オフショア開発におけるセキュリティ対策とは？ - NAL Company | 株式会社NAL VIETNAM | デジタル時代で世界中の人々、企業の全ての可能性を最大限に引き出すこと。

オフショア開発におけるセキュリティ対策は不可欠です。機密情報の保護やデータ漏洩のリスクを最小限に抑えるためには、適切なセキュリティ対策が求められます。本記事では、オフショア開発におけるセキュリティリスクと効果的な対処法について解説します。

1. オフショア開発とは ― コスト抑制とリソース確保のために欠かせない取り組み

オフショア開発とは、システム開発業務などを海外の開発会社に委託することです。その主たる目的は、「物価の安い新興国で開発を行うことで、人件費をはじめとする開発コストを抑える」ことにあります。日本企業はこれまで中国を主なアウトソース先としてきましたが、中国国内の人件費の高騰に伴い、近年ではベトナムやインド、ミャンマーなどに、オフショア開発の委託先が移行しています。

また、日本国内におけるITエンジニアの人材不足を背景に、開発リソースの確保という点でも、オフショア開発は重要度を増しています。コスト削減効果だけではなく、「グローバルソーシング」の観点で技術力、開発体制など最適なリソースをグローバルに確保する必要性が高まっているのです。

COVID-19の感染拡大以降、日本国内においてもリモートワークが拡大。海外の開発現場とリモート体制で開発プロジェクトを進めるオフショア開発に対する抵抗感も薄まりました。オフショア開発は世界的にも需要が高まり、開発国も国をあげてIT産業の推進とエンジア育成に力を入れています。2030年には数十万人規模のIT人材が不足すると言われている日本においては特に、オフショア開発は企業にとって欠かせない手段となるでしょう。ちなみに、「オフショア開発」に似た用語で「ニアショア開発」があります。こちらは日本国内で人件費や物価が安く抑えられる地域の開発企業にIT開発業務をアウトソースすることを指す言葉です。

2. オフショア開発でのセキュリティリスクとは？

機密情報・ソースコードの流出のリスク
セキュリティコストを割けない場合のリスク
知的財産に対する意識の低さからくるリスク

それぞれのリスクを確認し、対策しましょう。

2.1 機密情報・ソースコードの流出のリスク

オフショア開発では、機密情報・ソースコードの漏洩が大きなリスクです。とはいえ、オフショア開発のメイン地域になる途上国や新興国では、セキュリティへの意識や教育が不十分なことが多く、事故や現地スタッフの持ち出しで情報が漏れてしまうことが考えられます。とくにシステム開発の成果物であるソースコードは形がないため、持ち出しやすくなっています。請負型開発では、エンジニアの入れ替わりもあるため、流出や持ち出しのリスクが高まります。したがって、オフショア開発においては、適切なセキュリティ対策が必要不可欠です。

2.2 セキュリティコストを割けない場合のリスク

ラボ型契約では、現地に専用のプロジェクトルームを設けてセキュリティ強化を行います。高度なプロジェクトルームを作ろうと思うと、それ相応のコストが必要です。しかし、実際には、セキュリティ強化とコスト削減の両立は難しいという矛盾が生じることがあります。オフショア開発の大きな目的の1つは、「コスト削減」だからです。結果として、現地ではセキュリティ対策に予算が割けない状況になり、思っていたようなセキュリティ対策が行われないリスクが生じます。

2.3 知的財産に対する意識の低さからくるリスク

オフショア開発を行っている途上国や新興国では、セキュリティ意識だけでなく、知的財産に関する意識も低いことが多いです。以上の理由から、開発中のシステムの機密情報を外部に漏らしたり、持ち出すハードルが日本よりも低くなっています。社員の教育を行うときは、知的財産についての基本的な教育も行う必要があります。

3. オフショア開発で高度なセキュリティ対策をするのは難しい？

オフショア開発で、高度なセキュリティ対策をするのは難しいと言われています。その理由を解説します。
1. 国によりセキュリティへの意識が違う
2. セキュリティ対策はコストパフォーマンスが悪い

3. ニアショア開発を選ぶという手も

3.1 国によってセキュリティに対する意識が異なる

オフショア開発を担うのは主に新興国です。それらの国々では、セキュリティやコンプライアンス、個人情報、知的財産などに対する意識が未整備なことが多く、認識のないままにソースコードなどの機密情報や、個人情報が外部に漏えいしてしまうリスクがあります。また、中国では「国家情報法」によってあらゆる情報が国から開示を求められるため、そもそもセキュリティ対策はとれないと認識する必要があります。

3.2 セキュリティ対策はコストパフォーマンスが悪い

先述しましたが、オフショア開発では、コスト削減が主な目標とされています。しかし、セキュリティ対策は通常コストパフォーマンスが悪く、コスト削減とセキュリティの両立は困難です。
また、国によってセキュリティへの意識も異なるため、高度なセキュリティ対策を求めることは難しいと言えます。

