深刻なIT人材不足に陥っている日本では、今後ますますオフショア開発が一般的になっていくと考えられています。
そのような中、セキュリティ管理は企業にとって極めて重要な問題です。
オフショア開発では、現地の開発者が日本企業の内部情報などにアクセスできる環境下が生まれやすくなります。
そのために、機密情報の保護やデータ漏洩のリスクなど、セキュリティ管理を徹底しなければ、プロジェクト自体が失敗に終わってしまうことも否定できないのです。
そこで今回は、「オフショア開発のセキュリティリスクとは?」「オフショア開発でセキュリティを高めるための対処法」などについて、詳しく解説していきます。
オフショア開発国へのセキュリティリスクについて、不安に感じている人はぜひ参考にしてみてください。
オフショア開発のセキュリティリスクとは
オフショア開発には、いくつかのセキュリティリスクが存在します。ここでは、具体的な3つのセキュリティリスクについて解説します。
ソースコード・機密情報の流出
オフショア開発には、外部の開発者によるソースコードや機密情報の流出リスクがあります。
特に、システム開発の成果物となるソースコードは、持ち出しがしやすく、エンジニアの入れ替わりに際して流出・持ち出しのリスクが生じます。
またオフショア開発国では、国民に対してセキュリティの意識や教育が十分に行われていないことも多く、現地のスタッフが安易に情報を漏らしてしまうこともあります。
セキュリティにコストを割けない
優秀なIT人材を集めて専属チームを組めるラボ型開発では、高度なプロジェクト実行も可能です。
しかしながら、チームにとって優秀な人材を確保するために、相応のコストがかかっていることも少なくありません。
特に、オフショア開発に踏み切る最大の理由が「コスト削減」である場合、セキュリティコストに十分な予算が割けないことも珍しくありません。
国によって知財意識が低い
オフショア開発を委託する国によっては、知的財産権に対しての意識が低い場合があり、セキュリティリスクの一つと考えられています。
例えば、中国には「国家情報法」というものがあり、あらゆる情報を国に開示しなければなりません。そのため、中国でオフショア開発を行う場合、十分なセキュリティ対策が取れないとあらかじめ認識しておくことが望ましいでしょう。
またオフショア開発国の多くは新興国であり、個人情報や知的財産に対する国民の意識がまだ低く、ソースコードなど開発に重要な機密情報が漏洩してしまうリスクがあります。
オフショア開発でセキュリティを高めるための対処法
「オフショア開発のセキュリティ対策は難しい」と、耳にしたことはないでしょうか。
サイバー攻撃を含むセキュリティリスクは、セキュリティ対策が不十分な新興国や途上国が標的となるケースが増えています。なぜなら不十分であるからこそ攻撃がしやすいと、“敵”は知っているからです。
これからオフショア開発を導入する日本の企業は、セキュリティ対策において何も手を打たないわけにはいきません。
ここからは、オフショア開発を導入する際、外部の開発者によって機密情報へ不正アクセスや情報漏洩されないための、具体的な対策方法を紹介していきます。
ラボ型契約にする
オフショア開発におけるラボ型契約は、セキュリティを強化するための有効な手段です。
ラボ型契約とは、希望する人材で現地にチームを組み、一定期間同じメンバーで仕事を進める形です。
長期間にわたって優秀なエンジニアを確保でき、開発コストを抑えられるといったメリットのほか、メンバーの状況が管理しやすいといったセキュリティメリットがあります。
ラボ型契約を結ぶ際の契約書には、セキュリティポリシーをしっかり盛り込み、機密情報の取り扱いについて明確な取り決めを行います。
また契約時には、現地の人材と綿密なコミュニケーションをとり、セキュリティチェックシートへの記入や、場合によっては個別にセキュリティ教育をしましょう。
プロジェクトルームの開設
現地には、専用のプロジェクトルームを開設し、作業は必ずルーム内で行うことを徹底させましょう。
オフショア開発では過去に、いくつかのセキュリティ事故が発生しています。
ある日本国内の大手企業が、システム移行を日本のIT企業に依頼したところ、海外の傘下企業へ再委託し、そこで情報流出が起こりました。
幸いにも大きなトラブルになる前にデータ削除はできましたが、これは専用のプロジェクトルームを開設していれば防げた事故でした。
このように、オフショア開発でのセキュリティリスクを考えるのであれば、専用プロジェクトルームの開設は必要不可欠です。
プロジェクトルームへ立ち入りは関係者のみとし、機密性を確保します。
ほかにも退室はドア1か所のみに限定し、入退室カードや生体認証などのセキュリティ対策を施しましょう。
また入退室のデータは日本側で管理し、定期的にチェックすることも重要です。
加えてプロジェクトルーム内へ手荷物持ち込み禁止、室内・室外における監視カメラ等の映像データ保存など、セキュリティリスクを減らすできる限りの対策をしましょう。
開発に使用するPC・OSは日本側で用意する
開発に使用する作業用のPCやOS、必要となるソフトやツールはすべて日本側で用意しましょう。セキュリティの基盤となるのは、開発に使用するPCやOSのセキュリティです。
必要となるソフトは日本側でゼロからインストールし、勝手にアプリケーションの変更をさせないようにします。
これにより、セキュリティコントロールを強化することができ、外部からの不正アクセスを阻止することが可能になります。
またPC管理ソフトなどを積極的に利用しましょう。
PC管理ソフトでは、「PCの操作履歴、ログ解析」「不正ソフトの監視」「不正アクセス防止」「PCの設定変更の制限」などの管理が可能です。
プロジェクトルーム内で使用するPCは、ケンジントンロックなどで固定して持ち運びできないようにする、USBなどの外部メディアの使用を禁止する、こうした対策もセキュリティの強化として有効です。
