あなたは、オフショア開発を活用したいが海外に情報を出すことのセキュリティリスクを恐れているところではないでしょうか。実は、オフショア各国のセキュリティ対策やセキュリティに係る法律は、日本よりも強固な国もあります。
そんなオフショア開発のセキュリティ事情について、実際にオフショア会社に所属している私が弊社の取組みと併せてオフショア開発のセキュリティ対策について、紹介したいと思います。
本記事を読んでいただき、意外とオフショア開発のセキュリティはしっかりしているのだな、と感じ取っていただけると幸甚です。
目次
1. オフショアでのセキュリティは大丈夫?
良くオフショアをご提案する際にお声としていただくのがセキュリティ面です。海外に情報を渡すことで、漏洩するリスクが高まるのではないかと。
過去には、オフショア開発で、ニュースになるようなインシデントは発生していることは否定できません。
しかし、それは国内でも同様と考えています。国内でも漏洩ニュースは見かけます。要するに、その会社がしっかりセキュリティ対策を講じていればどこの国でもそのリスクは変わらないのではないかと。ただ、セキュリティに対する意識は国によって異なります。
1-1. オフショア主要国は日本と同レベルのセキュリティを担保
国によって、セキュリティ意識が異なりますが、それぞれで定められた法律が存在しています。新興国であれば近年施行されたばかりということもあり、近年の事情に合わせた法律が整備されています。実は日本の方が内容は古かったり…国の法律を遵守している企業であればセキュリティ対策を講じていると言えるでしょう。とはいえ、国内でも言えることですが、いつどんな攻撃を受けるか予測するのは困難です。国によって攻撃を受ける差があります。
どのぐらいの攻撃を受けているかというと、2022年に戦略国際問題研究所(CSIS)が発表した2006年~2021年における世界各国の重大なサイバー攻撃事案リストをNordVPNがまとめてランキング付けています。それによると、アメリカが198回と最多で1年間で約13回、攻撃を受けていることになります。
参考までに、オフショア主要国における、セキュリティに関する法律についてまとめてみました。
国 | 法律名 | URL |
ベトナム | サイバー情報セキュリティ法 | https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Luat-an-toan-thong-tin-mang-2015-298365.aspx |
フィリピン | 政府及び民間部門の情報及びコミュニケーション装置における個々の個人情報の保護とその目的やその他の目的のための国家プライバシー委員会の創設に関する法律 | https://www.privacy.gov.ph/wp-content/uploads/DPA-of-2012.pdf |
インド | 2000年情報技術法 | |
バングラディシュ | 2023 年サイバー セキュリティ法 | |
中国 | 中華人民共和国個人情報保護法 | |
ミャンマー | 電子取引法 | https://www.mlis.gov.mm/mLsView.do;jsessionid=7D02C63E2E64C281E6E6AC6CA1445665?lawordSn=1098 |
ウクライナ | 個人データ保護法2297-Ⅳ号 | https://cedem.org.ua/en/library/law-of-ukraine-on-protection-of-personal-data/ |
アメリカ | 電子通信プライバシー法 | https://bja.ojp.gov/program/it/privacy-civil-liberties/authorities/statutes/1285 |
1-2. オフショアでのインシデント事例
インシデントは、あまり事例として挙げたくないものですが、ゼロではないので紹介します。インシデントを教訓として対策もどんどん強化はされています。
(1)LINEの情報流出事件
記憶に新しいところで、LINEの情報流出事件がありました。これもある種、オフショア開発のようなところがあり、韓国にあるネイバー社が攻撃を受けて情報が流出したという事件です。LINEは、ネイバー社と技術協力関係にありました。韓国のエンジニアを活用した開発をしていたわけです。たまたま、攻撃を受けたのが韓国であって、国内のLINE拠点が攻撃を受けても同じような事態が起こっていたと思います。
(2)デンソーの機密情報流出事件
少し古い事件になりますが、中国にあるデンソーの支社で、当時従業員だった中国人技師が製品図面約17万件を持ち逃げした事件です。後に、この中国人技師は逮捕されています。
(1)のような外的要因、(2)のような内部的犯行、いずれも海外の人材を活用したことによる漏洩にはなります。ここでは、あくまでオフショアでのインシデントを取り上げましたが、いずれも国内だとしてもあり得る事件ではあります。
例えば国内だと、JAXA、年金機構が外部から攻撃受けた、ベネッセ社員の情報持ち逃げ等…ありました。会社がしっかりと対策をしていない限り、オフショアでも国内でも、インシデントは起きるものと考えられます。
2. オフショア開発でどこまでセキュリティ対策を求めるべきか?