3.3 ニアショア開発を選ぶという手も

オフショア開発のセキュリティが心配であれば、ニアショア開発を選ぶという手もあります。ニアショア開発は、日本国内で開発が行われるため、日本の法律やスタンダードに基づいたセキュリティ対策を取ることが可能です。以上の理由により、ニアショア開発であれば、セキュリティ対策の手間や制約が少なくなります。しかし、その分総コストは高くなるので注意しましょう。

4. オフショア開発の一般的なセキュリティ管理方法

4.1 入退室管理をする

オフショア開発では、入退室管理などのセキュリティ対策が行われていることが多いです。

▼ 具体的な入退室管理方法の例は、以下の通りです。

1. メンバーの異動は日本側の申請・承認制。入室許可も社員証で管理

2. 事務所の入室は指紋認証で制限。プロジェクトルームの入退室も厳重に管理

3. 個人ロッカーに荷物を預け、プロジェクトルームからの持ち出し厳禁

4. 許可されていない者の入室時は記帳とサインが必要で責任者の同行が必須

上記のセキュリティ管理方法がオフショア開発において広く採用されています。

4.2 開発環境を整える

オフショア開発では、閉じたLAN環境を利用し、インターネットとの接続を遮断するなどの開発環境の整備も行われていることが多いです。

▼ 具体的な方法は以下のとおりです。

1. 開発環境は閉じたLAN環境で構築され、インターネットとの接続は不可

2. 多くの場合、会社がPCを支給し、開発用PCはデスクトップタイプにすることで持ち出しを制限

3. 会社側で基本ソフトウェア（OS、アンチウイルス、MS-Office、メール、チャット、統合開発環境など）を導入

以上のように、オフショア開発においては、閉じたLAN環境の利用とインターネットとの接続遮断が重要なセキュリティ管理手法となっています。

4.3 セキュリティ教育・誓約書を交わす

オフショア開発では、セキュリティ対策の一環として、セキュリティ教育とセキュリティチェックシートの記入が行われることも多いです。

▼ 具体的には、以下のような方法があります。

1. プロジェクト参加時にセキュリティ教育を実施

2. 指定冊子を読み、セキュリティチェックシートに記入・サインする

3. 月初めに全員がセキュリティチェックシートに記入・サインする

オフショア開発では、開発環境の整備によりセキュリティを確保しています。

5. オフショア開発でセキュリティ対策を高めるための方法

5.1 ラボ型契約にする

オフショア開発のセキュリティを向上するためには、ラボ型契約が有効です。ラボ型契約は、チームを組んで一定期間メンバーを確保することで、エンジニアの入れ替わりを防ぎ、メンバーの把握と管理がしやすくなります。

ラボ型契約では、日本側がエンジニアを選び、一定期間チームを確保できるため、安定したメンバー体制が保たれます。したがって、ラボ型契約はオフショア開発におけるセキュリティリスクを軽減できるというわけです。

5.2 プロジェクトルームの開設

プロジェクトルームを開設するのも、セキュリティ対策を高める方法のひとつです。プロジェクトルームを開設する際には、以下の点に気をつけましょう。

1. プロジェクトルームは天井までの壁がある部屋を用意し、出入り口は一箇所にする

2. 防災上の観点からも別途の出入り口を用意する場合は、通常は施錠する

3. 窓はすりガラスとし、内部は見えないようにする

4. 入室時と退出時は社員証カードを使用してドアを開閉する

5. 入室と退出の記録は個人を特定できるようサーバーに記録し、1年間保管する

6. ドアの内側と外側に監視カメラを設置し、出入りを監視する

上記のようなプロジェクトルームの設計により、セキュリティを強化したオフショア開発が実現できます。

5.3 開発に使用するPC・OSは日本側で用意する

開発に使用するPC・OSは、日本側で用意しましょう。

▼ 具体的には以下の方法を行います。

1. メンバー全員に新しい作業用PCを配布し、日本側への申請と異動届を提出する

2. PCには日本側で作成したセットアップCDを使用する

3. OSと必要なソフトウェアをゼロからインストールする

4. PC管理ソフトウェアにより、定期的に利用状況や導入ソフトウェアの構成を日本側からチェックする

5. WiFiは無効化し、外部接続端子（USBなど）も無効化する

6. PCはケンジントンロックで机に固定され、持ち出せないようにする

以上のような対策により、オフショア開発におけるセキュリティが強化され、情報の漏洩や不正利用のリスクが低減されます。

5.4 メンバーの入退室・就業管理を徹底する

オフショア開発においては、プロジェクトルームの入退室やメンバーの出退勤、就業時間などの管理を厳密に行うことがセキュリティの向上につながります。入退室管理では、カードや生体認証を利用して記録を残し、出退勤時間や就業時間との矛盾をチェックしましょう。また、エンジニアの入れ替わりがある場合には、カードの返却や生体認証の登録削除などの手続きを迅速に行う必要があります。プロジェクトルームでは、カードや生体認証による入退室管理を行い、記録を定期的に確認することが大切です。

