相次ぐ情報漏えい 日本のソフトウエア開発の問題点
https://wedge.ismedia.jp/articles/-/32086
『わが国を代表する総合通信機器メーカーで、日本で初めて数値制御装置を完成させた高度な技術力を持つ富士通グループで、情報漏えいが何度も起きる事態やシステムトラブルが相次いでいる。
(TU IS/gettyimages)
昨年12月9日、警察関係者からの通報で、富士通が提供する「フェニックスインターネット回線サービス」(以下、「フェニックス」と表記)が、不正アクセスを受けていることが判明した。フェニックスは、2022年3月から11月にかけて約8カ月もの間、不正アクセスされていたのだ。
今年3月に公表された調査報告書では、ネットワーク機器の脆弱性が原因で、一部のネットワーク機器において、ログインした同社の運用者のIDとパスワードを窃取するプログラムが稼働していたほか、窃取されたアカウント情報で認証機能がバイパス(回避)されたりして、ログの出力を停止する機能が組み込まれていたとしている。
「フェニックス」は複数の政府機関はじめ、京セラ、東京海上日動火災保険、セキスイハウス、TKC、ファナックなど約1700社が利用している。6月30日には、総務省が富士通ならびに子会社の富士通クラウドテクノロジーズに対して行政指導を行なっている。
このほか今年3月にはマイナンバーカードを使ってコンビニでの住民票の写しなどの証明書を交付できるサービスで、別人の証明書が発行される不具合が見つかり、サービスを停止するなどのトラブルが起こっている。
受注した開発を委託し、情報が流出
中でも深刻な事件は、21年5月に起こった情報共有システム「プロジェクトウェブ」が攻撃を受け、内閣サイバーセキュリティセンター(NISC)や成田国際空港会社、国土交通省、総務省、外務省、国立印刷局など政府機関を含む142の組織・企業が被害に遭った事件だろう。警察庁が過去に運用していたシステムの設計情報なども流出していたことなどが判明している。
この事件で漏えいしたアカウント情報が悪用され、新たな被害を生んでいる。その一つにシステム開発を請け負う富士通関連会社へのサイバー攻撃に利用され、官公庁のシステムから情報が漏えいしている事件がある。』
『この関連会社は元富士通の中国人従業員が創業した会社で、中国でもシステム開発の法人を立ち上げており、社長は、中国人民政治協商会議(CPPCC: Chinese People’s Political Consultative Conference)の正式メンバーとして選出されている。CPPCCとは、中国の政治諮問機関であり、中国共産党の統一戦線システムの中核をなす機関である。中国統一戦線については「日本企業や大学、町中華にまで広がる中国の情報窃取」に詳述しているが、中国共産党員のなかでもエリート中のエリートに選ばれている人物だと言えるだろう。
関係者は、「富士通は受注した官公庁のシステム開発をこの関係会社に再委託して納品していた。富士通は、保守管理の名目で関係会社へアクセス権を与え続けており、そのアカウントが中国本土から使用され、機密情報が盗まれている。盗まれたデータの中にはアカウント情報が含まれており、そのアカウント情報が使用され、さらにデータを盗まれるという事態につながった」と話している。捜査は今もなお、粘り強く続けられている。
オフショア開発から抜け出せない日本のIT産業
中国人によるシステム開発は、海外の法人に開発や運用を委託するオフショア開発でも行われている。富士通の関連会社でもある別の会社では、受託した官公庁や金融機関のシステム開発を中国系の会社に再発注し、北京にあるソフトウエア開発会社で開発している。
この関連会社では、日本には通信を中継する代理サーバー(プロキシサーバー)しか置かず、中国人が北京のデータセンターのサーバーにダイレクトにアクセスして、システムを保守しているようだ。
古い統計だが、情報処理推進機構が発行している「IT人材白書2013」には、12年の調査でオフショア開発発注先相手国実績として中国が83.6%で1位に挙げられており、2位のインド(19.2%)、3位のベトナム(19.2%)を大きく引き離している。この傾向は、統計をとり始めた08年からほとんど変わっていない。現在では、より賃金の安いベトナムやミャンマーなどへシフトしているようだが、依然として中国の1位は変わっていない。
日本はシステムの開発コストを削減するために1990年代以降、中国へのオフショア開発を進めてきた。多くの日本の大手IT企業は、ソフトウエアの品質を高めるためにソフトウエアの開発工程を分割し、下流工程のプログラミングやテストを中国へ発注していた。
ただ、下流工程の委託だけでは中国人技術者が設計に参加していないため、どのような目的で使われるソフトウエアなのか理解せずにプログラミングされてしまい、バグ(プログラムの瑕疵)が頻発するようになる。そこで中国人技術者を日本に呼んで、開発経験を積んだ日本人システムエンジニアの指導のもとに、徹底したシステム開発の教育を行うようになった。
そして2000年代になると外部設計などの上流工程も中国へ発注するようになったのである。こうした開発プロセスを通じて中国への技術移転が進み、今日の中国のソフトウエア大国の地位が築かれていったのである。』
『中国企業の担当者は、「日本側から何を吸収したか」という問いに対して、「業務ノウハウや設計図や仕様書の書き方、そして品質管理の手法である」と回答している(09年1月、アジア研究Vol.55「中国ソフトウェア産業の技術発展」高橋美多)。
「オフショアリングの進展とその影響に関する調査研究(07年3月、総務省)」によると、「開発コストの削減」をオフショア開発の理由に上げている企業が93.8%、「国内人材の不足の補完」と答えている企業が80.2%(重複回答可)と回答している。中国人労働者の賃金が高騰しつつある中でも、中国へソフトウエア開発を依存し続ける日本の姿が見て取れる。
是正すべき国内の人材不足
最近多々目にするソフトウエアの不備や情報漏えいの類は、日本人がソフトウエアの検修能力までも失いつつあるのではないだろうか。ソフトウエアの品質さえも中国に依存している日本は、非常に危険な状況にあるといえる。
ソフトウエアの開発過程は、従来の外部設計、内部設計、プログラミング、テストというウオーターフォール型の工程から、小さな機能単位に素早く(Agile:アジャイル)開発を繰り返していくアジャイル開発が主流になりつつあるが、国内人材の不足は解消しそうにない。
捜査関係者は、「富士通の管理体制はどうなっているのか危機感を感じております」と語っている。日本の重要システムを扱う企業として、富士通グループ全体のセキュリティ体制あり方をぜひ見直して欲しい。日本企業として責任ある対応を願うばかりだ。』