「オフショア開発を委託したいが、セキュリティ面が心配」
「オフショア開発で日本並みのセキュリティを担保するにはどうすればいい?」
海外でのソフトウエア開発を検討している企業の中には、そのような不安や疑問を持っている担当者も多いでしょう。
たしかにオフショア開発を受け入れる国々は、途上国や新興国が多いため、セキュリティ意識が低いところも多くあります。
が、一方で日本や欧米から多くの案件を受注するために、セキュリティ対策や教育に注力している企業も増えているのが現状です。
また、日本側が以下のような十分な対策をとることで、セキュリティを高めることも可能でしょう。
・ラボ型契約にする
・プロジェクトルームを用意する
・有線のクローズドネットワークを構築する
・作業用PC、OS、ソフトは新たにこちらで用意する
・チームメンバーにセキュリティ教育を行う
・チームメンバーの入退室管理・就業管理を徹底する
・情報漏洩などが発生した際のフォロー体制を整える
そこでこの記事では、オフショア開発のセキュリティに関して、発注元の企業が知っておくべきことを網羅しました。
まず最初に、現状を知っておきましょう。
◎オフショア開発のセキュリティ管理
◎オフショア開発のセキュリティリスク
◎情報漏洩の事例
その上で、リスクの回避や解決方法を考えていきます。
◎セキュリティリスクのあるオフショア開発企業を見極めるポイント
◎オフショア開発でセキュリティを高めるための対処法
◎オフショア開発以外の外注方法のセキュリティ
最後まで読めば、オフショア開発のセキュリティに関する不安を減じることができるでしょう。
この記事で、あなたの会社が安全なオフショア開発をできるよう願っています。
1.オフショア開発のセキュリティ管理
オフショア開発を検討する際に、かならず不安の声が上がるのが「日本基準でセキュリティ的に問題はないのか?」ということでしょう。
そこでまず、オフショア開発でのセキュリティ管理の実態について考えてみましょう。
1-1.オフショア開発のセキュリティは安全か?
結論から言えば、オフショア開発におけるセキュリティのレベルは、国やオフショア会社によって全く異なります。
そもそも日本企業がオフショア開発を行う目的は、「人件費の安い途上国、新興国に開発を委託することで、開発コストを抑えるため」というケースがほとんどですが、途上国・新興国は、セキュリティや個人情報保護、コンプライアンスに関する意識が低いところも多いものです。
過去には、重大な情報漏洩事例がニュースになった例もありました。(「3.情報漏洩の事例」参照)
ただ、オフショア開発を積極的に受け入れようとすれば、セキュリティの強化が求められることを理解して、現在はその点に力を入れて改善を進める国も出てきました。
情報セキュリティ管理に関する国際規格・ISO27001を取得するオフショア会社も増えていますし、セキュリティサービスをオプションとして提供する例もあります。
オフショア開発の委託先を選ぶ際には、そのような対応をとっているところを選ぶとよいでしょう。
1-2.オフショア開発の一般的なセキュリティ管理
では、現在の一般的なオフショア開発現場では、どのようなセキュリティ管理が行われているでしょうか?
以下に挙げるのはあくまで一例ですが、実際に海外に委託する際のひとつの基準として参考にしてください。
1-2-1.入退室管理
開発を行うオフィスの入退室は、指紋認証などの生体認証や入退室カードで管理しているところが多いようです。
また、出入り口や天井などに監視カメラを設置するなどしています。
1-2-2.開発環境
次に開発環境です。
PCは、多くの場合日本と同様に会社側が用意し、持ち出しが禁じられます。
が、現在はコロナ禍の影響などもあって、リモートワークのために持ち出される例もあり、注意が必要です。
ネットワーク環境は、インターネットへのアクセスが可能になっているケースも多いため、開発を依頼する際にはアクセス制限、アクセスログの管理をしなければなりません。
1-2-3.セキュリティ教育
セキュリティ教育のレベルは、国やオフショア会社によって異なります。
日系のオフショア会社であれば、日本と同様の教育を現地スタッフにも行っているところがあるので、そのような会社を委託先に選べば安心度は高くなるでしょう。
2.オフショア開発のセキュリティリスク
ところで、「オフショア開発では、セキュリティが不安」と感じる方は、具体的にどんなリスクを懸念しているのでしょうか?
