Comments
Transcript
先手を打つための 情報セキュリティ戦略 - Nomura Research Institute
2016 Vol.33 No.10 (通巻 394 号) 10 情報セキュリティとソフトウェア工学 視 点 小田島 潤 特集 先手を打つための 情報セキュリティ戦略 戦略的な情報セキュリティ対策のために ─ 現在の対策状況を可視化・評価することの重要性 ─ 十川 基 、中 島 由 宏 不正アクセスへのセキュリティ対策 ─ 利用者の振る舞いを分析して成り済ましを検知 ─ 大島 修 、井 本 武 宏 トピックス 「仮想データセンター」サービスへの期待 ─ クラウドサービスにおけるプライベート環境の維持 ─ 物部 康 介 IT 部門に求められる人材のグローバル化 ─ グローバル事業に貢献する IT 人材の育成を目指して ─ 土屋 明 義 画面デザイン開発における意匠権の重要性 ─ 意匠制度改訂による IT 業界への影響 ─ 福田 瑛 理 子 、田 嶋 龍 太 郎 海外便り BPO 業務マネジメントのポイント ─ NRI 大連の取り組みから ─ 金 麗妍 Adobe Reader のメニューバーで「表示(V)→ページ表示(P) 」にある「見開きページ(U) 」と「見開きページモードで表紙をレイアウト(V) 」の 2 か所にチェックすると紙面 のイメージでご覧いただけます。また、両面プリンターをご使用の場合、印刷時に「ページの拡大/縮小(S) 」で「小冊子の印刷」を選択すると紙面に近い状態を再現できます。 2016 Vol.33 No.10 (通巻 394 号) 10 視点 情報セキュリティとソフトウェア工学 04 小 田 島 潤 特集 先手を打つための 情報セキュリティ戦略 戦略的な情報セキュリティ対策のために ………………… ─ 現在の対策状況を可視化・評価することの重要性 ─ 06 十川 基、中島 由宏 サイバー攻撃が巧妙化し、数も増えていることに対応するため、情報セキュリティ対策の負荷や費用は増加傾向 にある。本稿では、このようなサイバー攻撃に戦略的に対抗するために、現状のセキュリティ対策状況を網羅的 に評価し、中長期のセキュリティ計画を策定する方法について提言する。 不正アクセスへのセキュリティ対策 ─ 利用者の振る舞いを分析して成り済ましを検知 ─ ……………………………… 10 大島 修、井本 武宏 不正に入手した ID・パスワードのリストを使ったリスト型アカウントハッキングのように、最近は不正アクセス の手法が巧妙化し、被害も後を絶たない。本稿では、Web サイト上の振る舞いを分析することで不正アクセス を検知する手法の有効性と、リスク判断のポイントについて紹介する。 C o n t e n t s トピックス 「仮想データセンター」サービスへの期待 …………………………… ─ クラウドサービスにおけるプライベート環境の維持 ─ 14 物部 康介 金融機関など、機密性の高いシステムを自社のプライベート環境に置きたいと考える企業は多いが、システム更新などに 大きな投資が必要になる。本稿では、システム構成要素をクラウド環境を通じて一括して提供することでこのような企業 の負荷を軽減する「仮想データセンター」サービスについて解説する。 IT 部門に求められる人材のグローバル化 …………………………… ─ グローバル事業に貢献する IT 人材の育成を目指して ─ 16 土屋 明義 事業のグローバル化がますます加速している日本企業において、IT 部門もグローバル化が求められている。しかしこの変 化に IT 人材がついていけず、さまざまな問題が起き始めている。本稿では、グローバル化に対応できる IT 人材を育成する 上での、課題・ポイントについて提言する。 画面デザイン開発における意匠権の重要性 …………………… ─ 意匠制度改訂による IT 業界への影響 ─ 20 福 田 瑛 理 子 、田 嶋 龍 太 郎 2016 年 4 月より、画像を含む意匠についての保護基準が改訂された。これにより、スマートフォンなどの画面デザインも 保護対象となった。今後、社会通念の変化に合わせてさらに保護対象が拡大することも考えられ、IT 業界の画面デザイン 開発の上で、意匠権の事前調査や権利化の重要性が高まっていく。 海外便り BPO 業務マネジメントのポイント ……………………………………………… ─ NRI 大連の取り組みから ─ 24 金 麗妍 野村総合研究所(大連)有限公司(NRI 大連)は、2010 年に NRI グループの BPO 事業の拡大を目的に設立された。本 稿では BPO 業務のマネジメントのポイントと、NRI 大連の BPO を中心とした取り組みや、企業概要と特徴について紹介 する。 ………………………………………………………………………………………………………………………… 28 視点 情報セキュリティと ソフトウェア工学 NRI セキュアテクノロジーズ 代表取締役社長 お だ し ま じゅん 小 田島 潤 筆者が小学生の頃に、マイコンブームとい 気のある研究室が多くあったなかで、選ぶ人 うものがあった。日本電気製の PC-6001 や の少ないソフトウェア工学をあえて専攻する シャープ製の MZ-2000 が発売され、その上 ことにしたのは、プログラムのバグに苦し で動作するゲームで遊ぶことが流行したので んだ筆者の原体験があったからだ。研究室 ある。筆者も近所の電気店に入り浸りでゲー では、コンピュータ支援ソフトウェア工学 ムに夢中になっていたが、何とか両親を説得 (Computer Aided Software Engineering: して安価なマイコンを手に入れた。その後、 CASE)や、形式手法(ソフトウェアの仕様 マイコンはパーソナルコンピュータ(PC) 記述やモデルの検証を数学的に厳密に行う手 と呼ばれるようになった。 法)が主な研究テーマであった。 当初は、雑誌に掲載された BASIC 言語の 04 ソースコードを打ち込んでゲームで遊んでい 就職先についてもいろいろと迷った末に、 たが、そのうち飽き足りなくなり、自分でプ 野村総合研究所(NRI)を選んだ。「金融機 ログラムを書くようになった。その過程で、 関やメーカーとは違い、システムの開発と運 プログラミングという作業の面白さと苦労を 用が本業であり、ハードウェアも OS(基本 身をもって知ると同時に、「どうしたらバグ ソフト)も開発しているわけではない NRI な のないプログラムを書けるのか」ということ ら、アプリケーションソフトウェアの開発 に興味を持った。構造化プログラミングやプ 生産性が競争力の源泉ではないか。それなら ログラムの書き方に関する書籍を読みあさ ば、大学で学んだことが生かせるのではない る、変わった小学生であったが、中学校に入 か」と考えたためである。 ると部活が忙しくなり、自然と PC からは離 残念ながら、ソフトウェア工学や開発生産 れていった。 性に直接関わる仕事に就くことはあまりな 大学進学の時は、何を学ぼうかと迷った末 かったが、最近、IoT(Internet of Things) に情報工学を選んだ。専攻過程に進む時には や制御システムのセキュリティの重要性が叫 ソフトウェア工学を選んだ。ソフトウェア工 ばれ、システムの設計段階からセキュリティ 学とは、品質の高いソフトウェアをいかに効 を作り込む「セキュリティ・バイ・デザイ 率的に開発するかを考えることである。計算 ン」が提唱されるなかで、そこにソフトウェ 機アーキテクチャー、人工知能(AI)など人 ア工学の成果を生かせるのではないかと考え | 2016.10 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. るようになった。 証に形式手法による検証・保証を求める動き 情 報 シ ス テ ム や IT 製 品 の セ キ ュ リ テ ィ がある。自動車のような人命を左右する制御 に関する国際標準規格に ISO/IEC 15408 が システムやソフトウェアの開発においては、 あ る。 「Common Criteria for Information 多少コストがかかっても形式手法を適用すべ Technology Security Evaluation」と呼ばれ、 きだということである。 略して「Common Criteria」や「CC」と言わ れることも多い。この ISO/IEC 15408 では、 最近よく聞かれる「ビジネス IT」もソフ 識別と認証、利用者データ保護などのセキュ トウェア工学と無縁ではない。基幹業務シス リティ機能が詳細に列挙されており、開発す テムのような「コーポレート IT」では、時 るシステムや製品で必要と思われる機能を選 間とコストをかけてでも品質の高いシステム 択すればセキュリティ対策が網羅されるよう を構築しようとするのに対して、顧客体験 になっている。また、設計時に選択したセ を重視する「ビジネス IT」では、新しい機 キュリティ機能がシステムや製品に正しく実 能を開発してはリリースすることを繰り返 装されているかを検証して保証する、評価保 す「DevOps」(開発と運用の一体化)と呼ば 証レベル(EAL)が定められており、より下 れる手法が一般的である。しかし、だからと 流の工程で検証するほど保証レベルが高くな 言ってセキュリティが犠牲にされていいは る。例えば、概要設計レベルでの機能テスト ずはなく、最近では「DevOps」でセキュリ で検証されると EAL1、ソースコードレベル ティを担保する「DevSecOps」という概念が で検証されると EAL4 となる。EAL4 は、商 登場している。 用の IT 製品や情報システムで求められる最 「DevSecOps」には、実装・単体テストに 高のレベルである。 相当するソースコード脆弱性診断や、総合テ IoT や制御システムの場合は、一般的な情 ストに相当する外部アプリケーション診断な 報システムとは異なり、ファイアウオールな どを自動的に行える統合開発環境が必要であ どのセキュリティ機構を後から組み込むこと る。