以上のように、メンバーの入退室・就業管理を徹底することで、オフショア開発のセキュリティ対策を強化し、不正なアクセスやセキュリティリスクを防止しましょう。

5.5 クローズドネットワークの構築・Wi-Fiを使用しない

オフショア開発においては、Wi-Fiの非使用と専用回線を介したクローズドネットワークの構築がセキュリティ対策の向上につながります。Wi-Fiの非使用の環境により、ワイヤレス経由の攻撃リスクを排除できるからです。専用回線を使用したクローズドネットワークは、外部からのアクセスを制限し、重要な情報への不正アクセスリスクを軽減します。したがって、クローズドネットワークの構築とWi-Fiの非使用は、オフショア開発におけるセキュリティ対策を強化する重要な手段です。

5.6 什器・備品は最小限にする

オフショア開発において、セキュリティ対策を強化するためには、什器や備品を最小限に抑えることが重要です。余分な什器や備品は不必要な情報漏洩やセキュリティリスクの原因となる可能性があります。最小限の什器・備品を使用することで、セキュリティを高めましょう。
具体的には、不要なプリンターや外部記憶媒体の使用を制限することで、情報漏洩やデータの不正利用を防げます。オフショア開発において、什器や備品を最小限に抑えることでセキュリティ対策を強化しましょう。

5.7 セキュリティ事案発生時の管理体制を整える

どんなに徹底してセキュリティ対策をしてもリスクは０にはなりません。したがって、セキュリティ事案発生時に備えた管理体制を整えておくことも非常に重要です。事前に対応策を決め、連絡・指示系統を整備しましょう。

具体的には、24時間連絡が可能な連絡体制を整え、現地での対応手順を日本側で文書化し共有します。事故・事件が発生した場合、迅速な対応が取れることが重要です。

上記のように、セキュリティ事案発生時の管理体制を整えることで、オフショア開発におけるセキュリティ対策をさらに強化できます。

6. オフショア開発での委託先の選び方

こうした対策を施すのが前提としても、委託先の選定は慎重に行うことが求められます。ここからは、オフショア開発における委託先の選定ポイントについて解説します。

6.1 再委託を行っていないか

オフショア開発の委託先として、再委託を行っている企業は避けましょう。再委託されると、当初取り決めたセキュリティ対策や管理基準がきちんと実施されないほか、セキュリティ教育も行き届かないケースが予想され、リスクが高まります。

6.2 受託実績を明確に示せるか

これまでのオフショア開発の受託実績を明確に示さない企業も要注意です。過去にしっかりとした取り組みの経験がないと、セキュリティに関する要求や対策に慣れていないことが予想され、対策にも時間とコストがかかります。自社と同等かそれ以上のセキュリティ対策を実施する企業との取引実績のある企業を選定しましょう。

6.3 スタッフの離職率が高くないか

スタッフの離職など、人員の入れ替わりが頻繁な企業では、それに比例して情報漏えいなどのセキュリティリスクが高まります。人員の定着率の高い企業を選びましょう。

6.4 情報セキュリティに関する国際規格を取得しているか

オフショア開発を積極的に受託しようとする企業では、情報セキュリティ管理に関する国際規格、ISO/IEC 27001などを取得することに注力しています。こうした国際規格を取得している企業であれば、開発開始までのコストおよび期間を抑えられるでしょう。

7. NALについて

オフショア開発におけるセキュリティリスクとして、データ漏洩・離職率の高さ・実績不足など、さまざまなリスクがあることが分かりましたので、
お客様が安心してオフショア開発を行うためには、NALではセキュリティ対策をしっかり行なっております。
セキュリティ対策にはさまざまな側面があります。これには、ファイアウォールの設置、ウイルス対策ソフトウェアの利用、定期的なセキュリティ監査、社内教育プログラムなどが含まれます。また、最新のセキュリティアップデートやパッチの適用も重要です。さらに、従業員にはセキュリティに関する最新のベストプラクティスを教育し、強力なパスワードの使用や機密情報の適切な取り扱いについての意識を高めることも大切だと思います。厳重なセキュリティが要求されるプロジェクトに対応するため、独立した作業室を備えた建物を設置しています。

2022年末にNALは情報セキュリティに関する IS2007認証を取得し、最近では 2024年1月にISTQBのゴールドパートナーメンバーになりました。

NALでは、セキュリティ対策の効果的な運用には、定期的な評価と改善を行なっていて、新たな脅威や攻撃手法が現れるたびに、対策を更新して適応することが重要です。