オフショア開発は、開発リソースの確保やコスト削減などの魅力的なメリットがあります。しかし、多くの企業が「果たして日本と同等のセキュリティ対策が講じられるのだろうか」と不安を感じています。
「オフショア開発におけるセキュリティリスクが気がかり」
「セキュリティリスクの少ないオフショア開発会社を選びたい」
オフショア開発を検討している企業の中には、上記のような悩みを抱えている方も少なくないでしょう。オフショア開発を検討する際は、どのようなセキュリティリスクがあるのかを事前に把握しておくことが大切です。
本記事では、オフショア開発に潜むセキュリティリスクについて詳しく解説します。また、オフショア開発で有効なセキュリティ対策や、セキュリティ面で信頼できるオフショア開発会社の選び方についてもまとめました。オフショア開発を検討している方はぜひ参考にしてください。
島添 彰
合同会社Solashi Japan 代表取締役。サントリーにて社内向けシステムの開発・運用に携わる。Yper株式会社を創業し、CTO・CPOとしてプロダクトの立ち上げ・グロースに従事。
オフショア開発とは
オフショア開発とは、海外の開発会社にシステム開発を委託することです。主な目的は、コスト削減とIT人材不足の解消です。これまで、オフショア開発の主な委託先は中国でした。しかし、近年は中国の人件費高騰を受け、ベトナム、インド、ミャンマーなどの国々にシステム開発を委託する企業が増加しています。
近年、日本ではITエンジニアの不足が深刻な課題となっています。オフショア開発は、海外の優秀なエンジニアを活用できるため、システム開発の選択肢として注目されています。
オフショア開発のメリット
オフショア開発のメリットは、大きく2つあります。
1つは日本国内で開発を進めるよりもコストを削減できる点です。オフショア開発では、日本国内での開発と比較して、人件費を抑えられる傾向にあります。優秀なエンジニアを低コストで確保できるため、開発コストを抑えることができます。
2つ目がIT人材不足を解消できる点です。システム開発を検討している企業の中には、エンジニア不足が原因で開発プロジェクトを進行できないところもあります。オフショア開発を活用すれば、プロジェクトに適したエンジニアを確保し、高品質な開発を実現できます。
このように、オフショア開発にはコスト削減と人材確保という2つの課題を同時に解決できるメリットがあるのです。
オフショア開発の注意点
オフショア開発は多くのメリットがありますが、いくつかの注意点にも留意が必要です。それぞれの注意点とその対処法を以下にまとめました。
言語や文化の違いによるコミュニケーションギャップ
言語の違いや文化的背景の相違により、意図が正確に伝わらないことがあります。定期的なビデオ会議の実施、詳細な文書化、現地スタッフとの密な連携が有効です。また、現地のエンジニアとの橋渡しとなるブリッジSEの活用も検討しましょう。言語だけでなく、ビジネス慣習の違いにも注意が必要です。
エンジニアの技術力のばらつき
オフショア先のエンジニアの技術力にばらつきがある場合があります。技術力の高い開発会社を選ぶことはもちろん、個々のエンジニアのスキルを事前に確認することが重要です。
タイムゾーンの違いによる連携の難しさ
時差があるため、リアルタイムでのコミュニケーションが難しい場合があります。重複する業務時間を設定したり、非同期コミュニケーションツールを活用したりすることで対応できます。また、定期的な進捗報告や詳細な作業記録の共有も有効です。
為替レートの変動による予算管理の複雑さ
為替レートの変動により、予算管理が複雑になる可能性があります。対策として、ヘッジ取引が一般的です。ヘッジ取引とは、為替レートを固定して取引することで、為替変動による損失を最小限に抑える方法です。これにより、より安定した予算管理が可能になります。
委託先国の政治・経済の不安定さ
委託先国の政治的・経済的な不安定さがプロジェクトに影響を与える可能性があります。安定した国を選ぶことはもちろん、複数の国や地域に開発拠点を分散させるなどのリスク分散策も考慮に値します。また、緊急時の対応計画を事前に準備しておくことも重要です。
オフショア開発におけるセキュリティリスク
オフショア開発では、セキュリティリスクに特に注意を払う必要があります。異なる国や文化圏での開発では、セキュリティ体制の違いから思わぬ脆弱性が生じる可能性があるためです。以下に、オフショア開発で考えられる2つの主要なセキュリティリスクを解説します。
- セキュリティ意識の差異による情報漏洩のリスク
- コスト重視によるセキュリティ対策の不足のリスク