「DevOps」では開発成果物として残され が難しいため、上流の設計段階からセキュリ ることが少ない各種の設計書をソースコード ティを組み込むことが重要になる。制御シス から自動生成する機能も必要になる。これを テムのセキュリティに関する国際標準規格 含めて、統合開発環境の実現には CASE ツー には IEC 62443 があり、機能安全に関する ル研究の成果が生かせるのである。 ぜいじゃく IEC 61508(電気・電子)や ISO 26262(自 動車)にも今後はセキュリティの観点が取り 情報セキュリティは、一見するとソフト 込まれる可能性がある。情報システムでも ウェア工学とは無縁のようでいて、実はそう EAL5 以上を目指そうとすると形式手法によ ではない。それどころか、これからのセキュ る仕様記述と検証が必要となるのと同様に、 リティ業界で違いを生み出す鍵はソフトウェ 制御システムでも上位レベルの機能安全の認 ア工学にあると筆者は考えている。 ■ 2016.10 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 05 特 集 先手を打つための情報セキュリティ戦略 戦略的な情報セキュリティ対策のために ─ 現在の対策状況を可視化・評価することの重要性 ─ サイバー攻撃が巧妙化し、数も増えていることに対応するため、情報セキュリティ対策の負荷や費用は増加傾向 にある。本稿では、このようなサイバー攻撃に戦略的に対抗するために、現状のセキュリティ対策状況を網羅的 に評価し、中長期のセキュリティ計画を策定する方法について提言する。 NRI セキュアテクノロジーズ コンサルティング事業本部 ストラテジーコンサルティング部 主任セキュリティコンサルタント そ が わ はじめ NRI セキュアテクノロジーズ コンサルティング事業本部 ストラテジーコンサルティング部 副主任セキュリティコンサルタント なかじま よしひろ 十川 基 中島 由宏 専門は情報セキュリティに関する調査・コ ンサルティング 専門は情報セキュリティに関する調査・コ ンサルティング セキュリティ対策の難しさ 案したいのが、次節で説明する戦略的なセ キュリティ対策の立案である。 情報漏えいなどの事件が起きるたびに、IT 部門が経営陣などから「自社でも同様の事件 が起きないか」 「セキュリティ対策は十分か」 について説明を求められるケースは少なくな 戦略的なセキュリティ対策とは、自社の将 い。ベンダーが提案するさまざまなセキュリ 来の進むべき方向性とシナリオに基づいて適 ティ対策の有効性に確信が持てず、ベンダー 切な優先度を付けたセキュリティ対策のこと の言いなりになってはいないかと危惧してい である。以下、それをどのようにして立案す る企業も多い。こうした状況から脱しよう べきか、ステップごとに解説していく。基本 と、公開されているセキュリティガイドライ 的には、目指すべき目標を定め、現状を把握 ンを参考に対策を立てようとする企業もある し、目標とのギャップを埋めるための対策を が、海外を含め多くのガイドラインが存在す 立案するという進め方である。 るため、どれをベースにすればよいのかを判 06 戦略的なセキュリティ対策とは (1)自社のセキュリティ基準の決定 断するのは容易ではない。また、自社の事業 まず、各種のガイドラインを参考に、自社 規模や業務内容、業界の特性に合わせた対策 のセキュリティ基準を定める。主要なガイド にとどめたくても、最低限満たすべきセキュ ラインには次のものがある。 リティレベルを決めること自体が難しい。 ① ISO/IEC 27001/27002(国際標準化機構 これらは多くの企業に共通する悩みや課題 (ISO)と国際電気標準会議(IEC)策定) である。こうしたことから、本来必要な対策 ② Cybersecurity Framework Version 1.0(米 が実施されないことによりセキュリティリス 国の国立標準技術研究所(NIST)策定) クが残存したり、逆に不必要な対策にまで投 ③ Critical Security Control for Effective 資したりするケースは少なくない。そこで提 Cyber Defense Version 6.0(米国のイン | 2016.10 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. ターネット・セキュリティ・ 図 1 セキュリティ対策状況分析(可視化)の例 センター(CIS)策定) 各項目ごとの結果 ④金融機関等コンピュータシステ ムの安全対策基準(日本の金融 その他、国内外のさまざまなガ イドラインがあるが、粒度や深 度、範囲などが異なっており、具 100 点 体制 資産管理 リスク管理 リスク インシデント BCP/DR コンプライアンス フィジカル 法令順守 施設 装置 標準構成 体的な対策を記していないものも アカウント管理 あれば、逆に詳細で高度な対策が 多く記されているものもある。そ 50 点 規程 ガバナンス 情報システムセンター(FISC) 策定) 0点 アクセス制御 テクニカル のため、自社に最適な形で組み合 わせて使うことが望ましい。 (2)現状の調査 次に、どの情報資産やシステム マルウェア対策 脆弱性管理 データ保護 ログ管理 バックアップ 自社スコア 他社スコア 基準スコア 推奨スコア が守るべき対象とされているか、どのような ①定量分析(ベースラインアプローチ) 対策がなされているかを調査する。守るべき どこまで防御策が講じられているかを定量 対象は、多層防御の観点から、社内外をつな 的に分析する。そのために、セキュリティが ぐネットワークや端末、組織の体制なども含 十分に確保された目指すべきレベルと、必要 めて考える必要がある。より精度の高い調査 最低限のレベル(ベースライン)を定義した 結果を得るためには、担当者へのヒアリング 上で、各脅威に対する現在の対策状況を数値 だけでなく、機器のログが正しく取得されて 化する。これにより、自社の対策のどこに不 いるか、機器の設定が設計書やパラメーター 足があるかを定量的に把握できる。 シートの通りに正しく行われているかなどを ②リスクシナリオ別評価 確認することも必要である。 昨今の事件・事故を踏まえ、標的型攻撃や (3)現在の対策の分析 情報持ち出しなどの想定シナリオに基づいて 調査結果に基づいて、現在の対策状況を分 対策状況を評価する。これにより、シナリオ 析・可視化する。以下のように複数の手法が 別に自社の対策のウイークポイントを被害に あり、それらを組み合わせて多角的に分析す 遭う前に把握することができ、各種のリスク ることで、自社の対策状況をより正確に把握 に対する具体的な対策が明確になる。 することができる。図 1 に NRI セキュアテク ③網羅性・合理性の評価 ノロジーズ(以下、NRI セキュア)による自 どのレイヤーでどのような対策が行われて 社と他社の比較分析(可視化)の例を示す。 いるかを可視化し、対策の不備・不足ととも 2016.10 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 07 特 集 先手を打つための情報セキュリティ戦略 図 2 中長期的なセキュリティ計画の例 カテゴリー 2017 年度 ネットワークの多層防御 検討 ベンダー への RFP 計画 実施 特権 ID 承認運用導入 定義 暫定運用 実施 運用 アカウント監視 分離 OA 端末分離 検討 検討 定義 実装 テスト 運用 運用 開発/本番のネットワークセグメント分離 計画 実施 担当者職権分離 職務分離 企画 権限マトリクス作成 企画 OA 端末と重要情報を扱う端末の 2019 年度 FW/WAF/ 振る舞い検知型の機器の導入 アカウント 棚卸し 特権 ID 管理 2018 年度 OJT など インシデント管理 BCP/DR発動時の セキュリティ管理 検討 現場確認 実施 運用確認 組織構造に基づいた権限分離 検討 現場確認 実施 運用 確認 CSIRT 構築 企画 検討 訓練 BCP/DR 発動時のセキュリティ訓練 企画 検討 訓練 に機能の重複についても評価を行う。機能を いと現場に浸透しない可能性があるからだ。 網羅的に確認してみると、実施しようとして そして少なくとも半年に 1 回は、計画の進捗 いた対策の重複や効果の薄さに気付くことが について経営層を含めた確認会を実施し、必 でき、自社に必要十分な対策が明確になる。 要に応じて計画の修正を行うべきである。図 ④他社比較 2 は中長期的な計画の例である。 しんちょく 同業他社との比較を通じて自社のセキュリ ティ対策の過不足を把握することで、業界に 合った適切なセキュリティ対策と、かけるべ き適正なコストを把握できる。 (4)経営層を巻き込んだ中長期計画の策定 08 対策状況を可視化する効果 前節の手順により、自社に最適なセキュリ ティ対策を立案することが可能となる。しか 以上の分析に基づいて、必要な対策ごとに しながら、業界横断的な知識やセキュリティ 効果と実現性を踏まえた優先順位を設定し、 の高度な専門知識が必要であり、そのような 中長期計画を策定する。中長期計画は、対策 人材を社内で確保することは極めて難しい。 の実施に必要な期間、コスト、人員などを具 そのため、NRI セキュアでは、国内外の主要 体的に整理し、実現性のある計画に落とし込 なガイドラインを組み合わせ、企業のセキュ んだものである。最も重視すべきことは、経 リティ対策状況を網羅的・横断的に診断する 営層による形式的な承認ではなく、経営層を サービス「NRI Secure Framework」(以下、 巻き込んだ合意形成である。なぜなら、入念 「NSF」)を 2016 年 3 月から提供している。 に策定された中長期計画であったとしても、 同サービスでは、独自調査で入手した国内外 経営方針のようにトップダウンで実行されな 700 社以上のセキュリティ対策状況のデータ | 2016.10 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 進める過程で新会社における情報セキュリ も可能になっている。 