漠然とした不安ではなく、実際に起こりうるセキュリティリスクにはどんなものがあるでしょうか。
それは主に、以下の3点です。
2-1.ソースコードや機密情報が流出する
第一のリスクは、「ソースコードや機密情報の漏洩」です。
前述したように、オフショア開発は途上国や新興国で行われることが多いため、セキュリティに関する意識や教育がまだ徹底されていないケースがままあります。
そのため、事故で情報が流出してしまったり、中には現地スタッフが情報を持ち出して漏洩することも考えられます。
特にシステム開発は、成果物が形のないソースコードであるため、非常に持ち出しやすいのが難点です。
ラボ型開発でなく請負型開発で委託した場合は、日本側が知らない間にプロジェクトに携わるエンジニアが入れ替わることもあるため、流出や持ち出しのリスクはより高まるでしょう。
2-2.ラボ型などの場合、セキュリティにコストを割けない
ラボ型契約などでは、専用のプロジェクトルームを現地に開設するケースもありますが、そこで高度なセキュリティを確保しようとすれば、その分コストがかかります。
が、そもそもオフショア開発は、人件費削減によるコスト削減が目的のひとつですので、「セキュリティは高めたいが、そこにコストは割けない」という日本側の矛盾があるのです。
そのため現地側では、「セキュリティを高めたくても予算がない」という状況になり、期待通りのセキュリティ対策が行われないというリスクもあるのです。
2-3.国により知財意識が低い
オフショア開発を受け入れている途上国・新興国の中には、セキュリティ意識だけでなく、著作権や特許権などの知的財産に対する意識も低いところが多いものです。
そのため、開発中のシステムに関する機密情報を外部に漏らしたり、持ち出すことへのハードルも日本より低いと言えます。
セキュリティ意識とともに、知的財産の範囲や、なぜ知財が守られなければならないかといった基本的な教育も必要になるかもしれません。
3.情報漏洩の事例
では、実際に過去にはどんなセキュリティ事故・事件があったのでしょうか?
ここでひとつ、以前に大きな問題となったケースを紹介しておきましょう。
2021年8月、村田製作所の取引先情報と従業員情報約7万2,000件が流出する事件が起こりました。
村田製作所が、利用していた会計システムの移行を日本アイ・ビー・エムに依頼したところ、アイ・ビー・エムはその案件をIBM中国法人に再委託しました。
その際、情報をクラウド上に保管していましたが、現地採用のエンジニアのひとりが業務用のPCからそのデータを無断で持ち出し、個人用クラウドにアップロードしてしまったのです。
このエンジニアは、「勉強のために自分のノウハウを個人用クラウドにアップして整理していた、その中に偶然顧客の情報が含まれていた」という主旨の供述をしたようです。
さいわい、悪用されないうちにデータは削除されましたが、委託先のセキュリティ対策とセキュリティ意識の甘さが招いた事件でした。
4.セキュリティリスクのある要注意オフショア開発企業の特徴
以上のように、実際にオフショア開発にはセキュリティリスクがあることがわかりました。
ただ、前述したようにISO27001を取得したり、オプションとしてセキュリティサービスを用意したりする企業も増えています。
つまり、オフショア開発のセキュリティレベルは、企業ごとに異なるのが現状です。
そこで、セキュリティレベルが低く、リスクが高いオフショア企業を避けるために、その見極めポイントを挙げておきましょう。
4-1.再委託をしている
まず、日本企業から受けた案件を、現地でさらに孫請けに出す=再委託をするオフショア企業には要注意です。
直接委託した企業に対しては、契約書にセキュリティに関する条項を盛り込む、セキュリティの管理基準を定める、スタッフにセキュリティ教育を施すなどの対策ができますが、再委託されてしまうと、孫請け企業にはそれらの対策が及びません。
また単純に、開発に関わる人員の数が増えると、それだけリスクも増加するでしょう。
関わるスタッフすべてに日本側の目が行き届くことを重視してください。
4-2.エンジニアの出入りが激しい
次に、エンジニアの入れ替わりが激しい、離職率が高いオフショア会社も危険です。
プロジェクトを抜けた人、やめた人まで管理することはできないからです。
誰がこのプロジェクトに携わっているか、どの作業を担当しているかをこちらが把握できるかどうかがポイントのひとつになります。
4-3.過去の実績を示せない
3点めは、過去にどのようなオフショア開発を手掛けてきたかという実績を開示できない、あるいは実績がない企業です。
日本からのオフショア開発を多く手掛けてきた会社は、日本側が要求するセキュリティレベルがわかっていて、対策にも慣れています。
一方、日本の案件の実績が少ない、またはよくわからない会社であれば、こちらが一からセキュリティ管理の体制を整えなければならない恐れがあるのです。
そのため、委託を考える際には、その企業がどの程度のオフショア開発実績があるかをかならず確認するといいでしょう。
5.オフショア開発でセキュリティを高めるための対処法
では、実際にオフショア開発を委託するとなった際に、よりセキュリティを高めてリスクを減らすために、日本側ができる対策にはどんなことがあるでしょうか?