それぞれのリスクについて解説します。
委託先国でのセキュリティ意識の低さによる情報漏洩
オフショア開発では、委託先の国や地域によって、セキュリティや知的財産に対する意識や法制度が異なることがリスクとなります。日本とは異なるセキュリティ基準や慣行が原因で、機密情報やソースコードの漏洩事故が発生する可能性があるのです。
特に、ソースコードや機密情報は形がない無形資産であるため、物理的な防御だけでは不十分です。適切なアクセス管理や暗号化などの情報セキュリティ対策が不可欠ですが、これらの対策が不足していると、情報漏洩のリスクが高まります。また、セキュリティ意識の低さは、従業員の不注意によるデータ流出につながる恐れもあります。全従業員を対象としたセキュリティ教育の実施状況も、リスク評価の重要なポイントとなるでしょう。
オフショア開発を検討する際は、これらのセキュリティリスクを十分に認識し、委託先の管理体制を入念に確認することが求められます。リスクを低減するための具体的な方策を、委託先と協議を重ねながら講じていくことが重要です。
コスト削減優先によるセキュリティ対策の不足
オフショア開発では、コスト削減を過度に重視するあまり、セキュリティ対策がおろそかになるリスクがあります。予算を低く設定しすぎると、セキュリティレベルを高めたくても、予算不足により適切な対策が講じられない状況に陥る可能性があるのです。
オフショア開発におけるコスト削減は重要な観点ですが、セキュリティ対策はそれ以上に優先すべき事項です。セキュリティ事故が発生した場合、機密情報の漏洩やシステムの停止など、深刻な損害につながる恐れがあります。結果として、事後対応に莫大なコストがかかってしまうこともあり得ます。
オフショア開発では、コスト削減とセキュリティ対策のバランスを慎重に見極めることが重要です。セキュリティは、システム開発における重要な品質要素の1つです。長期的な視点に立ち、セキュリティ対策に適切な投資をすることが、オフショア開発の成功につながるでしょう。
オフショア開発のセキュリティレベルを高める5つの方策
オフショア開発を検討する際は、委託先のセキュリティレベルを高めるための方策を確認することが重要です。以下の5つの方策を念頭に置き、委託先選定の基準としましょう。
- ラボ型契約の採用による管理体制の強化
- 安全性の高い開発環境の整備
- 開発用PCの適切な管理の実施
- 定期的なセキュリティ教育の実施
それぞれの方法を詳しく解説します。
1.ラボ型契約の採用による管理体制の強化
オフショア開発におけるセキュリティリスクを軽減するには、ラボ型契約と呼ばれる契約形態の採用が効果的です。ラボ型契約とは、自社専属のエンジニアチームを一定期間確保できる開発形態のことです。
ラボ型契約では、開発メンバーが固定されているため、メンバーの把握・管理がしやすくなります。さらに、メンバーが固定されることで、継続的にセキュリティ意識を高く保つことが可能になります。入れ替わりが多い場合、そのたびにセキュリティ教育に時間を割く必要がありますが、ラボ型契約ではその手間を省くことができるのです。
2.安全性の高い開発環境の整備
オフショア開発のセキュリティレベルを高めるには、安全性を考慮した開発環境の整備が大切です。一般的に行われている対策には、以下のようなものがあります。
- 入退室管理
- ネットワークセキュリティの整備
- セキュリティソフトの導入
- 定期的なセキュリティチェック
これらの要素を適切に組み合わせることで、情報の保護や外部からの脅威への対策を進めることができます。具体的な実装方法は、プロジェクトの規模や要件、委託先の状況に応じて検討することが重要です。
3.開発用PCの適切な管理の実施
システム開発用のPCを適切に管理することは、漏れのないセキュリティ対策を実施するうえで不可欠です。開発会社がどのようにPCを管理しているか確認しておきましょう。一般的に考慮される点には、以下のようなものがあります。
- 開発用PCの管理体制
- PCの使用ルール
- PCの社外持ち出しに関する方針
これらの項目について、プロジェクトの規模や性質に応じて必要な対策を選び、開発会社と協力して実施しましょう。ただし、過度に厳しい制限は作業効率を下げる可能性もあるので、セキュリティと利便性のバランスを取りながら、適切な方法を見つけていくことがポイントです。
4.定期的なセキュリティ教育の実施
開発チーム全体のセキュリティ意識を高める施策も重要です。開発会社に従業員への教育施策を聞いてみましょう。
具体的な施策内容としては、従業員へのセキュリティ教育の実施や、最新のセキュリティ脅威に関する情報のアップデートなどが考えられます。これらの取り組みにより、より安全な開発環境が実現します。