ティ基盤の在り方を議論したが、両社のセ 「NSF」は金融、製造、エネルギー、運輸、 キュリティ担当者の議論が全くかみ合わな 商社、流通など複数の業種で既に利用実績が かった。両社のセキュリティ基準にずれがあ あり、次のような効果が得られている。 り、それぞれのセキュリティ対策状況を同じ ①対策優先度の明確化 物差しで評価できなかったためである。両社 流通業の A 社では、Web アプリケーショ の依頼を受けた NRI セキュアは「NSF」を活 ぜいじゃく 用して、両社のセキュリティ対策状況の違い 事故が発生した。暫定的な対応の後、対策に を分かりやすく数値で可視化した。また、定 不備がないかを「NSF」によって診断した。 められていた目標スコアと評価結果を比較す 「NSF」では、Web アプリケーションだけで ることで、両社の強みと弱みを一目で分かる なく、社内外をつなぐネットワーク、社内 ようにした。両社からは、同じ物差しを使っ ネットワーク上に配置された重要なサーバー、 た本質的な議論が行え、あるべき姿を整理で 業務で使用する PC、それらを管理する組織 きたとの評価を得た。 │ 現在の対策状況を可視化・評価することの重要性 │ ンの脆弱性を突かれ、機密情報が漏えいする 戦略的な情報セキュリティ対策のために に基づいて、業種・規模が近い企業との比較 や物理的なセキュリティ対策などを、多層防 御の観点で多角的に診断する。そのため、外 部からの攻撃への対策状況だけでなく、マル ウェア感染後の情報探索や内部不正への対策 期待される経営者のリーダー シップ 状況も適切に評価することができる。 2015 年 12 月、経済産業省は独立行政法 診断の結果、A 社では外部脅威に対しては 人 情 報 処 理 推 進 機 構(IPA) と 共 に「 サ イ ネットワーク層を中心に多角的な対策が行わ バーセキュリティ経営ガイドライン」を策定 れているものの、ネットワーク層の防御壁を した。そこでは、サイバー攻撃から企業を守 突破されるとその後の情報探索などを検知で るという観点で、経営者が認識すべき「3 原 きないこと、アクセス統制に不備があり内部 則」と、CISO(最高情報セキュリティ責任 不正を誘発しやすい環境となっていることが 者)など担当幹部に指示すべき「重要 10 項 分かった。 目」が示されている。同省はこのガイドラ A 社と付き合いがあるセキュリティベン インの活用により、経営者のリーダーシップ ダーは、事故を契機に外部脅威へのさまざま の下でサイバーセキュリティ対策が実現され な追加対策を提案していたが、 「NSF」の活 ることを期待している。企業戦略の一部とし 用により、今の A 社に必要な対策およびその て経営者が責任を持って対策の内容や優先順 優先度を見極められるようになり、結果とし 位を判断することが求められていると言えよ て対策への投資判断の基準も明確化された。 う。そのための第一歩が、客観的な判断基準 ②リスクおよび対策状況の認識の共有 を持って自社のセキュリティ対策状況を網羅 製造業の B 社と C 社は、経営統合の準備を 的に可視化し評価することなのである。 2016.10 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. ■ 09 特 集 先手を打つための情報セキュリティ戦略 不正アクセスへのセキュリティ対策 ─ 利用者の振る舞いを分析して成り済ましを検知 ─ 不正に入手した ID・パスワードのリストを使ったリスト型アカウントハッキングのように、最近は不正アクセ スの手法が巧妙化し、被害も後を絶たない。本稿では、Web サイト上の振る舞いを分析することで不正アクセ スを検知する手法の有効性と、リスク判断のポイントについて紹介する。 NRI セキュアテクノロジーズ ソリューション事業本部 ソリューションビジネス一部 上級セキュリティエンジニア おおしま おさむ NRI セキュアテクノロジーズ ソリューション事業本部 ソリューションビジネス一部 主任セキュリティコンサルタント い も と たけひろ 大島 修 井本 武宏 専門は ID セキュリティソリューションの企 画・開発 専門は ID セキュリティソリューションの企 画・営業 なくならない不正アクセスと その被害 正購入(8.1%)、オンラインゲームやコミュ ニティーサイトでの不正操作(4.7%)となっ ている。このことから、Web サイトの利用 昨今、Web サイトへの不正アクセスによっ 者に対して直接的な被害を与えるような不正 て企業やサイト利用者が被害に遭う事件が 行為が際立っていることが分かる。 後を絶たない。2016 年 3 月にも、大手イン 資料では、不正アクセスの手口として、 ターネットショッピングサイトで、会員のポ サービス利用者の ID とパスワードを他人が イントが不正に使用されたり、個人情報が閲 不正に使用するものが多く、利用者の ID・ 覧されたりしたことが公表された。これは、 パスワード管理の甘さにつけ込んだり、イン ショッピングサイトとは別のサービスから不 ターネット上に流出・公開された ID・パス 正に取得したと思われる会員 ID とパスワー ワードのリストを使ったりすることが多いと ドを用いて Web サイトにアクセスするとい されている。 う方法によって行われた。 このため Web でサービスを提供する事業 2016 年 3 月 24 日に公表された警察庁の資 者は利用者に対して、推測されにくいパス 料( 「平成 27 年における不正アクセス行為 ワードを設定すること、ID・パスワードの使 の発生状況等の公表について」)によると、 い回しを避けることなどを促している。しか 2015 年の 1 月から 12 月までの不正アクセス しこれらを利用者に義務付けることは難しい の認知件数は 2,051 件で、前年の 3,545 件に のが実情である。 比べて減少しているものの、依然として高い 水準にある。不正アクセスによる不正行為と しては、インターネットバンキングでの不正 10 高度化する攻撃手法 送金が 74.6% と圧倒的な割合を占めており、 不正アクセスの手法は、Web サイトのア 次いで、インターネットショッピングでの不 プリケーションやミドルウェアの 脆 弱 性を ぜいじゃく | 2016.10 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 突く攻撃(脆弱性攻撃)と、Web サイト利 れを検知するための有効な対策を講じられて 用者の ID・パスワードを推測または盗用し、 いないのが実情である。 その人に成り済ましてアクセスする ID 系攻 インターネットバンキングでの不正送金の 撃の 2 つに大きく分類される。 被害が拡大するなか、金融機関は ID・パス 脆弱性攻撃に対しては、サービス提供企業 ワードに加えて、ログインや振り込みなどの 側の対策として、Web サイトのアプリケー たびにワンタイムパスワードの入力を義務付 ションのセキュリティ設計・開発や、ミドル けるといった多要素認証の導入を進めるな ウェアの脆弱性情報の収集と緊急度に応じた ど、不正アクセスへのセキュリティ強化を セキュリティパッチの適用が求められる。 図っている。その一方、サービスを利用する ID 系 攻 撃 に は、 以 前 か ら あ る ブ ル ー ト たびにワンタイムパスワードの入力が必要と フォース攻撃(ID・パスワードの総当たり攻 なれば利便性を損ねることにもなるため、顧 撃)や辞書攻撃(利用者がパスワードとして 客の離反を招く懸念もある。 利用しがちな単語を辞書として登録しておい このように、インターネット上のサービス てアクセスを試みる)に加え、あらかじめい を提供する企業にとって、利用者の利便性の ずれかのサービスから不正に取得した ID・ 低下を最小限にしつつ、分散型攻撃や低速型 パスワードのリストを利用してアクセスを試 攻撃といった高度な手法を取るリスト型アカ みるリスト型アカウントハッキングと呼ばれ ウントハッキングを防御することは差し迫っ る攻撃手法があり、ID 系攻撃の主流となっ た課題となっている。 てきている。前述の大手ショッピングサイト に対する不正アクセスでもこの方法が使用さ れた。 リスト型アカウントハッキングは、利用者 利用者の振る舞い分析による 不正検知 が複数の Web サイトで同じ ID・パスワード 上記の課題意識の下で最近注目されている を使い回す習慣があることを利用した攻撃で のは、Web サイト上の利用者の振る舞いを ある。最近は、ボットネット(攻撃用プログ 分析することで不正アクセスを検知するとい ラムに感染した大規模コンピュータ群)を利 う考え方である。 用して IP アドレスが異なる複数の地域から 同様の考え方に基づく対策は、クレジット 不正アクセスを行う分散型攻撃や、一定の時 カードの不正利用対策として以前から導入さ 間をおいて不正アクセスを繰り返す低速型攻 れている。クレジットカードの決済では、金 撃といった高度な手法が増えてきている。こ 額や利用場所、商品属性などの情報を利用者 れらは正当な利用者によるアクセスと不正ア の通常時の取引パターンと照らし合わせ、必 クセスの見分けがつきにくいため、不正アク 要に応じて電話確認などの追加認証を求めた セスの認知が遅れ、被害が拡大する危険性が り、不正利用の疑いが強い場合には決済でき 高い。しかしサービスを提供する側では、こ なくしたりすることが行われている。 