海外における、セキュリティ対策・意識について1章では解説しました。実際にどのレベルのセキュリティ対策をしたら良いのか2章では解説します。
2-1. 国で定められた法律を遵守していれば問題なし
各国で定められている法律に則り、セキュリティ対策をしている会社であれば基本的に問題ないと考えて良いでしょう。セキュリティ対策のレベルは日本の法律と比較してほとんど変わりません。むしろ、海外の方がより厳重である国もありますので、法律に則り会社がセキュリティ対策しているか確認できれば問題ないとも言えます。
2-2. コスパが悪くなるほどのセキュリティ対策は不要
オフショア開発を取り入れる目的はコスト削減にあります。セキュリティを強化するほどコストは掛かり、結果的に国内で対応してもコストが変わらないケースがあります。私の見解としては、コスパが悪くなるほどまで強固なセキュリティ対策は不要と思います。このあとの3章で取り上げているセキュリティ対策を講じている会社であれば問題ないでしょう。意外と?日本よりも高いセキュリティレベルが各国では法律で定められています。
3. セキュリティが安心できる会社選び
国によってセキュリティ意識の違いはあれど、日本並みのセキュリティ意識、法律はしっかりと存在しています。では、どこで差が付くか。それは会社の意識によると考えられます。これは国内でも同じことを言えます。オフショアだから、何か特別なことがあるわけではありません。
3-1. 作業環境をセキュリティ対策している
エンジニアが作業する環境がセキュリティ対策しているか確認しましょう。
- 事務所の入退出はセキュリティカードor生体認証で管理
- 出入口や個人用ロッカー、室内に監視カメラを設置
- 窓がないもしくは、摺りガラスで外から見えない
- 外部の人間が出入りする時に、いつ誰が出入りしたか記録
3-2. ネットワーク環境をセキュリティ対策している
ネットワーク環境においてもセキュリティ対策していることが重要になります。
- 国際専用回線を引いて、日本と直接接続
- 開発用PCは無線(Wi-Fi)ではなく有線で接続
- ルーター等のネットワーク機器を別途施錠できる部屋で管理
3-3. 仕事で使用する備品でセキュリティ対策している
エンジニアの命でもあるPCや周辺機器の管理についてもどこまでやっているか確認しましょう。
- PCは会社支給として、誰がどのPCを持っているか管理
- PCの初期のセットアップは情報システム部が対応
- PC管理ツールを使って、PC使用状況やPC内のアプリケーション等を管理
- Wi-FiやUSB等による外部接続の制限
3-4. セキュリティ関係の資格を持っている
セキュリティの資格を持っていることも指標になります。JIS Q 27001もしくは、ISO/IEC 27001の資格を持っていればそれなりに安心してお任せできる環境は整っているでしょう。
3-5. スタッフへセキュリティ教育をしている
定期的に情報取扱に関する教育、理解度テストを実施しているか確認しましょう。2-4の資格を持っている企業であれば、基本的には教育をしていると捉えても良いかもしれません。
4. 弊社でのセキュリティ対策
具体的に弊社・インタラクティブ・コミュニケーション・デザイン(ICD)で取り組んでいるセキュリティ対策について、紹介したいと思います。
4-1. 指紋認証によるセキュリティ
弊社ではセキュリティカードではなく、指紋認証での入退出管理をしています。セキュリティカードみたく、その辺で失くすこともなくセキュリティカードよりもセキュリティは高いと考えています。
4-2. 案件のために環境作り
金融関係の企業様と取引した際に、お客様からのご要望で窓無しの部屋で作業して欲しいというオーダーがありました。その際は窓無しの部屋を確保し、そこで作業した実績があります。
物理的に可能な内容であれば、お客様のご要望に合わせたセキュリティルームを臨時で設けることもできます。
4-3. ISMSの取得
弊社ではISMSの資格を取得しています。国際的な規格に基づいた資格なので、情報セキュリティの取り扱いについては、ご安心ください。
認証番号:ICMS-SR0068
認証規格:JIS Q 27001:2014(ISO/IEC 27001:2013)
4-4. セキュリティ対策としてラボ型契約をおススメ
実は、ラボ型契約はセキュリティ対策としても安心できる契約形態であることをご存じでしょうか。
