オフショア開発におけるセキュリティ対策や情報管理について、どのように考えるべきか実際の事故事例も参照しながら解説しました。
オフショア開発では海外の事業者へシステム開発の業務をアウトソーシングしますが、業務を請け負った海外の事業者において重大な情報セキュリティインシデントが発生し、深刻な被害や損失につながってしまうケースも少なくありません。
2021年8月、村田製作所は会計システムの更新業務を日本アイ・ビー・エムへ委託していましたが、日本アイ・ビー・エムは中国にあるIBM中国法人へ業務を再委託していました。そしてその再委託先であるIBM中国法人の従業員によって、約7万2000件の情報が不正に取得され、中国国内のクラウドサーバーを介して個人アカウントへ情報が転送されていたことが判明しました。
なお情報の悪用による被害は確認されなかったものの、盗まれたデータには取引先企業の情報(3万555件)や従業員の関連情報(4万1905件)が含まれていたということです。
オフショア開発におけるセキュリティリスクとして、まず懸念すべきは各種情報の漏洩や流出です。例えば、開発中の新しいシステムについて、その仕様やソースコードなどの情報がオフショア企業の従業員を介して外部へ流出する恐れがあります。また開発に使用している独自のプログラムやコードに関しても盗用される可能性があるでしょう。
その他にも関連企業の機密情報や作業に携わっているエンジニアの個人情報など、様々なリスクが想定されます。
著作権や特許権、商標権など知的財産に関する法的権利は複数あり、システム開発においても知的財産権についての保護や法的理解が必須です。しかし国によっては知的財産や関連法令について十分な理解やマインドが醸成されていないこともあり、現地のエンジニアなどが悪気なく他者の知的財産権を侵害していることもあります。
情報セキュリティについての取り組み姿勢やエンジニアのITリテラシーなどは国や地域によって差があり、例えば日本の一般的な企業よりもITリスクへの対策を行っている国がある一方、発展途上国や一部地域において十分な情報セキュリティ意識が民間に育っていないこともあります。
オフショア開発では業務委託先の商習慣や現地の風土、ビジネスマインドなどを踏まえた上で、業務をアウトソーシングすべきかどうか考えることが大切です。
なお中国のように国が情報提供を命令できる「国家情報法」といった法律もリスクです。
そもそもオフショア開発を行う目的として、日本国内でシステム開発や各種作業を行うよりも、人件費などが安価な地域へ外注することで開発コストを抑えるというものがあります。しかし予算の問題で十分な費用を担保できない場合、開発作業にかかる予算を確保しようとするあまり、情報管理やセキュリティ対策に必要な予算を削ってしまうこともあるでしょう。
対策コストを削減したことで重大事故が発生すれば、結果的に経済的損失も増大します。
システム開発におけるセキュリティ対策として、開発業務に携わる人員の管理や、開発室などへの入退室記録を保存しておくといったマネジメントは不可欠です。また入室時の認証を厳格化するだけでなく、そもそもプロジェクトルームへの入室には権限を設定し、権利を有していない人員は室内に立ち入れないようにすることもポイントです。
開発環境について、情報セキュリティを意識したインフラを改めて構築することもセキュリティ対策となります。例えばネットワークについてLAN環境を閉鎖状態に保ち、Wi-Fiなど第三者による不正アクセスのリスクがある接続は遮断するといった対策が有効です。また社内ネットワークのセグメント化を実施することも重要でしょう。
どれだけ環境や認証システムを整えても、実際に作業へ関与する人員のITリテラシーが不十分な状態ではセキュリティインシデントのリスクを抑えることはできません。特にオフショア開発では現地のエンジニアの意識や商習慣によってセキュリティホールが生じることもあり、しっかりとした教育や研修を行うことが肝要です。
ラボ型契約とは、開発に携わる人材として外注先に専門チームを構築し、専門チームには自社の開発業務へ専任してもらうという委託契約方式です。ラボ型契約では開発期間中ずっと同じエンジニアが担当することが前提となり、急なメンバーの入れ替わりなどが発生しなければ最初から最後まで特定の人員だけで作業を管理できます。
自社の開発業務のために専用のプロジェクトルームを設置するといった対策も有効です。天井や側面を壁によって物理的に遮断し、またルーム内への出入口を一カ所にして監視カメラと入退室管理システムでチェックし、さらに入退室時の認証はカードキーや生体認証など多段階認証を採用します。
法的理由で避難口などを別途設ける場合でも施錠管理を徹底しましょう。
作業に使用するパソコンや各種デバイス、あるいはアプリやソフトウェアを全て自社で用意することも効果的なセキュリティ対策です。また、使用するパソコンなどに接続できるデバイスやメディアを厳しく管理し、あらかじめ安全性が認められていないUSBメモリや外部機器などの接続は許可しないようにします。
さらにログイン記録などを自社でリモート管理することも効果的です。
どれだけ対策していても思いがけない事故やトラブルが発生するリスクはあります。そのような場合、少しでも被害を抑えて速やかに問題解決へ対応できるよう、あらかじめ情報セキュリティインシデントが発生した際に備えた体制やマニュアルを構築しておくことが大切です。自社だけで難しい場合は専門家に相談しておきましょう。
オフショア開発において最初のセキュリティ対策は、業務を外注する委託先の選定をしっかりと行うことです。そもそもオフショア開発やシステム開発に関する実績や客観的信頼性が認められない企業は委託先に相応しくありません。また国全体のリスクを考える場合、日本との外交関係が良好で内政も安定していることが求められます。
自社の案件を担当してくれる人材についても、スムーズなコミュニケーションを行えることはもちろんとして、突発的な事態に備えていつでも連絡を取り合える人物であることが必要です。
加えて従業員の離職率が低いなど、雇用が安定していることも重要です。
情報セキュリティに関する国際規格やその国の公的資格の取得といった要素もチェックしておきましょう。その他、再委託の禁止といった点も確認します。
当サイトは、フィリピンに注目しオフショア開発について徹底解説。
TOPページでは、なぜフィリピンに注目しているのか、そのメリットを解説するとともに、おすすめの委託会社を紹介。コミュニケーションロスを防ぐ、日本人サポートが手厚い、柔軟なアサインができるなどのニーズにマッチした会社を紹介しているので、ぜひパートナー会社選びにお役立てください。
コスト・リソース・コミュニケーション面でさまざまなメリットがあるフィリピン。適した委託先を選んでプロジェクトを成功に導けるよう、委託時に重視したい内容へ強みがあるおすすめの委託先を紹介します。自社の状況に近いものからぜひ詳細をご確認ください。
例えばこんな会社に
対応可能な開発言語
HTML / CSS、JavaScript、PHP(Laravel)、React Native、Kotlin、Swift、Flutter、C++、C#、Pythonなど40の開発言語
例えばこんな会社に
対応可能な開発言語
公式HPに記載がありませんでした。
例えばこんな会社に
対応可能な開発言語
公式HPに記載がありませんでした。