2016.10 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 11 特 集 先手を打つための情報セキュリティ戦略 表 1 振る舞い分析による不正アクセス検知の例 不正検知に利用可能な属性 不正アクセス疑いの判定パターン 端末識別子 ・特定端末から大量のログイン試行 (アクセス元端末の OS/ブラウザーのバージョン、言 ・特定端末から大量のユーザーのログインに成功している 語設定、インストールされているプラグイン、フォン ・過去の不正アクセスや他サービスの不正アクセスに使用されたのと同じ端末からのアクセス ト、画面解像度、端末固有 ID などを組み合わせて生成 ・当該ユーザーが通常利用していない端末からのアクセス する端末の「指紋」) IP アドレス ・同一 IP アドレスから大量のログイン試行 ・同一 IP アドレスから大量のユーザーのログインに成功している ・当該ユーザーが通常利用しないネットワークからのアクセス 地理情報 ・当該ユーザーが通常は利用しない国/地域からのアクセス ・当該ユーザーの前回アクセス時からの位置の変化で計算される移動速度が異常(例:東京からア クセスのあった 1 時間後に東欧からログイン) (IP アドレスから検出できる国/地域情報、あるいは 端末 GPS などから取得できる位置情報) ページ遷移/入力操作 ・人間では不可能な速度でのフォーム入力やページ遷移(ボットによるアクセスの疑い) ・スパイダリング(情報抽出目的の機械巡回)が疑われる画面遷移 曜日/時間帯 ・当該ユーザーが通常は利用しない曜日や時間帯におけるアクセス 取引パターン ・当該ユーザーが通常行わない種別の取引の実施 ・当該ユーザーが通常行う金額の範囲を超える取引の実施 ・取引実行前のメール・電話番号などの属性情報変更(本人通知が行われるのを防ぐ疑い) ・取引実行後の即時退会 Web サイトの利用時にも同様の方法が可 ②レイヤー2(ナビゲーション分析) 能である。ログイン時の利用者の属性情報 Web サイト上の特定セッションのページ や、ログイン後の挙動を分析することにより 遷移に基づく不正検知手法 不正アクセスのリスクを評価し、必要に応じ ③レイヤー3(ユーザー分析) て追加の本人確認を求めるというものであ Web サイト上のユーザーの振る舞いに基 る。これにより、成り済ましログインによる 情報漏えいや不正取引のリスクを低減するこ ④レイヤー4(クロスチャネル分析) とが可能となる。 複数のシステムにまたがるユーザーの振る クレジットカードの不正検知は、ある時点 舞いに基づく不正検知手法 での店舗でのカード決済という「点」の分析 ⑤レイヤー5(エンティティーリンク分析) となるのに対し、Web サイトでの振る舞い 複数のシステム、複数のユーザーにまたが 分析は、利用者の一連のボタン操作やリンク る共謀などによる不正を大規模データ分析 の選択といった「線」での分析になる。この により検知する手法 ため、利用者に関するより多くの属性情報を レイヤー1 ~レイヤー3 までが単一 Web サ 活用することで、より正確なリスク判定が可 イト上での不正アクセス検知の手法で、本稿 能になる。 の対象もこの部分である。それでは、不正ア 米国の調査会社 Gartner 社は、Web サイト クセスは具体的にどのように検知できるのだ 上での不正検知の手法を以下のような 5 階層 ろうか。 のモデルで表している。 表 1 に、レイヤー1 ~レイヤー3 の不正検 ①レイヤー1(エンドポイント分析) 知に利用できる代表的な属性情報と「不正ア アクセス元の PC やモバイル端末固有の属 クセス疑いパターン」の例を示す。これら 性情報に基づく不正検知手法 12 づく不正検知手法 は、実際に不正アクセスが行われる際の典型 | 2016.10 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 図 1 リスクランク判定の例 し、アクセスの挙動がこれらのパターンに当 ものと断定できるわけではない。そこで、そ れぞれのパターンに「不正疑いスコア」を割 り当て、より多くのパターンに当てはまる (合計スコアが高い)ほど、正規な利用者の トランザクションの重要度 (高↑低) てはまったからといって即座にそれが不正な 金銭または金銭同等物を扱う取引 ユーザー属性 (住所、電話番号など) 変更 ログイン成功、情報閲覧 ログイン失敗 ものでない不正アクセスの疑いが強いと判断 するのである。 不正アクセスへのセキュリティ対策 的なパターンを抽出したものである。ただ 不正疑いスコアの合計値 (低→高) リスクランク Low Mid High Severe 次に、 「不正疑い」の合計スコアと、アク 応が可能になる。 クション(業務上の処理)の重要度に応じ 振る舞いに基づいたリスク判定は、全ての てリスクランクを 4 段階で判定する(図 1 参 検証がバックエンドで行われるため、利用者 照) 。不正アクセスの疑いの強さだけではリ には何も意識させないという利点がある。ま スクの高低を決めることができないからであ た、リスクランクが高い場合のみ追加認証 る。金銭やその同等物(ポイントなど)を扱 を要求するなど、利便性を損ねることなく うトランザクションは最も重要度が高く、利 Web サイトのセキュリティを強化すること 用者の住所などの変更はその次に重要度が高 ができる。 い。ログインの失敗は重要度の低いトランザ NRI セキュアテクノロジーズは、以上の クションとする。このようなトランザクショ 考え方に基づいて不正アクセスとリスクラ ンごとの重要度は、あらかじめ数値として定 ンクの判定を行うソリューション「Uni-ID 義しておく。 Identity Fraud Detection」を提供している。 │ 利用者の振る舞いを分析して成り済ましを検知 │ セスした人が実行しようとしているトランザ 例えば、金銭の取引を目的としたアクセス で「不正疑いスコア」 (合計値)が高ければ、 当然ながら即時対応の必要性が高い深刻なリ 継続的な対応が重要 スクである。一方、ログインに失敗している 利用者の振る舞いの分析による不正検知を 限りは、不正アクセスが疑われても、リスク 導入する場合、リスクランクに応じた対応方 は低いか中程度であり、経過観察や事後的な 針とその対応の業務フローについても検討し 対応が検討されるべきである。 ておくことが必要である。また、不正アクセ このようにして不正疑いとリスクランクの スの手口は巧妙化し続けるため、対策も常に 判定ができれば、ログインした人が金銭やポ 進化させていかなければならない。そのため イントに関する取引をしようとした場合に、 サービス提供者は、PDCA サイクルを回しな リスクランクに応じて追加認証を要求したり がら、リスク対応を高度化できる運用を組織 処理を実行不可にしたりするなど、適切な対 レベルで整備することが重要である。 2016.10 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. ■ 13 トピックス 「仮想データセンター」サービスへの期待 ─ クラウドサービスにおけるプライベート環境の維持 ─ 金融機関など、機密性の高いシステムを自社のプライベート環境に置きた いと考える企業は多いが、システム更新などに大きな投資が必要になる。 本稿では、システム構成要素をクラウド環境を通じて一括して提供するこ とでこのような企業の負荷を軽減する「仮想データセンター」サービスに ついて解説する。 野村総合研究所 システムコンサルティング事業本部 IT アーキテクチャーコンサルティング部 上級システムコンサルタント も の べ こうすけ 物部 康介 専門はシステム化構想・計画、運用改善、PMO 支援など 負荷が大きいプライベート環境 を行い、他の要素との技術的なすり合わせを 米国の Amazon.com、Google、Microsoft なくない IT 人材を専門に配置する必要があ など各社が競争を繰り広げるパブリッククラ るからだ。システムを更新した場合、本番環 ウドサービスは、市場の拡大とともに機能が 境だけでなくバックアップ環境でもシステム 高度化し、価格の低下も進んでいる。そのた テストを行う必要があり、その費用も大きな め、情報システムを自社内のプライベート環 負担となる。また、1980 年代後半~ 1990 境からクラウドサービスのパブリック環境に 年代に自社でデータセンターを建設した企業 移行させる企業が増えている。 では、建設から 3 ~ 4 回目の設備更新の時期 しかし、特に自社システムと密接に結び付 を迎えており、その現状を維持するだけのた いた独自性の高い業務プロセスを持ち、機 めに大きな投資を迫られているケースも少な 密性の高いデータを扱う金融機関などを中心 くない。 行いながら全体の整合性を取る作業には、少 に、当面はプライベート環境を維持する予定 の企業も少なくない。そのため、今のところ 日本ではパブリッククラウドの利用は限定的 14 「仮想データセンター」の利点 であり、大企業であるほど大規模な採用まで 上記の課題に対して、単一の事業者から本 には時間がかかると思われる。 番環境およびバックアップ環境が一括で提供 とはいえ、プライベート環境を維持する される「仮想データセンター」と呼べるよう 場合でも、データセンター、ネットワーク、 なサービスが一定の解決策となり得ると筆者 サーバー、ストレージなど、システムを構成 は考える。これにより、企業はプライベート する各要素の保守期限に合わせて定期的にシ 環境を維持しつつ、システム更新の負荷から ステムの更新を繰り返すことが大きな負荷と 解放されるであろう。 なっている企業は多い。構成要素ごとに調達 パブリック環境は、コスト削減メリットが | 2016.10 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 大きいという利点があるが、他の利用者との ンターを含めた IT リソースを用意した上で、 共有部分が大きい。これに対して「仮想デー 個別センター単位で立てていた収支計画を複 タセンター」は、あくまで各構成要素を占有 数のセンターを含んだものにしなければなら (または一部を特定利用者と共有)するプラ ない。これに加えてパブリッククラウドとの イベートな環境で、データセンター、ネット 顧客の奪い合いも予想され、慎重に投資を計 ワーク、サーバー、ストレージなどが稼働確 画することが求められる。 認済みの状態でサービスとして提供される。 データセンターの設計に、利用を予定して システムの運用やセキュリティなどをサービ いる企業とのすり合わせが必要になることも スにどこまで含めるかという点ではいくつか ある。