1. オフショア開発でのセキュリティリスクとは?
オフショア開発での3つのセキュリティリスクをご紹介します。
1. 機密情報・ソースコードの流出のリスク
2. セキュリティコストを割けない場合のリスク
3. 知的財産に対する意識の低さからくるリスク
それぞれのリスクを確認し、対策しましょう。
1-1. 機密情報・ソースコードの流出のリスク
オフショア開発では、機密情報・ソースコードの漏洩が大きなリスクです。とはいえ、オフショア開発のメイン地域になる途上国や新興国では、セキュリティへの意識や教育が不十分なことが多く、事故や現地スタッフの持ち出しで情報が漏れてしまうことが考えられます。
とくにシステム開発の成果物であるソースコードは形がないため、持ち出しやすくなっています。請負型開発では、エンジニアの入れ替わりもあるため、流出や持ち出しのリスクが高まります。したがって、オフショア開発においては、適切なセキュリティ対策が必要不可欠です。
1-2. セキュリティコストを割けない場合のリスク
ラボ型契約では、現地に専用のプロジェクトルームを設けてセキュリティ強化を行います。高度なプロジェクトルームを作ろうと思うと、それ相応のコストが必要です。しかし、実際には、セキュリティ強化とコスト削減の両立は難しいという矛盾が生じることがあります。
オフショア開発の大きな目的の1つは、「コスト削減」だからです。
結果として、現地ではセキュリティ対策に予算が割けない状況になり、思っていたようなセキュリティ対策が行われないリスクが生じます。
1-3. 知的財産に対する意識の低さからくるリスク
オフショア開発を行っている途上国や新興国では、セキュリティ意識だけでなく、知的財産に関する意識も低いことが多いです。
以上の理由から、開発中のシステムの機密情報を外部に漏らしたり、持ち出すハードルが日本よりも低くなっています。社員の教育を行うときは、知的財産についての基本的な教育も行う必要があります。
2. オフショア開発で高度なセキュリティ対策をするのは難しい?
オフショア開発で、高度なセキュリティ対策をするのは難しいと言われています。その理由を解説します。
1. 国によりセキュリティへの意識が違う
2. セキュリティ対策はコストパフォーマンスが悪い
3. ニアショア開発を選ぶという手も
2-1. 国によりセキュリティへの意識が違う
国により異なりますが、オフショア開発を行う国では、セキュリティへの意識が低い傾向があります。個人情報の保護や機密情報の取り扱いについての認識が不十分であり、外部への情報流出に対する抵抗も少ないからです。
特に中国では、「国家情報法」により、全ての情報が国の命令で開示されることが求められるため、セキュリティ対策はないものと考えましょう。
2-2. セキュリティ対策はコストパフォーマンスが悪い
先述しましたが、オフショア開発では、コスト削減が主な目標とされています。しかし、セキュリティ対策は通常コストパフォーマンスが悪く、コスト削減とセキュリティの両立は困難です。
また、国によってセキュリティへの意識も異なるため、高度なセキュリティ対策を求めることは難しいと言えます。
2-3. ニアショア開発を選ぶという手も
オフショア開発のセキュリティが心配であれば、ニアショア開発を選ぶという手もあります。ニアショア開発は、日本国内で開発が行われるため、日本の法律やスタンダードに基づいたセキュリティ対策を取ることが可能です。
以上の理由により、ニアショア開発であれば、セキュリティ対策の手間や制約が少なくなります。しかし、その分総コストは高くなるので注意しましょう。
3. オフショア開発の一般的なセキュリティ管理方法
セキュリティ対策がしにくいオフショア開発にも、一般的に行われているセキュリティ管理方法があります。
1. 入退室管理をする
2. 開発環境を整える
3. セキュリティ教育・誓約書を交わす
それぞれのセキュリティ管理方法を解説します。
3-1. 入退室管理をする
オフショア開発では、入退室管理などのセキュリティ対策が行われていることが多いです。
▼ 具体的な入退室管理方法の例は、以下の通りです。
1. メンバーの異動は日本側の申請・承認制。入室許可も社員証で管理
2. 事務所の入室は指紋認証で制限。プロジェクトルームの入退室も厳重に管理
3. 個人ロッカーに荷物を預け、プロジェクトルームからの持ち出し厳禁
4. 許可されていない者の入室時は記帳とサインが必要で責任者の同行が必須
上記のセキュリティ管理方法がオフショア開発において広く採用されています。
3-2. 開発環境を整える
オフショア開発では、閉じたLAN環境を利用し、インターネットとの接続を遮断するなどの開発環境の整備も行われていることが多いです。
▼ 具体的な方法は以下のとおりです。
1. 開発環境は閉じたLAN環境で構築され、インターネットとの接続は不可