それには以下の7点を行ってください。
5-1.ラボ型契約にする
まず最初の契約時点で、できればラボ型契約で委託しましょう。
ラボ型契約は、こちらが選んだ人材でチームを組み、一定期間そのメンバーを確保することができます。
エンジニアの入れ替わりがないので、メンバーの把握・管理がしやすいのが利点です。
一方、請負型契約であれば、途中でエンジニアが入れ替わる可能性もありますし、日本側にはそれが知らせられないケースも考えられます。
ラボ型契約に関しては別記事「ラボ型オフショア開発とは?契約形態、開発の流れ、国別の特徴など解説」「ラボ型開発とは?メリット・デメリット、請負型との違いなど徹底解説」にくわしく解説していますので、そちらも参照してください。
5-2.プロジェクトルームを用意する
次に、現地に専用のプロジェクトルームを用意して、作業はかならずそこでするように指示しましょう。
そして、プロジェクトルームの入退室は1か所のドアのみから、入退室カードや生体認証などを経て行うようにします。
この入退室はデータを保管し定期的にチェックしてください。
ルーム内は、手荷物の持ち込みも一切禁止します。
さらに、監視カメラは室内、ドアの内側と外側に設置し、この映像データも一定期間保存しましょう。
5-3.有線のクローズドネットワークを構築する
ネットワークに関しては、Wi-Fiを使わないのは基本です。
日本側と現地との専用回線を用意し、クローズドネットワークを構築しましょう。
先方で何社かの開発を同時進行している場合は、社内ネットワークもかならずセグメント化します。
これにより、プロジェクトに関係ない誰かがこちらの重要な情報にアクセスするリスクを軽減できます。
5-4.作業用PC、OS、ソフトは新たにこちらで用意する
さらに、開発用のPCやOS、必要なソフトやツールは日本側で用意すべきです。
もし、途中でエンジニアの入れ替わりがあれば、PCも新たなものに入れ替えるのが望ましいでしょう。
その上で、不要なソフトを利用していないかを定期的にチェックします。
PC管理ソフトを利用すれば、遠隔地からでも以下の管理が可能です。
・PCの操作履歴の記録、ログ解析
・不正ソフトの監視
・不正アクセスの防止
・設定変更の制限 など
もちろん、PCの持ち出しやUSBなど記録媒体の利用も禁止です。
5-5.チームメンバーにセキュリティ教育を行う
チームメンバーが決まったら、かならずセキュリティ教育を実施することも重要です。
日本側で教材を用意し、現地の管理者からエンジニア全員に対してレクチャーをします。
セキュリティ管理に関する基準も文書化して配布するとよいでしょう。
また、それを遵守しているか、セキュリティ意識を高く持っているかをチェックする「チェックシート」を作成し、定期的にメンバーそれぞれにチェック、サインして提出させましょう。
5-6.チームメンバーの入退室管理・就業管理を徹底する
開発が始まったら、プロジェクトルームへの入退室や、メンバーの出退勤、就業時間などの管理は厳密に行います。
前述したように、入退室はカードや生体認証で記録を残し、出退勤時間、就業時間と矛盾がないか、定期的にチェックしましょう。
もしエンジニアの入れ替わりがあれば、抜けた人からカードを返却してもらう、生体認証の登録を削除するといった手続きが速やかに行われたかの確認も必要です。
5-7.情報漏洩などが発生した際のフォロー体制を整える
ここまで徹底すれば、セキュリティリスクはかなり抑えられますが、それでもリスクゼロとはなりません。
そこで、もし情報が漏洩するなどの事故・事件が発生した場合に、どのように対応するかを事前に決め、フォロー体制を用意しておきましょう。
セキュリティに関する責任者を日本側・現地側でそれぞれ定め、24時間いつでもすぐに連絡がとれるように、連絡・指示系統を整えます。
また、現地でどのように対応するか、日本側で文書化して共有しましょう。
6.オフショア開発以外の外注方法のセキュリティ