例えば、近年はエネルギー効率の観点 のバリエーションが想定されるが、基本的に から、複数の企業が機器を設置しているデー はサーバー、ストレージ、ネットワークなど タセンターの共用スペースも、大きな部屋を を各種の仮想化技術や遠隔同期技術を用いて 分割して使う傾向にある。しかし主要な顧客 整合させるものであり、技術的には十分に実 と想定される金融機関では、公益財団法人金 現可能である。 融情報システムセンター(FISC)が定める安 重要なのは、バックアップ環境を含んだコ 全対策基準で、コンピュータ室・データ保管 ンピュータリソース一式が、動作確認され 室は「専用の独立した室とすること」が求め た状態で単一の事業者から提供されるとい られており、この基準の実務的な解釈を含め う点である。利用企業は、自社の IT 資産を て利用予定企業と協議することも必要になっ 縮小させつつ、システムが正センターと副セ てくる。 ンターのどちらで稼働しているのかなどを意 識することなく、理想的な動作環境をスピー ディーに入手できるようになる。 サービスの利用に当たって 「仮想データセンター」は低価格を売りに サービス提供側の課題 するサービスではないため、システムを全て 「仮想データセンター」は、2016 年後半 のため、利用を予定する企業は、現行システ から 2017 年にかけて、主要な IT サービス事 ムとの使い分けを含めて、適用範囲を慎重に 業者やデータセンター事業者などから提供が 検討すべきである。「仮想データセンター」 開始され、2 ~ 3 年で出そろうようになる見 の利点を生かすためには、自社システムを削 通しである。 減することや、監視運用もセットとなった ただし、サービス提供者側には課題もあ サービスを利用することも有効である。NRI る。このサービスを提供するためには、首都 では、「仮想データセンター」サービスの動 圏の他に、関西圏のようにこれまで相対的に 向を注視し、その利用の在り方を企業にアド ニーズの少なかった地域に同規模のデータセ バイスしていくつもりである。 移設すると大きな費用がかかるであろう。そ 2016.10 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. ■ 15 トピックス IT 部門に求められる人材のグローバル化 ─ グローバル事業に貢献する IT 人材の育成を目指して ─ 事業のグローバル化がますます加速している日本企業において、IT 部門も グローバル化が求められている。しかしこの変化に IT 人材がついていけず、 さまざまな問題が起き始めている。本稿では、グローバル化に対応できる IT 人材を育成する上での、課題・ポイントについて提言する。 野村総合研究所 システムコンサルティング事業本部 グローバル IT コンサルティング部 上級システムコンサルタント つ ち や あきよし 土屋 明義 専門は、システム化構想・計画策定や IT 組織・人材育成に関わるコンサルティング テムを標準化する「グローバル共通システ IT 部門を取り巻く環境の変化 ム」の展開、IT マネジメント・セキュリティ 人口減少に伴う国内市場の伸び悩み、労働 などガバナンスの強化、M&A 後の PMI(Post 力の縮小化に伴い、多くの日本企業は、海外 Merger Integration:経営・業務の統合プロ の新たな市場や労働力を求め、事業のグロー セス)、新興国の拠点設立対応などが挙げら バル化を加速させている。海外への進出にお れる。(図 1 参照) いては、販売・生産機能を持つ海外現地法人 このように、グローバル化を進める日系企 の設立や、自力による海外進出、M&A や JV 業の本社 IT 部門のメンバーは、海外拠点の (Joint Venture:共同企業体)など外部の経 メンバーと協働し、グローバルな IT 運営を 営リソースを活用した外部成長を含め、展開 リードしていく人材となることが求められて の形態が多様化している。このようなグロー いる。 バル化を背景に、IT 部門を取り巻く環境も 急速に変化してきている。 グローバル人材不足の IT 部門と そこから生じている問題 これまで事業の海外進出に伴う IT 運営に おいては、国別・拠点別に最低限のシステム を構築し運用する、現地に任せたスタイルを 取ってきた企業が多かった。とこ 図 1 事業のグローバル化と IT の変遷 ろが、前述の通り事業のグローバ これまで ル化の形態や範囲が拡大し、日本 の本社 IT 部門が、海外拠点のメ としては、本社主導で業務やシス 16 これから 事業・経営 ・国内中心 ・輸出入モデル、海外現法設立 ・グローバル最適化 ・海外自立化、M&A・JV IT 運営 ・拠点別システムの構築・運用 ・海外は IT の維持・運用中心 ・グローバル共通システムの構築・運用 ・グローバル IT 戦略、運営への巻き込み ンバーや海外ベンダーと協働する 機会が増えている。具体的な業務 では、グローバルに活躍できる IT 人材に →自力による海外展開 →国・拠点に閉じた IT 運営 →外部成長を含めた海外展開の加速化 →国をまたいだ IT 運営(影響範囲拡大) | 2016.10 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. はどのような能力が求 表 1 地域により異なる思考・行動特性の一例 められるのであろう 日本 アジア か。グローバル共通シ ・役割範囲はあいまい・相互補完 ・品質、精度へのこだわりが高い ・計画重視(リスク排除) ・調整型、改善が得意 ・高コンテクスト(あいまい) ・会議は説明・報告の場 ・役割範囲は属人的 ・品質・精度は運用しながら高め ていく ・実行重視(やってから考える) ・仲間意識、人間性重視 ・比較的高コンテクスト ・会議は説明・報告の場 ステムの導入を例に考 えてみたい。 これまで各海外拠点 に任せていたシステム 欧米 ・役割・責任範囲が明確 ・標準化・合理的 ・論理重視(理由・根拠) ・個人的、自己主張型 ・低コンテクスト、具体的 ・会議は議論の場 の構築・運用を、本社でグローバル共通シス 信者の意図が正しく伝わらないミスコミュニ テムとして用意し、海外拠点へ展開している ケーションに起因する問題を見てみたい。 企業が増えている。ネットワークやデータセ 日本人中心でプロジェクトを構成する場 ンター、全社共通のコミュニケーション基盤 合、メンバーの価値観や思考特性は似ている の構築や、アプリケーションの共通化など、 ことが多く、普段は意識していないが「あう 本社主導のグローバルプロジェクトは、本社 んの呼吸」や「行間を読む」ことを前提とし IT 部門が海外拠点のメンバーをマネジメン たコミュニケーションを取っている。 トし、協働して進めていくことになる。 例えば、プロジェクトにおいて「システム これらの担当者は、ビジネスで通用する英 仕様を確認する」というタスクがあった場 語力は当然として、価値観や思考の違いに対 合、日本人のメンバーであれば、システム仕 する受容力、コミュニケーション力、不測の 様書を読み、理解し、理解できない部分は関 事態への対応力、プロジェクトの推進力、確 係者やベンダーなどにヒアリングを行い、 かな専門知識などが必要になると筆者は考 その結果を資料にまとめる。場合によって える。 は、システムを変更した際の他のシステムへ しかし、多くの企業では、そのような人材 の影響や、その解決案を資料にまとめて報告 を十分に確保できていない状況である。独立 するところまでをイメージする人もいるだ 行 政 法 人 情 報 処 理 推 進 機 構(IPA) 発 行 の ろう。 「IT 人材白書 2013」によると、グローバル しかし、海外のメンバーにとって「仕様を IT 人 材 の 確 保 状 況 に つ い て、 大 幅 に 不 足 確認する」は、「仕様書を読み把握すること」 (58.9%) 、 や や 不 足(31.3%) と 実 に 約 でこのプロセスは完了すると考える人が多い 90%の企業が人材不足と答えている。そし のではないか。文字通り「確認する」のであ て、具体的には次のようなさまざまな問題が るから間違いではない。他にも、いわゆる 起き始めている。 (1)思考・行動特性の違い、ミスコミュニ ケーションに起因する問題 まず、国や地域による文化・教育などの違 いからくる思考・行動特性の違いにより、発 「報・連・相」が苦手な地域や、自分の役割 を超えた業務を行うことをよしとしない地域 など、地域による考え方や行動の違いは、枚 挙にいとまがない(表 1 参照)。 このような意識のずれがプロジェクトの遅 2016.10 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 17 トピックス 延や品質低下、トラブルにつながっていくこ とは容易に想像できる。 められることになる。 しかし、多くの日系企業の IT 部門では、 (2)不測の事態への対応力不足に起因する問題 IT 子会社や国内ベンダーとの役割分担のな たとえ海外メンバーとコミュニケーション かで、プロジェクトの予算管理やベンダー管 がうまく取れたとしても、上記のような思 理といった管理業務を中心に経験を積んでき 考・行動特性の違うメンバーと協働する場 たメンバーも多い。自ら現場を取り回す実務 合、日本では想像もできないような不測の事 経験や知識・技術力の不足により、現場への 態が多数発生する。 説明や問い合わせに対応できず、海外のメン 約束や時間が守られないことにはじまり、 相手のタスクとして当然完了しているはずの バーからの信頼を失ってしまったという声を 聞くこともある。 タスクが終わっていない、キーパーソンがプ ロジェクトの佳境に休暇を取る、または突然 離職してしまうなど、日本人の常識では考え られないような事態が発生する。 システムについても同様で、例えば頻繁に では、グローバル IT 人材を育成するには、 起きる停電や、不安定なネットワーク、取ら どのような手順で進めていけばよいのだろう れていると思っていたバックアップが取れて か。以下に、そのステップを示す。 