2. 多くの場合、会社がPCを支給し、開発用PCはデスクトップタイプにすることで持ち出しを制限
3. 会社側で基本ソフトウェア(OS、アンチウイルス、MS-Office、メール、チャット、統合開発環境など)を導入
以上のように、オフショア開発においては、閉じたLAN環境の利用とインターネットとの接続遮断が重要なセキュリティ管理手法となっています。
3-3. セキュリティ教育・誓約書を交わす
オフショア開発では、セキュリティ対策の一環として、セキュリティ教育とセキュリティチェックシートの記入が行われることも多いです。
▼ 具体的には、以下のような方法があります。
1. プロジェクト参加時にセキュリティ教育を実施
2. 指定冊子を読み、セキュリティチェックシートに記入・サインする
3. 月初めに全員がセキュリティチェックシートに記入・サインする
オフショア開発では、開発環境の整備によりセキュリティを確保しています。
4. オフショア開発でセキュリティ対策を高めるための方法
▼ オフショア開発でセキュリティ対策を高めるための方法は以下の7つです。
1. ラボ型契約にする
2. プロジェクトルームの開設
3. 開発に使用するPC・OSは日本側で用意する
4. メンバーの入退室・就業管理を徹底する
5. クローズドネットワークの構築・Wi-Fiを使用しない
6. 什器・備品は最小限にする
7. セキュリティ事案発生時の管理体制を整える
それぞれについて詳しく解説します。より強固なセキュリティ対策をしたい方は、しっかり読んでください。
4-1. ラボ型契約にする
オフショア開発のセキュリティを向上するためには、ラボ型契約が有効です。ラボ型契約は、チームを組んで一定期間メンバーを確保することで、エンジニアの入れ替わりを防ぎ、メンバーの把握と管理がしやすくなります。
ラボ型契約では、日本側がエンジニアを選び、一定期間チームを確保できるため、安定したメンバー体制が保たれます。したがって、ラボ型契約はオフショア開発におけるセキュリティリスクを軽減できるというわけです。
4-2. プロジェクトルームの開設
プロジェクトルームを開設するのも、セキュリティ対策を高める方法のひとつです。プロジェクトルームを開設する際には、以下の点に気をつけましょう。
1. プロジェクトルームは天井までの壁がある部屋を用意し、出入り口は一箇所にする
2. 防災上の観点からも別途の出入り口を用意する場合は、通常は施錠する
3. 窓はすりガラスとし、内部は見えないようにする
4. 入室時と退出時は社員証カードを使用してドアを開閉する
5. 入室と退出の記録は個人を特定できるようサーバーに記録し、1年間保管する
6. ドアの内側と外側に監視カメラを設置し、出入りを監視する
上記のようなプロジェクトルームの設計により、セキュリティを強化したオフショア開発が実現できます。
4-3. 開発に使用するPC・OSは日本側で用意する
開発に使用するPC・OSは、日本側で用意しましょう。
▼ 具体的には以下の方法を行います。
1. メンバー全員に新しい作業用PCを配布し、日本側への申請と異動届を提出する
2. PCには日本側で作成したセットアップCDを使用する
3. OSと必要なソフトウェアをゼロからインストールする
4. PC管理ソフトウェアにより、定期的に利用状況や導入ソフトウェアの構成を日本側からチェックする
5. WiFiは無効化し、外部接続端子(USBなど)も無効化する
6. PCはケンジントンロックで机に固定され、持ち出せないようにする
以上のような対策により、オフショア開発におけるセキュリティが強化され、情報の漏洩や不正利用のリスクが低減されます。
4-4. メンバーの入退室・就業管理を徹底する
オフショア開発においては、プロジェクトルームの入退室やメンバーの出退勤、就業時間などの管理を厳密に行うことがセキュリティの向上につながります。入退室管理では、カードや生体認証を利用して記録を残し、出退勤時間や就業時間との矛盾をチェックしましょう。
また、エンジニアの入れ替わりがある場合には、カードの返却や生体認証の登録削除などの手続きを迅速に行う必要があります。プロジェクトルームでは、カードや生体認証による入退室管理を行い、記録を定期的に確認することが大切です。
以上のように、メンバーの入退室・就業管理を徹底することで、オフショア開発のセキュリティ対策を強化し、不正なアクセスやセキュリティリスクを防止しましょう。
4-5. クローズドネットワークの構築・Wi-Fiを使用しない
オフショア開発においては、Wi-Fiの非使用と専用回線を介したクローズドネットワークの構築がセキュリティ対策の向上につながります。Wi-Fiの非使用の環境により、ワイヤレス経由の攻撃リスクを排除できるからです。