オフショア開発会社を選ぶ際に確認すべきポイント
オフショア開発会社を選定する際は、セキュリティ面での適切な管理体制を備えているかを確認することが重要です。以下の4つのポイントに着目し、開発会社の状況を詳しく見極めることをおすすめします。
- ISO/IEC 27001の取得状況
- 再委託の有無と管理体制
- 人員の入れ替わりの頻度
- これまで実施してきたセキュリティ対策
これらのポイントを確認することで、オフショア開発会社のセキュリティリスクを見極められます。
ISO/IEC 27001の取得状況
ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。この認証を取得しているオフショア開発会社は、一定のセキュリティ管理レベルを備えていると判断できます。
SO/IEC 27001を取得している会社は、セキュリティポリシーや手順書の整備、従業員教育の実施、定期的な監査の実施など、体系的なセキュリティ管理を行っていると考えられます。また、従業員のセキュリティリテラシーも高いと期待できるため、発注側でセキュリティ対策やセキュリティ教育を講じる負担も軽減できるでしょう。
ISO/IEC 27001の取得状況は、オフショア開発会社のセキュリティ管理レベルを客観的に評価する重要な指標の1つです。認証の有無だけでなく、認証の範囲や有効期限なども確認しておくことをおすすめします。
弊社SolashiでもISO/IEC 27001を取得しており、セキュリティ対策を徹底した上で開発作業を進めています。オフショア開発のセキュリティに不安を感じている方は、ぜひSolashiにご相談ください。
再委託の有無と管理体制
オフショア開発会社が業務の一部を他の会社に再委託することがあります。この場合、セキュリティ管理が複雑になる可能性があります。再委託がある場合は、以下のような点について開発会社と話し合っておくとよいでしょう。
- 再委託先の会社の選び方
- 再委託先との間でのセキュリティに関する約束事
- 再委託先との連絡体制
- 問題が起きたときの対応方法
これらの点について、開発会社がしっかりと考えを持っているかを確認しておきましょう。ただし、すべての項目を厳密に要求するのではなく、プロジェクトの規模や重要度に応じて、必要な範囲で確認するのがよいでしょう。
人員の入れ替わりの頻度
人員の入れ替わりが極端に多い開発会社は注意が必要です。頻繁な人員の変動は、情報の継承不足やセキュリティ意識の浸透に影響を与え、プロジェクトのセキュリティリスクを高める可能性があります。
ただし、人員の入れ替わりには様々な背景があり得ます。例えば、プロジェクトに応じてメンバーを柔軟に組成する開発会社では、必然的に入れ替わりは多くなるでしょう。
重要なのは、人員の変動の理由と、それに対する開発会社の対応です。以下のような点を確認してみるとよいでしょう。
- 人員の変動の傾向とその背景
- 新しいメンバーへの教育体制
- プロジェクト情報の管理方法
これらの点を確認することで、開発会社がプロジェクトの継続性とセキュリティをどのように確保しているかを理解できます。
これまで実施してきたセキュリティ対策
オフショア開発会社を選ぶ際は、過去に実施してきたセキュリティ対策と、今後対応可能なセキュリティ施策について確認することが重要です。以下のような点を聞いてみるとよいでしょう。
- これまでのプロジェクトで実施してきた具体的なセキュリティ対策
- 現在標準的に提供しているセキュリティ対策
- クライアントの要望に応じて追加で対応可能なセキュリティ施策
これらの情報を通じて、開発会社のセキュリティに対する姿勢や柔軟性を評価できます。また、自社のプロジェクトに必要なセキュリティレベルを確保できるかどうかを判断する材料にもなるでしょう。開発会社との話し合いを通じて、プロジェクトに適したセキュリティ対策を共に検討していくことをおすすめします。
オフショア開発で有効なセキュリティ対策
オフショア開発のセキュリティレベルを高めるためには、委託元である日本企業も積極的にセキュリティ対策を講じることが大切です。ここでは、オフショア開発における特に有効なセキュリティ対策を4つ紹介します。
- セキュリティ条項を含む契約の締結
- 緊密なコミュニケーションの実践
- チェックシートを用いたセキュリティ状況の確認
- セキュリティ事故発生時のフォロー体制の整備
セキュリティ条項を含む契約の締結