いない、サポート切れの OS やソフトウェア ①グ ローバル化における IT 部門の機能と役 が多数存在していたなど、多くの不測の事態 割の方針立案 に遭遇することになる。しかし、計画通りに まず、将来、本社 IT 部門はグローバルに マネジメントすることにしか慣れていない日 おいてどのような役割を担うのか、またその 本人は、こういった事態に対し臨機応変に対 機能を海外にどのように配置していくのが最 応することが難しく、プロジェクトの QCD 適か、方針を立案する。 (Quality, Cost, Delivery)の低下につながっ ていくことが多い。 (3)専門知識の不足に起因する問題 例えば、本社がグローバル共通システムの 展開を加速し、「IT サービス領域」をリード していくのか、または、IT 戦略や予算、セ また、グローバル共通システムの導入にお キュリティなど、「ガバナンス領域」をリー いては、なぜその技術や方式を選定したの ドしていくのか、企業の統治形態(本社統制 か、海外メンバーにどのようなタスクを期待 型か、分権マネジメント型か、など)や事業 し、具体的に何を実行してほしいのか説明で 戦略なども踏まえ、本社 IT 部門が主導して きなければならない。当然海外メンバーから いく領域と、現地に任せていく領域を明確に は、実装のための仕様策定や技術に関する問 していくことが必要になる。 い合わせ、プロジェクト管理における具体的 ②多面的な人材要件の明確化 な相談やアドバイスなど、実務的な対応を求 18 グローバル IT 人材を育成するため に、企業がやるべきこと 次に、グローバル化に伴い、IT 部門に求 | 2016.10 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 件のリーダーを任せる。そして、今度はマネ 要件を明らかにする。その際には、プロジェ ジャーとして海外赴任を数年経験させ、最終 クトマネジメント力や設計スキルなど、IT 的に本社のグローバル IT 戦略部門でグロー に関するスキルや知識だけではなく、英語力 バル IT を推進する役割を担わせる。このよ や異文化理解力、コミュニケーション力、不 うなステップで、グローバル IT 人材の育成 測の事態への対応力など多面的な要件の定義 と、海外メンバーとの人的ネットワークの構 が重要になる。(図 2 参照) 築を同時に進める仕組みになっている。 IT部門に求められる人材のグローバル化 められる機能や役割を担うことができる人材 ③機会を重視した育成プランの策定 最後に、目指すべきグローバル IT 人材を 育成するために、現在の IT 人材の状況を棚 卸しし、育成プランを策定する。 グローバル時代における IT 部門の役割 今後、ますます日系企業のグローバル化が きるものではない。実際に海外業務に携わ 加速することが想定されるなか、IT 部門は り、自らが答えを出すしかない状況に置かれ グローバル IT 人材の拡充を、待ったなしで る経験を積むことが、最も実践的かつ効果の 求められている状況である。 高い方法であろう。企業としてはその環境、 前述のように、グローバル化における IT 制度を準備し、失敗を恐れずやらせてみるこ 部門の方針と人材要件の明確化、グローバル とが重要ではないだろうか。 経験機会提供の育成プランを、本社 IT 部門 例えば、グローバル人材の育成に積極的な ある企業では、IT 部門として、グローバル として改めてしっかりと検討すべき時期が来 ていると言える。 IT 人材の育成フレームを整備している。具 一方、これらグローバル人材育成の仕組み 体的には、国内の IT 部門で数年勤務の後に や環境の整備には、多くの関係者との合意形 海外赴任を経験させ、本社 IT 部門に帰任後、 成や評価制度の変更など、難しい課題が多 海外赴任時の人脈を活用できるグローバル案 く、労力や時間がかかることが想定される。 図 2 グローバル IT 人材に求められる能力(例) 他社の成功事例や、外部の知見などもうまく 活用し、国内外の関係者を巻き込み、変革の これまでの IT 人材要件 機運を醸成していくことが重要であると考 マネジメントスキル テクニカルスキル ビジネススキル 国籍や国内・海外にとらわれず人材の交流機 グローバル IT 人材に求められる能力 グローバル コミュニケーション力 不測の事態へ の対応力 える。 グローバル化を進める企業の IT 部門は、 + 異文化・多様性 受容力 │ グローバル事業に貢献するIT人材の育成を目指して │ 前述したスキルの多くは、教わるだけでで 確かな 専門知識 ビジネス 英語力 会、活躍機会を創出し、グローバル視点で IT 人材を育て、あるいは発掘・登用してい くことが、重要な役割の 1 つになるのではな いだろうか。 ■ 2016.10 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 19 トピックス 画面デザイン開発における意匠権の重要性 ─ 意匠制度改訂による IT 業界への影響 ─ 2016 年 4 月より、画像を含む意匠についての保護基準が改訂された。これにより、スマートフォンなどの画 面デザインも保護対象となった。今後、社会通念の変化に合わせてさらに保護対象が拡大することも考えら れ、IT 業界の画面デザイン開発の上で、意匠権の事前調査や権利化の重要性が高まっていく。 NRI サイバーパテント IP ソリューション開発部 副主任システムエンジニア ふ く だ え り こ NRI サイバーパテント 営業企画部長 た じ ま りゅうたろう 福田 瑛理子 田 嶋 龍 太郎 専門は特許情報検索サービスの 開発・保守・運用 専門は知的財産に関するサービス・ システムの営業・企画 意匠法で守られる物品のデザイン 4,800 万ドルを支払う合意に至ったことで話 題となった(訴訟は米国で現在も継続中)。 「意匠」とは、意匠法で「物品の形状、模 この訴訟では 4 つの意匠権(デザイン特許) 様若しくは色彩又はこれらの結合であって、 と 3 つの特許権について争われ、損害賠償の 視覚を通じて美感を起こさせるもの」(意匠 ほとんどは意匠権の侵害を理由にしたもので 法第 2 条)と定義されており、「物品のデザ あり、対象には画面デザイン(アイコンの配 イン」が保護の対象となっている。「意匠権」 置)が含まれていた(図 1 参照)。 は物品デザインの創作についての権利をい い、 「特許権」 「実用新案権」 「商標権」と並ぶ 産業財産権である。 保護を受けるためには、意匠を新たに創作 した者が特許庁に出願する必要がある。出願 画面デザインも意匠登録の対象 「物品のデザイン」と聞くと、自動車や洋 図 1 Apple 社が出願した画面デザイン した意匠は審査の結果、登録査定(審査官が 意匠登録を許可する査定)を受けることがで きれば、登録料を納付することで登録から 20 年間保護され、独占的に権利を有するこ とになる。このように強い権利であるがゆえ に、意匠権の戦略的な活用は、デザインが製 品やサービスの付加価値を左右する分野では 非常に重要となっている。 例えば、米国 Apple 社の韓国サムスン電子 社に対する知的財産侵害訴訟では、2015 年 にサムスン電子社が Apple 社に対し約 5 億 20 米国デザイン特許 D604,305S | 2016.10 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 服といった立体的なモノが対象であると考え らかじめ」の部分が削除され、 「物品に記録 がちだが、実は画像なども対象になる。 された画像」が保護の対象となった。これに 2006 年の意匠法改正において、画面デザ より、デジタルカメラや複写機などにおいて インの審査基準(登録の対象)として「物品 機能のアップデートによって追加された画像 にあらかじめ記録された画像」(機器の組み や、PC、スマートフォン、タブレット端末 込み画像)が規定された。例えば、デジタル などの OS のバージョンアップやアプリのイ カメラやカーナビゲーションなどにおいて、 ンストールによって利用できるようになった 操作に利用する画像や、機器の状態を表す画 付加機能の画像が、「○○機能付き電子計算 像など、あらかじめ機器に記録されている画 機」といった物品として意匠登録の対象と 像も意匠として保護を受けることができる。 なったのである(次ページ表 1 参照)。なお、 一方で「あらかじめ記録された」という条 ここでいう「電子計算機」とは意匠法では 件からは外れてしまう PC やスマートフォン、 PC やスマートフォン、タブレット端末など タブレット端末などにインストールされた画 を指す。 面のデザインは、意匠権の保護対象とはなら 意匠審査基準の改訂は、物品の概念など、 ず著作権のみが保護対象となっていた。その 時代の変遷に合わせて今後も行われる可能性 ため、類似デザイン(明らかな模倣品である があるため、制度の変化を常に注視する必要 デッドコピーを除く)に対しては、対抗する がある。 ことができないなどの課題があった。 意匠審査基準の改訂で 画面デザインの対象範囲が拡大 制度改訂による IT 業界への影響 前述の通り、スマートフォンなどにインス トールされたアプリの画面デザインは、著作 情報技術の急速な進展により、従来は携帯 権と意匠権の双方から保護対象となった。そ 電話、デジタルカメラ、音楽プレーヤー、 のため、自社のデザインを意匠登録すること ポータブルゲーム機といった専用機がそれぞ で、他社製品が自社の画面デザインと類似し れ担っていた役割を、スマートフォンやタブ ている場合は差し止めを求めることができる レット端末などにアプリをインストールする ようになる。一方で、他社が創作した画面デ ことで、1 台の機器で実現することができる ザインの意匠権への注意を怠ると、突然、自 ようになった。 社製品の画面デザインが類似していると訴え こうした変化に合わせて、2016 年 3 月に られ、そのデザインが使用できなくなること 画面デザインに関する意匠審査基準の改訂が が起こり得る。