専用回線を使用したクローズドネットワークは、外部からのアクセスを制限し、重要な情報への不正アクセスリスクを軽減します。したがって、クローズドネットワークの構築とWi-Fiの非使用は、オフショア開発におけるセキュリティ対策を強化する重要な手段です。
4-6. 什器・備品は最小限にする
オフショア開発において、セキュリティ対策を強化するためには、什器や備品を最小限に抑えることが重要です。余分な什器や備品は不必要な情報漏洩やセキュリティリスクの原因となる可能性があります。最小限の什器・備品を使用することで、セキュリティを高めましょう。
具体的には、不要なプリンターや外部記憶媒体の使用を制限することで、情報漏洩やデータの不正利用を防げます。オフショア開発において、什器や備品を最小限に抑えることでセキュリティ対策を強化しましょう。
4-7. セキュリティ事案発生時の管理体制を整える
どんなに徹底してセキュリティ対策をしてもリスクは0にはなりません。したがって、セキュリティ事案発生時に備えた管理体制を整えておくことも非常に重要です。事前に対応策を決め、連絡・指示系統を整備しましょう。
具体的には、24時間連絡が可能な連絡体制を整え、現地での対応手順を日本側で文書化し共有します。事故・事件が発生した場合、迅速な対応が取れることが重要です。
上記のように、セキュリティ事案発生時の管理体制を整えることで、オフショア開発におけるセキュリティ対策をさらに強化できます。
5. セキュリティリスクのあるオフショア開発企業の特徴
セキュリティリスクのあるオフショア開発企業の特徴をご紹介します。
1. 再委託をしている企業
2. エンジニアの離職率が高い企業
3. 実績の開示をしない企業
上記のような特徴のある企業への依頼は、慎重に検討しましょう。
5-1. 再委託をしている企業
オフショア開発企業において、再委託をしている企業は要注意です。再委託をしている場合、直接委託した企業とのセキュリティ対策や管理基準が及ばなくなる可能性が高くなります。
直接委託先であれば、契約書にセキュリティ条項を盛り込むことやセキュリティ教育を行えますが、再委託になると、それらの対策が及ばないというわけです。したがって、再委託している企業に委託する際は注意が必要です。
5-2. エンジニアの離職率が高い企業
エンジニアの離職率が高いオフショア開発企業はセキュリティリスクが高まる可能性があります。実際、プロジェクトを抜けた人の管理を行うのは難しいため、離職や入れ替わりが頻繁な場合、情報漏洩やセキュリティのリスクが高まる可能性があるというわけです。
したがって、セキュリティリスクのあるオフショア開発企業の特徴は、エンジニアの離職率が高いことと言えます。安定したチーム構成のある企業へ委託しましょう。
5-3. 実績の開示をしない企業
過去の実績の開示ができない・実績が少ないオフショア開発企業への委託は、セキュリティリスクが高まります。セキュリティに関する要求や対策に慣れていない可能性が高いからです。
実績のない企業では、セキュリティ管理の体制を一から整えなければならず、リスクが高まります。信頼できる実績のある企業を選びましょう。
6. 情報漏洩の事例
▼ 以下は、電子部品メーカーとしてグローバルに活動している「村田製作所」で起きた、実際の情報漏洩の事例です。
再委託先社員による不適切なデータの取り扱いについてのお知らせとお詫び
上記の事例は、村田製作所の外部委託先の再委託先社員(中国)が社内のプロジェクト管理データを許可なくダウンロードし、中国のクラウドサービスにアップロードしてしまったという情報漏洩の事例です。
プロジェクト管理データには取引先情報や個人情報が含まれており、72,460件の情報が影響を受けました。情報の悪用や第三者のアクセスは確認されていませんが、セキュリティ強化と再発防止策が実施されてます。
上記のような事例に巻き込まれないように、再委託をしている企業への委託は気をつけましょう。
7. まとめ
オフショア開発におけるセキュリティリスクとして、データ漏洩・離職率の高さ・実績不足など、さまざまなリスクがあることが分かりました。安心してオフショア開発を行うためには、本記事でご紹介した内容を参考にし、セキュリティ対策をしっかり行いましょう。
また、オフショア開発を委託する場合は、その企業の信頼性や実績を確認し、データ保護体制の構築をおすすめします。
ベトナムのオフショア開発会社比較20選!大手会社を一覧で紹介
「オルグローラボ」では、ベトナムでのラボ型オフショア開発事業を展開しています。オルグローラボを利用すれば、貴社の開発チームにベトナムの優秀なエンジニアを加え、長期的にプロジェクトにアサインすることができます。お客様のニーズに合わせた柔軟なチーム編成が可能ですし、プロジェクト開始から運用まで、継続的なサポートを提供しています。ぜひお気軽にお問い合わせください!
