するなどで管理を徹底させるのがおすすめです。
開発環境の整備を行う
開発環境のネットワーク整備も重要です。開発環境は閉じたLAN環境で構築するとともに、Wi-Fiを使用しないなどインターネットとの接続を遮断することが肝心です。委託先で他社の開発プロジェクトを請け負っている際は、社内ネットワークのセグメント化も必要です。これらの対策を通じて、外部からの不正アクセスのリスクを軽減できます。
セキュリティ教育・誓約書を実施する
開発プロジェクトに参加するチームメンバーが決定したら、セキュリティ教育を実施するのがおすすめです。全員で日本側が準備した指定冊子を読む、講師がレクチャーするなどで学習したのち、セキュリティチェックシートへの記入およびサインで理解度を確認し、セキュリティ要件の遵守を誓約させます。この教育サイクルを定期的に全員が行うことが望ましいでしょう。
ラボ型契約にする
ラボ型契約とは、一定期間にわたり専用のチームを確保して開発を委託する契約形態を指します。ラボ型契約により、一定期間安定したメンバー体制を保ち、エンジニアの入れ替わりを防ぐことが可能です。メンバーの入れ替わりや離職がなければ人員管理の手間も省け、セキュリティリスクを軽減できます。
プロジェクトルームを開設する
専用のプロジェクトルームを開設して、完全に天井と壁に囲まれた部屋を用意するのも、有効なセキュリティ対策です。出入り口は一箇所にして中と外に監視カメラを設け、入退室には社員証や生体認証で厳重にガードをかけます。防災上の観点から別途の出入り口を用意する必要があれば、通常は施錠したままでよいでしょう。
開発用パソコン・OSを日本側で準備する
開発用のパソコンやOSは日本側で用意し、チームのメンバーには新規のパソコンを供与することも必要です。メンバーの異動があった場合は既存のパソコンを新規に入れ替えるようにします。パソコン管理ソフトウェアをインストールしておけば、ログイン・操作履歴を含めたパソコンの利用状況や導入ソフトウェアの構成などを日本側からチェックし、不正アクセスをシャットアウトできます。
セキュリティ事案発生時の管理体制を徹底する
プロジェクトの進行中、万が一情報漏洩を含むセキュリティ事案が発生した場合に備え、事前に対応策を決め、24時間の連絡体制を整えることも重要です。日本および現地それぞれで責任者を立て、それぞれでの対応手順を日本側で文書化して共有し、何か起こった際は迅速な対応が取れるようフォローする必要があります。
オフショア開発における委託先の選び方
オフショア開発の委託先を選ぶ際は、日本との外交関係が良好で、内政が安定している国を選ぶことが重要です。この条件から外れる国に委託せざるをえない場合は、現地情報を収集する担当者を配置し、常に連絡が取れる体制を整える必要があります。担当者には日本人、あるいは高度な日本語能力を備えた現地の人材を置くことで、コミュニケーション上の行き違いを減らせるでしょう。
まとめ
オフショア開発は大幅なコスト削減が期待できるものの、委託先の国によってはセキュリティ意識が低い場合もあり、セキュリティリスクは高まります。オフショア開発の委託先を選ぶ際は、再委託を行っている、エンジニアの離職率が高いなどの特徴を持った企業は避け、専用プロジェクトルームを設ける、入退室管理を徹底するなどのセキュリティ対策を徹底することが有効です。
なお、オフショア開発の委託先をお探しの場合は、ぜひSun Asteriskにご相談ください。創業から5年間で150社、200件を超えるプロダクト開発に携わってきた豊富な経験と、各分野のプロフェッショナルが集結した充実の体制により、専属チームが貴社の事業を手厚く支援します。