・当記事がお役に立つ人
・オフショア開発における高レベルのセキュリティ対策が知りたい方
オフショア開発においてのセキュリティ対策をとることは非常に大変です。
文化の違いや国の体制による違いから、エンジニア自身のセキュリティに対する考えの違い、海外であることから対策を行うのに高額な費用がかかる、などいろいろな制約や課題がでてきます。
具体的に見ていきましょう。
オフショア開発で高度なセキュリティ対策を要求するのは難しい
オフショア開発において委託先に高度なセキュリティ対策を期待するのは無理なことです。
オフショア開発では機密情報や個人情報は絶対に出さない、というのが基本的な考え方です。
セキュリティ対策はコストパフォーマンスが悪い
まず、なぜオフショア開発をするのかというと、コストを削減したいというのが一番の目標です。
そのため、コスト低減や品質向上などに寄与しないセキュリティ対策には通常お金は掛けません。
セキュリティ対策はコストパフォーマンスが悪いということです。
オフショア開発会社にギリギリのコスト低減を要求しながら、セキュリティ対策も万全を期せ、というのは虫の良すぎる話です。
オフショア対象国はセキュリティへの意識が低い・国の体制上無理(中国は最悪)
オフショア開発を行っている国はセキュリティへの意識が低いところが多いです。
もともと個人情報など保護の対象と認識などしていないところが少なくありません。また、機密情報についても、悪意の有る無しに関わらず、お金になるなら外部へ持ち出すことへの抵抗は少ないと言えます。
特に中国では「国家情報法」により、国の命令で全ての情報を開示しないといけないので、セキュリティはないものと考えるべきです。
セキュリティを重視するならニアショア
本当にセキュリティを考えるなら、日本国内での開発にすべきです。つまり、オフショア開発でなくニアショア開発を選択する、ということ。
そうすれば、少なくとも日本の法律の下で開発ができますし、日本のスタンダードな考えや設備でセキュリティ対応を取ることが可能になります。
海外で対応をとるのとは雲泥の差で対応は楽になります。
オフショア開発における高レベルのセキュリティ対策とは
それでは、オフショア開発における高レベルのセキュリティ対策について解説していきたいと思います。
これは私がオフショア開発会社側の責任者として対応した案件の実例です。
お客様は日本の大企業様です。一般の会社ではここまでの対策を打つのはコストがかかりすぎて無理です。
しかし、ここまで対策を打っても完璧ではありません。開発エンジニアが悪意を持って情報を盗もうとしたら、防ぐのは難しいのが実情です。
もちろんここまで対策を行えば、かなりの抑止効果はあると思います。
細かいところまでは書けませんが、ご参考になれば幸いです。
プロジェクトルーム
プロジェクトルームは天井までの壁がある部屋を確保します。仕様の概要は以下の通り。
・出入り口は一箇所のみ。
(ただし、防災上別途一箇所の出入り口を設けるが、通常時は施錠してある。避難時はドアを蹴破る)
・窓はあるが、全てすりガラスとし中は見えない
・入室時、退出時は社員証カードによりドアを開閉する
・入室、退出記録(個人特定可)はサーバーに全て記録され、1年間保管
・ドアの内側・外に監視カメラを設置して出入りを監視。映像は一週間サイクルで上書き。
メンバー管理・入退室管理
・メンバーの異動は都度日本側に申請、承認を得る。これは使用するPCの申請とセットで行われる。
・承認された者に対して社員証への入室許可を与える。
・事務所自体への入室は指紋認証。プロジェクトルームの入退室と二重管理を行う
・プロジェクトルームへの入室前に、全ての荷物は個人ロッカーに預ける(スマホも当然ダメ)。
・プロジェクトルームから何か持ち出すことは厳禁。
(基本的に何も持ち出すものはないが)
・許可された者以外の者が入室する場合は、名前や入室目的を記帳、サインをし責任者が必ず同行する。(例、室内工事、日本からの来客など)
ネットワーク
・新たに国際専用線を引いて、日本と直接接続する
・開発用PCとは有線のLANケーブルで接続
・WiFiは使用しない(PC側でもDisableにする)