このように自社の製品・サー 実施され、2016 年 4 月以降の出願から適用 ビスについて、開発の早い段階で新たな意匠 された。具体的にはこれまでの「物品にあら 権の取得および活用を検討し、対応すること かじめ記録された画像」という基準から「あ が必要である。また、他社が保有する意匠権 2016.10 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 21 トピックス 表 1 意匠制度の改訂により新たに意匠登録となる画像 意匠審査基準改訂のポイント ■ 物品で用いられる画像について、物品に「あらかじめ記録」された画像であることを求める現行の基準を緩和し、時期を問わず、物品に「記 録」されたことをもって物品と一体化した「意匠」を構成する画像と認め、意匠登録の対象とする。 ■ 具体的な機能を実現するソフトウェアのインストールによって電子計算機に記録された画像を、付加機能を有する電子計算機(意匠に係る物 品「○○機能付き電子計算機」)の「意匠」を構成する画像と認め、意匠登録の対象とする。 ■ 物品の外部からの信号によって表示される画像、物品から独立したコンテンツの画像は、引き続き、登録の対象としない。 従来登録の対象としていた画像 今回登録の対象として追加する画像 ●物品に「あらかじめ記録」された画像 ●物品に「記録」された画像 ・デジタルカメラ等、特定用途の機器にあ ・左記の機器が有する機能のアップデートの画像 らかじめ記録された画像 ・電子計算機(パソコン、タブレットコンピュー タ、スマートフォン等)に記録された具体的な 機能の画像 →「○○機能付き電子計算機」の意匠として出願 引き続き登録の対象とならない画像 ●外部からの信号等による画像を表示したもの ・ウェブサイトの画像 ・インターネットを介して使用するソフトウェア の画像(クラウドコンピューティングを含む) ・テレビ番組の画像 ●映画等(コンテンツ)を表した画像 ・映画、ゲームの画像等 特許庁「意匠制度の改正に関する説明会」資料より NRI 作成 の侵害回避についても、これまで以上に事前 前調査が重要となってくる。ここでは、具体 調 査 を 行 い、 適 切 な 考 慮 と 判 断 が 求 め ら 的に出願前に行う「先願調査」と、他社より れる。 先行してデザインを創作していたことを証明 ソフトウェア開発の現場では、顧客から 「○○というサービスのような画面にしたい」 する「先使用権」について述べたい。 (1)権利化に向けた先願調査の必要性 という要望を基に画面の開発を行うことがあ 開発しようとしている画面デザインの意匠 る。これまでは要望に挙げられた画面デザイ 権を得るためには、まず初めに類似デザイン ンをデッドコピーしなければ権利上は問題な が意匠登録されていないことを確認するため かったが、これからは参考とする画面デザイ の調査が必須である。これは意匠が、最初に ンにとどまらず、開発中の画面デザインと類 出願したものに権利が与えられる「先願主 似するデザインが第三者によって意匠登録さ 義」を採用しているためである。 れていないかを確認する必要がある。 意匠が似ているかどうかの条件は、特許庁 また、今回改訂された審査基準では、PC が公表する審査基準に記載されている。自分 やタブレット端末といったクライアント端末 が考えた意匠と他者の意匠の「物品」 「画像 に加えてサーバーも「電子計算機」の概念に の用途と機能」「形態」の全てにおいて、同 含まれる。サーバーを運営する事業者は、画 一または類似であった場合には両意匠は類似 像を含む意匠登録の実施やその意匠権の侵害 することになる。調査方法としては、特許庁 に注意が必要である。 発行の意匠公報や、特許・実用新案、意匠、 商標を簡易検索できるサイトがあるが、画面 画面デザインの意匠権の取得 22 デザインの確認としては効率的とは言え ない。 これまで説明した通り、画面デザインを守 この調査手段の 1 つとして、NRI サイバー るためにはスピーディーな意匠権の取得と事 パテントはインターネット知財情報サービス | 2016.10 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 面デザインを創作していたことを証明するこ サービスを提供している。この Web サービ とができればその意匠権に対抗することがで スはサーバー設置や特別なソフトウェアのイ きる。これを「先使用権」という。 ンストールは不要で、検索画面で出願人・意 2016 年 5 月に特許庁が公表した先使用権 匠権者や意匠の物品など、意匠公報に記載さ 制度に関するガイドラインの中で、先使用権 れているさまざまな項目を対象とした検索が 確保における具体的手法の 1 つとして電子タ 可能である。検索結果一覧や公報表示は図面 イムスタンプが推奨されている。電子タイム 確認のしやすさを意識した設計となってお スタンプは、それを付与したファイルについ り、効率的に検索を行うことができる。 て、いつから存在しているか、変更や改ざん 調査の結果、似たようなデザインが先に出 願されていた場合でも、当該の出願内容を理 が行われていないかを客観的に証明すること ができるものとして注目を集めている。 NRI サイバーパテントでは 2010 年より電 開発していけば、他社からの指摘・訴訟を回 子タイムスタンプ「Cyber Date Stamp」を提 避することが可能である。まずはしっかりと 供しており、検索ツールと一体で利用するこ 調査をした後に、知財部門の担当者などと対 とができる。画面デザインだけではなく、 応を協議したい。 ソースコードやプログラムデータのファイル い段階で調査を行い、似た意匠の出願がな │ 意匠制度改訂によるIT業界への影響 │ 解した上で侵害しないような画面デザインを また、画面デザインが完全に固まっていな 画面デザイン開発における意匠権の重要性 「NRI サイバーパテントデスク 2」で意匠検索 にもタイムスタンプを押すことが可能で ある。 かったからといって安心することは危険であ 産業財産権分野では、独立行政法人工業所 る。システム開発では開発の進展とともに画 有権情報・研修館(INPIT)によるタイムス 面デザインが少しずつ変化していくことが多 タンプ保管サービスが 2017 年 3 月から開始 いため、少なくともデザインが完全に確定す 予定となっており、今後さらなる利用促進が るまでは、他社の意匠権を開発の節目で調査 見込まれている。 していくことが必要である。 「NRI サイバー パテントデスク 2」は、あらかじめ検索式を 製 品・ サ ー ビ ス に お け る UI(User セットしておくと毎週発行される新着公報を Interface)や、UX(User Experience:ユー 対象に自動検索を行い、検索結果をメールで ザーがサービスを通じて得られる体験)の重 配 信 す る SDI(Selective Dissemination of 要性が高まるなかで、画面デザインの開発に Information)機能を提供しており、定期的 おける意匠権を含む知的財産権に関する対応 な意匠調査を支援している。 が、これまで以上に重要となってくる。今回 (2)先使用権制度の活用 の意匠審査基準の改訂は、IT 企業にとって 自社で開発中の画面デザインと類似する意 画面デザインをはじめとする意匠だけではな 匠を、他社に先を越されて出願され意匠権を く、特許を含めた知的財産戦略を改めて検討 取得されたとしても、出願前に自社が既に画 するよい契機ではないだろうか。 2016.10 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. ■ 23 海外便り BPO 業務マネジメントのポイント ─ NRI 大連の取り組みから ─ 野村総合研究所(大連)有限公司(NRI 大連)は、2010 年に NRI グルー プの BPO 事業の拡大を目的に設立された。本稿では BPO 業務のマネジメ ントのポイントと、NRI 大連の BPO を中心とした取り組みや、企業概要 と特徴について紹介する。 NRI 大連 副総経理 兼 資産運用 BPO サービス一部長 きん れいけん 金 麗妍 専門は BPO プロジェクトのマネジメント NRI 大連の BPO サービスの概況 サ ル テ ィ ン グ 関 連 の KPO(Knowledge Process Outsourcing:知的生産活動の業務 昨今さまざまな目的で、日本でもビジネ 委託)サービスを提供している。特に ITO、 ス・プロセス・アウトソーシング(Business KPO 業務は、入力業務などいわゆるローエ Process Outsourcing:以下 BPO)が盛んに ンドなオペレーション業務とは異なり、習得 行われている。BPO とは企業が主に運営上 が難しく高いコミュニケーションスキルも要 のコア業務以外の業務やビジネスプロセス 求される。 を、専門企業に外部委託することを指す。 売上と利益も順調に拡大しており、人民元 野村総合研究所(NRI)グループは IT サー ベースで会社設立 3 年目から単月黒字化を実 ビスのアウトソーシングを主力事業としてい 現、同 4 年目からは累積黒字化を実現し、安 るが、IT サービスの周辺業務まで一括して 定した経営を続けている。 受託する BPO へ業務範囲を拡大してきた。 サービス面でも各プロジェクトの顧客満足 その需要を満たすべく、2010 年 9 月に中国 度評価では、要望理解、人材、品質の面で 5 大連市で BPO サービスを主力事業とする拠 点満点中平均 4 点以上という評価を受けて 点、NRI 大連を設立した。 いる。 NRI 大連は設立以来順調に業務を拡大し、 2016 年 3 月末時点では社員、ベンダーを合 わせて約 400 名の規模に達した。主に資産 運用、証券、投資情報など金融分野のバック 24 BPO マネジメントのポイントと NRI 大連での取り組み オフィス業務の BPO サービスおよび NRI 本 BPO サービス提供者は高い生産性、高い 社 向 け に シ ス テ ム 運 用 関 連 の ITO 品質のサービスを、長期にわたり安定的に顧 (Information Technology Outsourcing:情 客に提供することが重要である。