オフショア開発プロジェクトを開始する前に、パートナー企業との間で締結する契約に、データセキュリティに関する基本的な取り決めを含めることが重要です。これには、以下のような項目が考えられます。
- 機密保持契約(NDA)の締結
- データの取り扱い方針の共有
- セキュリティ事故発生時の連絡体制の確認
- 基本的なセキュリティ対策の実施確認(ウイルス対策ソフトの導入など)
これらの項目を契約に含めることで、パートナー企業とセキュリティに対する共通認識を形成し、安全な開発環境づくりにつながります。プロジェクトの規模や性質に応じて、必要な項目を選択し、双方で無理のない範囲で実施することが大切です。
緊密なコミュニケーションの実践
オフショア開発では、言語や文化の違いからミスコミュニケーションが生じやすい傾向にあります。セキュリティ事故が発生した際の報告や対応が遅れると、被害が拡大する恐れがあります。そのため、日頃から委託先との緊密なコミュニケーションを心がけることが大切です。Web会議やチャットツールを活用し、セキュリティ対策の実施状況を定期的に確認することが効果的でしょう。
コミュニケーションを重ねることで、委託先のセキュリティ意識を高め、適切な対策の実践を促すことができます。また、問題の兆候を早期に把握し、速やかに対処することも可能になります。信頼関係の構築と情報共有の促進が、セキュリティレベルの向上につながるのです。
チェックシートを用いたセキュリティ状況の確認
セキュリティ対策を確認する際は、チェックシートの活用が効果的です。これにより、委託元と委託先で、セキュリティに関する認識を漏れなく共有できます。主要な確認項目としては、以下のようなものが考えられます。
- データの保護方法(暗号化など)
- アクセス管理の仕組み
- セキュリティ教育の実施状況
- 物理的なセキュリティ対策
これらの項目を確認することで、委託先のセキュリティ対策の概要を把握できます。必要に応じて、詳細な内容について委託先と協議し、プロジェクトに適したセキュリティ対策を検討しましょう。
セキュリティ事故発生時のフォロー体制の整備
オフショア開発では、セキュリティ事故への対応が重要な課題です。開発会社に以下の点を確認しておくとよいでしょう。
- セキュリティ事故対応の基本方針
- 事故発生時の連絡体制
- データバックアップの頻度と方法
これらの基本的な対策を確認することで、万が一の事態に備えることができます。セキュリティは開発プロジェクトの重要な要素の一つです。開発会社と協力して、適切な対策を講じましょう。
オフショア開発のセキュリティに不安を感じているなら「Solashi」までご相談ください
オフショア開発を検討する際、セキュリティリスクは大きな懸念事項の一つです。本記事では、オフショア開発におけるセキュリティリスクとその対策、信頼できるオフショア開発会社の選び方などについて詳しく解説してきました。セキュリティ意識の差異や、コスト重視によるセキュリティ対策の不足など、オフショア開発特有のリスクを理解し、適切な対策を講じることが重要です。また、再委託の管理体制や、人員の入れ替わり、過去の実績、ISO/IEC 27001の取得状況などを確認し、セキュリティ面で信頼できる開発会社を選ぶことが求められます。
こうしたセキュリティ面の不安を感じているなら、ぜひ「Solashi Co., Ltd」にご相談ください。弊社は、情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO/IEC 27001を取得しており、セキュリティ対策を徹底した上で開発業務を遂行します。また、日本語を含む多言語に対応するブリッジSEが在籍し、円滑なコミュニケーションにも定評があります。
豊富な開発経験と、セキュリティへの真摯な取り組みを強みに、お客様のニーズに合わせた最適なソリューションをご提案いたします。オフショア開発でのセキュリティ確保に不安を感じている方は、ぜひ一度お問い合わせください。
島添 彰
合同会社Solashi Japan代表。1989年4月生まれ、福岡県出身。大阪府立大学大学院情報数理科学専攻修了。2014年サントリーホールディングスのIT機能をもつ「サントリーシステムテクノロジー株式会社」に入社。自動販売機の配送管理や効率化、販売管理システムの開発から運用、導入まで広く担当する。2017年にYper株式会社を創業、同社のCTO・CPOに就任。アプリ連動型の置き配バッグ「OKIPPA(オキッパ)」の立ち上げ・プロダクトのグロースに携わる。東洋経済社の名物企画「すごいベンチャー100」、Forbes誌による「Forbes 30 Under 30 Asia 2019」に選出される。