・基幹ルーターほか全てのネットワーク機器は、プロジェクトルーム内に設置してラック筐体を施錠
作業用PC
・作業用PCはメンバー全員に新規に配賦し、メンバー異動届とともに日本側に申請する
・OS,必要ソフトは日本側で作成したセットアップCDを使ってゼロからインストールする
・PC管理ソフトにより、日本側からPC利用状況や導入ソフト構成を定期的にチェックする
※例:使用者以外のIDでログインすると警告される
・WiFiはDisable
・USBなど外部接続端子もDisable
・PCはケンジントンロックで机に括りつけられ、持ち出し不可
開発環境
・該当企業の開発環境(閉じたLAN環境)
・インターネットとは一切接続不可
什器・備品関連
什器・備品は最小限のものに限定
・キャビネ1、打合せ用小テーブル2、ホワイトボード1
・プリンターはなし
(紙は出さない)
セキュリティ教育・誓約書
機密保持の誓約は入社時に行っているので、プロジェクトで特に結ぶことはありませんが、プロジェクト特有のセキュリティ活動があります。
・プロジェクト参加時のセキュリティ教育。
指定された冊子を読んで、セキュリティチェックシートを記入、サインする。
・全員が毎月月初にセキュリティチェックシートを記入、サインする。
管理体制
・セキュリティ事案が発生した場合の連絡体制確立
(氏名、電話連絡先、24時間体制)
・セキュリティ手順書の作成
(日本側の手順書に合わせて作成)
一般のオフショア開発会社のセキュリティ対策
一般的なオフショア開発会社のセキュリティ対策状況についての例を記載しておきます。一般的にはこのレベルが普通だと思います。
もちろん、当然個々の会社によりセキュリティ対策のレベルは変わってきます。
また、顧客からの要請によりセキュリティ対策のレベルを上げることも可能です。一つの参考にしていただければ幸いです。
事務所の入退室管理
・一般的に事務所の入退室を、セキュリティカード(社員証)または生体認証で行っている場合が多い。
・出入り口や主要なところに監視カメラ
作業場所
・基本的には顧客ごとにプロジェクトルームは作らない。雑居スペースで作業する。
・要望に応じてプロジェクトルームを作成
PC、開発環境(ネットワーク)
・PCはほとんどの場合会社支給
・開発PCはあえてデスクトップにして持ち出しが難しくしている場合がある
・ラップトップの場合も会社保管が基本
※コロナ禍で自宅への持ち出しが現在は多い
・基本ソフトについては会社側で導入
(OS,アンチウィルス、MS-Office,Mail,Chat,統合開発環境、など)
・開発ツール類などは個人に任せられている場合場多い
(会社として厳密には管理していないこともある)
・インターネットに接続可(接続先を制限している会社もある)
・外部メディアの使用制限はしていない場合が多い
セキュリティ教育
・会社ごとに異なる。
まとめ
さて皆さん、いかがでしたか?
「【本当に難しい!】オフショア開発におけるセキュリティ対策とは?」をご紹介しました。オフショア開発でセキュリティ対策を行う上での参考になったでしょうか。
オフショア開発が始まってもう30年近く経ち、ソフトウェア開発をするうえで、当たり前のことになっています。
しかし、先日のLINEの情報漏洩にみられるように、オフショア開発におけるセキュリティの考えはまだまだ低いレベルになります。
基本は、オフショア開発に「機密情報、個人情報は出さない」ということです。
オフショア開発で高度なセキュリティ対策を行うことはとても高コストになり、ある意味ではオフショア開発を行うメリットがなくなります。
このような基本を守らないからLINEのような問題が出てくるのだと思います。
問題が発生しないよう、うまくオフショアを使いたいものです。
最後に、新しいオフショア開発サービスのご紹介して終わりにしたいと思います。
ピンポイントでオフショア技術者を採用するという新し考え方です。一考に値するかと考えます。ご興味がありましたら、当ブログのお問い合わせからご連絡いただきたく。
では、明るく、楽しく、前向きに、毎日をお過ごしください。
コメント