メンバーの入退室・勤務管理を徹底する
プロジェクトルームを開設したら、プロジェクトチームメンバーの入退室、出退勤はしっかりと管理します。
例えば、ひとりひとりにICカードを配布したり、指紋や顔などの生態認証システムを導入したりして、だれがいつルーム内で作業しているかは把握しておくことが重要です。
勤務実態は定期的に確認し、入退室時刻に矛盾がないかなどもチェックしましょう。
もしプロジェクトの途中でメンバーの入れ替わりがあった場合は、必ずICカードを返却してもらい、生体認証システムを導入している場合は登録の削除を行います。
このようにメンバーの入退室管理を徹底することが、開発におけるセキュリティを高め、不正アクセスを防ぐことにつながります。
クローズドネットワークの構築・Wi-Fiを使用しない
オフショア開発では、外部からの不正アクセスのリスクが高いWi-Fiネットワークを使用しないのが基本です。できれば日本側と現地の国際専用回線を準備し、クローズドネットワークを構築することが望ましいでしょう。
仮にオフショア開発先でいくつもの開発を同時に行っている場合は、それぞれのネットワークをセグメント化することが重要です。
それにより、プロジェクトに関係のない人が、こちら側にアクセスするリスクを軽減することができます。
またルータなどのネットワーク機器は、プロジェクトルーム内に設置し、外部の人が勝手に触れないようにすることも大切です。
チームメンバーにセキュリティ教育を行う
オフショア開発では、現地チームのメンバーにセキュリティ教育を行うことがおすすめです。
先ほどの少し述べましたが、オフショア開発国である先進国は、個人情報や機密情報の重要性などのセキュリティリスクについて、まだ理解していない部分があります。
悪気がなかったけれども、ふとした行為が後々重大な問題になる可能性もあるため、セキュリティリスクや脅威について丁寧に教え、リスクに対する認識を高めることが重要です。
セキュリティ教育を行う際は、ただ講義などで教えるだけでなく、セキュリティに関するガイドラインを作成し、チーム全体で共有・遵守するように徹底させましょう。
セキュリティ教育を行った後は、必要な項目を記したチェックシートを使って、メンバーがセキュリティリスクについて理解しているか確認します。セキュリティチェックシートは契約時だけでなく、定期的に記入してもらい、サインをもらうのがおすすめです。
また、フィッシング攻撃などのシミュレーションを使い、チームメンバーがどのように対応するかテストしてみるのもセキュリティチェックとして有効です。
日本国内では、氏名や生年月日など特定の個人を識別できる「個人情報」が、個人情報保護法によって守られています。
しかしながら日本の個人情報保護法は、個人情報に関する請求権の強制力が弱く、世界的な規制の強化にまだ追いついていない印象です。
EUやアメリカ、中国では、個人情報に関する法整備がかなり進んでおり、より厳格になっています。
システム開発のグローバル化が進む昨今、セキュリティ教育もグローバルスタンダードに対応していく必要があるのです。
オフショア開発のご相談はMabuhayTechへ
海外でソフトウェア開発やシステム開発を行うオフショア開発では、セキュリティ管理がプロジェクト遂行において重要なポイントとなります。
もちろん開発国の中には、欧米や日本からの仕事を受注するために、さまざまなセキュリティ対策を講じている企業も増えてきました。
しかしながら先進国が多い開発国では、いまだセキュリティに対する意識が低い国がたくさんあります。
こうした現状の中、安心してオフショア開発を進めるためには、日本側でセキュリティ対策を十分にとっていくことが重要です。
オフショア開発のセキュリティリスクとは、
「ソースコードや機密情報の流出」
「セキュリティコストが十分に割けない」
「国による知財意識の低さ」などがあげられます。
こうした問題をあらかじめ理解し、必要な対策をとることで、オフショア開発のセキュリティ管理が可能になります。
具体的な対策としては、
①メンバーの管理がしやすいラボ型契約にする
②現地にプロジェクトルームを開設する
③使用するPCやOSはすべて日本側で用意する
④ルームの入退室や勤務管理の徹底
⑤クローズドネットワークの構築(Wi-Fiを使わない)
⑥チームメンバーへのセキュリティ教育
このようなセキュリティ対策を行うことで、より安心してオフショア開発を進められるでしょう。
フィリピン・マニラに拠点を置くMabuhayTechは、日本企業とフィリピンの優秀なIT人材をつなぐオフショア開発のパートナー企業です。
フィリピンは国をあげてIT人材の育成に取り組んでおり、若くて優秀なITエンジニアがたくさん育っています。
MabuhayTechではこうしたフィリピンの優秀なIT人材を、国内のITY人材不足に悩む日本企業へ提供するサービスを行っています。
高品質のソフトウェア開発を手掛ける請負契約、専属のIT人材を確保してチームを組むラボ型契約など、日本企業にとって必要なオフショア開発サービスを提供できるのが強みです。
MabuhayTechでは、日本企業にとって優位なサービスを提供しているわけではありません。フィリピンで働くエンジニアやその家族たち、それぞれが明るい未来を設計できるようサポートしています。
フィリピンは親切で丁寧、ホスピタリティ精神にあふれる人たちがたくさんいます。日本に対して友好的な感情を持っている国民が多く、オフショア開発国として期待できる国のひとつです。
今後、ITリソースのカギを握るのはオフショア開発だ、という点は間違いありません。
システム開発コストに悩む方、IT人材の確保が難しい日本企業、ITの世界でグローバルに戦いたいと考える方、ぜひMabuhayTechにご相談ください。
最先端のデジタルテクノロジーを活用して、MabuhayTechと一緒に豊かな社会を築いていきましょう。
WEBでお問い合わせ