ここまで、オフショア開発でのセキュリティについてさまざまな視点から考えてきました。
が、「開発を外注したいが、やはり少しでもリスクがあるならオフショア開発は不安」と感じた方もいるでしょう。
そこで、オフショア開発以外の外注方法のセキュリティに関しても、説明しておきます。
6-1.オンショア開発
オフショア開発に対応する概念として「オンショア開発」があります。
これは、すべての開発工程を自社内で行う方法です。
オンショア開発では、海外の人材に開発に加わってほしい場合は自社に呼び寄せてチームに加えます。
この方法であれば、セキュリティレベルは自社で管理できるため、リスクを最小限に抑えることが可能です。
ただし、日本で海外エンジニアを採用すると、人件費は日本人と同等かそれ以上になるため、オフショア開発で期待できるようなコストメリットはありません。
6-2.ニアショア開発
ニアショア開発には、日本国内の地方都市に開発を委託するケースと、ごく近場の海外に委託するケースがあります。
セキュリティレベルを担保しつつ、コスト削減も図りたいとなれば、もっとも適しているのは国内でのニアショア開発だと言えそうです。
開発を担当するのは地方の日本企業ですから、セキュリティに関する基準、設備、意識も日本水準で信頼度の高いものです。
一方、地方のメリットとして、人件費やオフィスの賃貸料などが都心部よりも低く抑えられます。
コストの削減幅はオフショア開発よりは小さいですが、ふたつのメリットをとることができる選択肢としておすすめです。
|
世界の企業が注目する「インド工科大学」の学生を インターンシップを通じて採用するプロジェクト「GALK(ガルク)」 オフショア開発では、日本企業側にも英語力・ITスキルに優れた外国人エンジニアがいれば、現地とのコミュニケーションがスムーズに運びます。 そこでいま人気を集めているのが、インド人エンジニアです。 特に、GAFAも欲しがる採用”超”難関校・インド工科大学の優秀な学生を、「自社でも採用したい!」と考える日本企業は多いでしょう。 そんな貴社には「GALK(ガルク)」のご利用をおすすめします! GALKは、企業の専属コンサルタントとして、次世代を担う即戦力エンジニアを見極め、約2ヶ月間のオンラインインターンシップを通して、採用を支援するサービスです。 日本で唯一、インド工科大学全23校と連携しサービス展開をしています。 過去2年間で約50名の学生が日本企業でのインターンシップを実施し、うち75%のインターン生が正規採用を勝ち取っています。 これまでにインターンシップを実施して1名も採用に至らなかった企業は一社もありません。 ・自社の更なる開発力強化に優秀な技術者を必要とするIT企業 ・これからテクノロジー分野で新規事業を考えている「非IT企業」 ・これまで外国籍の人材を採用した経験がない、または過去に失敗している企業  このような希望、悩みをお持ちのご担当者様は、ぜひ「GALK(ガルク)」をご検討ください! |
まとめ
いかがでしたか?
オフショア開発のセキュリティについて、知りたいことがわかったかと思います。
最後にあらためて、記事のポイントをおさえておきましょう。
◎オフショア開発のセキュリティリスクは、
・ソースコードや機密情報が流出する
・ラボ型などの場合、セキュリティにコストを割けない
・国により知財意識が低い
◎セキュリティリスクのあるオフショア開発企業を見極めるポイントは、
・再委託をしている
・エンジニアの出入りが激しい
・過去の実績を示せない
◎オフショア開発でセキュリティを高めるための対処法は、
・ラボ型契約にする
・プロジェクトルームを用意する
・有線のクローズドネットワークを構築する
・作業用PC、OS、ソフトは新たにこちらで用意する
・チームメンバーにセキュリティ教育を行う
・チームメンバーの入退室管理、就業管理を徹底する
・情報漏洩などが発生した際のフォロー体制を整える
以上を踏まえて、あなたの会社が安全にオフショア開発できるよう願っています。