というのも、ラボ型契約であれば契約期間中は同じエンジニアと様々なプロジェクトを開発進めることができます。そのためお互いの信頼関係を築くことができるので、パートナーとして安心して任せられるようになるのではないでしょうか。
請負契約だと、1つのプロジェクトごとの契約になるので、プロジェクトが終わったらそのチームは一度解散してしまい、次のプロジェクトを組んだ時に違う人たちで構成される可能性があります。自社の情報を知る人(母数)が増えるので漏洩するリスクがその分増すことにも繋がります。
5. セキュリティが安心できるオフショア会社5選
5章では、オフショア会社でセキュリティが安心できる会社を5社紹介します。
5-1. 株式会社インタラクティブ・コミュニケーション・デザイン(ICD)
4章の通り、私ICDは可能な限りの情報セキュリティ対策は施してきています。引き続き、セキュリティ対策のアップデート、社員教育に邁進してまいります。これまでのセキュリティインシデントは0件です。
会社名 | 株式会社インタラクティブ・コミュニケーション・デザイン |
設立 | 2000年11月 |
従業員数 | 200名(国内+ベトナム) |
本社所在地(国内) | 東京都港区赤坂1丁目12番32号 アークヒルズ アーク森ビル 17階 |
業務領域 |
|
URL |
5-2. 株式会社JVB
情報管理の明確なルールと、アクセス権限の徹底管理、強固な物理的・デジタルセキュリティ、PC環境の厳重管理など、徹底した対策でお客様の情報を保護しています。定期的な点検と改善、ログの監査で安全性を確保し、万が一の情報漏洩にも迅速に対応しています。
会社名 | 株式会社JVB |
設立 | 2015年7月 |
従業員数 | 150名(国内+ベトナム) |
本社所在(国内) | 東京都葛飾区新小岩2丁目1番18号 エスポワール新小岩302号室 |
業務領域 |
|
URL |
5-3. 株式会社エムズテクノロジー
VPNを構築し、セキュアなネットワークを使用しています。また、指紋認証ドアロック、防犯カメラシステムを導入。PCは外部ストレージ、USB等のI/Fを無効化し、運び出し不可な措置を行うことで外部からの侵入や盗難の対策を施しています。
会社名 | 株式会社エムズテクノロジー |
設立 | 1999年4月 |
従業員数 | 350名(国内+ベトナム) |
本社所在地(国内) | 兵庫県尼崎市南塚口町3丁目5-6 サンロイス2F |
業務領域 |
|
URL |
5-4. 株式会社アイディーエス(スマラボ)
指紋認証による入退室管理、電源およびインターネット回線の二重化をしています。開発環境のソースコードについては、バックアップを取得しており、リストア可能な運用をしています。また、お客様のご要望に応じた専用線の設置、オフィス内に施錠可能な専用エリアを構築することもできます。
会社名 | 株式会社アイディーエス(スマラボ) |
設立 | 1996年12月 |
従業員数 | 154名(国内+ベトナム) |
本社所在地(国内) | 東京都港区芝2-3-18 YM芝公園ビル5階 |
業務領域 |
|
URL | https://sma-labo.jp/ |
5-5. VNEXT JAPAN株式会社
分散型アプリケーションでは、ネットワーク上で分散管理をするため、「単一障害点」の問題はなく、個人情報や資産を預ける上で、高度なセキュリティを実現しています。
会社名 | VNEXT JAPAN株式会社 |
設立 | 2017年10月 |
従業員数 | 460名(国内+ベトナム)※グループ会社含む |
本社所在地(国内) | 東京都千代田区外神田3-8 昌徳ビル8F |
業務領域 |
|
URL |
6.まとめ
オフショア開発のセキュリティについて紹介してきました。海外に開発情報を渡すことになるので、セキュリティについては気になる方は多くいるようです。意外と?国内と同じようにセキュリティに関する法律がしっかりと整備されており、海外の方が最近整備されたケースが多く、近年の対策にマッチしているとも言えます。逆に国内の法律は少し古いですよね…。
オフショアにおけるセキュリティについて、安心いただけましたでしょうか。ここには書かれてないけど、セキュリティ対策について気になる部分がございましたら、どんな些細なことでも、お気軽にお問い合わせいただければと存じます。