さらに、顧 報システム関連の業務委託)サービス、コン 客の業務拡大の要望にもタイムリーに応えら | 2016.10 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. れる必要がある。 組織と人を変えて同じやり方を継続するだけ これらを実現するために、BPO 業務の計 では、BPO のメリットが発揮できない。業 画的なマネジメントは極めて重要である。筆 務移管にあたり、業務のプロセスを整理し、 者自身は NRI でシステム開発および運用分野 標準化と明文化を行うことは重要である。 も経験しているが、BPO のプロジェクト推 複雑で属人化した業務であっても、体系立 進、品質管理やマネジメントは、システム開 てて整理することは可能なはずである。安易 発に通じる部分が大きいと考える。 にあきらめてしまうと BPO 事業の大きなリ NRI 大連では、NRI がシステム開発で培っ スクとして残ることになり、いつかはそのリ てきた PDCA サイクルの運用手法を、十分に スクが顕在化し事業そのものにダメージを与 活用しながら BPO を運営している。ここで えることになる。標準化については生産性や BPO の実務経験を通じて感じた BPO マネジ 品質要素まで考慮して設計すべきではある メントの重要なポイントについて共有し、加 が、多くのプロジェクトの現場においては予 えて NRI 大連の取り組みを紹介したい。 算、移管の進捗なども考慮する必要があるの (1)サービス要件の明確化 BPO は企業内組織もしくは企業をまたい しんちょく で、段階的に取り組むことも考えられる。 NRI大連では各業務の標準化を行った後に、 で業務プロセスを委託するため、サービス内 業務手順について業務フロー・業務マニュア 容、サービスレベル、業務方法などの要件を ルでの明文化を義務付けている。記載レベル 明確にすることが重要である。 についてはドキュメントの品質、メンテナン NRI 大連では今のところ NRI グループ経由 ス性や利用時の利便性を意識した基準を設け の業務委託がほとんどだが、この関係の中で ている。これらのドキュメントは業務遂行の あっても業務範囲、業務手順、品質要求レベ 品質向上に寄与するだけではなく、前述の業 ル、納期要求レベル、セキュリティ要件、運 務標準化設計、後述の属人化排除・教育など 営要件などの業務規定を丁寧に決めてから作 の活動においても重要な役割を果たしている。 業を開始している。この点において双方が共 (3)属人化の排除 通認識を持って、より早い段階から要件定義 オペレーション業務は、前述のように業務 に取り組むことができたプロジェクトほど 委託元では属人化されている傾向が強い。属 BPO の品質が高く、双方の満足度も高い結 人化の排除は中長期的な安定運用およびコス 果になっている。 トパフォーマンスを出す上で重要なポイント (2)業務の標準化と明文化 になる。 オペレーション業務は、業務委託元で長年 NRI 大連では属人化排除を常に意識して運 の経験を持つ人が担当している場合が多い。 営に取り組んでいる。業務の明文化はその手 さらに業務そのものは担当者の裁量に任され 段の 1 つだが、組織内において業務の共有を ていることが多く、標準化や明文化ができて 意識的に実施している。その 1 つとして、業 いない場合が多い。業務を委託された側も、 務スキルマップを利用して社員の業務の習熟 2016.10 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 25 海外便り 度を定量的に見える化し、業務の共有度合い め、金額・納期の見積もりを作成することも を定期的に評価している。 重要である。BPO 業務は種類が多く、業務 (4)効率的な教育 ごとに難易度が異なる、繁忙期と閑散期の業 教育においては職人的な育成方法ではな 務量の差が激しい、業務ごとに粒度が違うな く、人員流動性や業務拡張を考慮し、教育プ どの理由から精度の高い見積もり作成は難し ロセスの効率を意識したスキームを確立すべ いが、ここを明確にしないまま業務をスター きであると考える。 トすることは後のトラブルにもつながる。 NRI 大連では業務の特徴に合わせた合理的 NRI 大連は NRI グループ間の取引がメイン な教育カリキュラムを検討かつ設計した上 ではあるが、定量的な見積もりをしてから業 で、業務フローや業務マニュアルなどのド 務を受託するように注意を払っている。見積 キュメントも活用しながら教育を実施してい もりにおいては業務の手順、量、納期、スキ る。一度設計した教育カリキュラムは固定化 ル要求などを明確にした上で、管理工数を含 されるものではなく、チーム規模の変化、ス めた業務のトータル工数にピーク時の処理能 キル要求の変化、業務拡大の状況などの変動 力を加味して、体制要件とコストを導き出す 要素も考慮しながら、適宜見直す作業も実施 ようにしている。特に見積もり作成時には、 している。さらに、習得状況の評価方法や合 ピーク対応の考慮を忘れがちなので、考慮ポ 格基準を設けて教育プロセスも定量的に評価 イントに入れるべきである。 できるようにしている。 (5)プロジェクトを統括するマネジャーの重 要性 BPO 業務においては、プロジェクト計画 の策定および推進、顧客との各種調整、収支 BPO の効果を最大限に発揮するために、 管理、人員調達、人材育成、運営スキーム検 NRI 大連ではセキュリティの確保や高度な人 討、セキュリティ管理、BCP(事業継続計画) 材育成、社員の定着化などさまざまな取り組 検討など、業務遂行そのものを支える基盤づ みを行い、業務を安定させている。最後にそ くりまで含めて、全体をコントロールするマ の特徴をご紹介したい。 ネジャーの役割は極めて重要である。特にプ (1)強固なインフラとセキュリティ ロジェクト全体を統括するマネジャーは、 日本との国際回線は 2 重化された IP-VPN 日々の業務から解放され、マネジメントに専 (通信事業者が単独で構築・運用する閉じら 念できるようにすることが望ましい。 NRI 大連では、BPO のマネジメントスキル を向上させるための教育を実施している。 (6)金額とスケジュールの見積もり 管理タスクを含めた業務量を正しく見極 26 BPO 業務を支える NRI 大連の特徴 れた回線網)を利用しており、セキュリティ と品質を確保している。さらに現地キャリア の部分は、2 つのキャリアで冗長化をして いる。 セキュリティ対策においては、NRI のガイ | 2016.10 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. の 制 度 的 な 背 景 が そ こ に あ る。 と り わ け 切に運用している。また定期的に NRI 本社関 BPO 業界においてはその傾向が強い。理由 係部署の内部監査および点検を受けているだ としては、ローエンドな業務が主流であるが け で な く、 外 部 監 査 機 関 の 点 検 も 受 け て ゆえに給与水準が低く、少しでも条件のよい いる。 企業に人材が流れやすいからである。 (2)社員の日本語能力と学歴の高さ BPO業務マネジメントのポイント ドラインに従い、自社にてルールを制定し適 しかしながら NRI 大連の離職率は、年間で 10%前後であり、これは BPO 業界内では極 N1 級(最上級)に合格しており、全員が日 めて低い数字となっている。NRI 大連では 本語による高度なビジネス会話が可能であ BPO の中でも人材育成に時間がかかる高度 る。また、約 5 割が日本に留学経験があり、 な業務を実施していることもあり、雇用した 3 割が 1 年以上日本で就業している。これだ 社員には長期にわたり働き続けてもらいたい け日本に精通した人材を抱えている点は、中 と考えている。社員に対しては、オペレー 国 BPO 業界の中でも突出している。 ションスキルだけでなくマネジメントスキル 社員は、基本的に全員が大学卒業以上であ も向上させるための指導を意識的に実施して り、3 割が大学院修士課程を卒業している。 おり、成長を実感できる環境にある。また、 最終学歴が高校卒業、専門学校卒業が多い中 当社がハイエンドの BPO 領域を得意として 国 BPO 業界において、極めて特徴的である。 いるため、日本での OJT が重要でありその機 このような高度な日本語能力と専門知識を持 会が多いことが評価されている。これらが つ人材により、高品質で付加価値のある業務 NRI 大連の離職率が業界平均より低い理由で の提供を可能にしている。 あると考えられる。 │ NRI大連の取り組みから │ NRI 大連の社員の約 9 割は日本語能力試験 (3)社員教育 NRI 大連では、社員に資格の取得を積極的 大連はかつて多くの日本人が在住していた に推奨している。例えば BPO 業務に従事す こともあり、日本語に堪能な人材が多く、日 る社員のうち約半数が日本商工会議所(日 本になじみのある土地柄である。NRI 大連は 商)簿記 3 級以上の資格を、約 2 割が証券外 その地の利も生かして活気と向上心にあふれ 務員二種の資格を取得している。また、ITO た環境づくりを進めている。顧客企業のオ 業務に従事する社員の約半数が、基本情報技 フィス視察を受け入れることも多く、NRI 術者試験(FE)に合格している。 大連社員の「勤勉さ・向上心・向学心に感心 (4)離職率の低さ 業務委託先の離職率は、委託元から見た大 させられた」といった評価が寄せられて いる。 きな関心事である。中国では若者の転職は一 会社設立から 5 年が経過し、まだこれから 般的である。転職によりキャリアアップを実 ではあるが、豊富で優秀な人材を活用し、ぜ 現する、もしくは高待遇を得るという若者の ひ NRI 大連に仕事を頼みたいと思われるサー 就職観と、一般的な企業は退職金がないなど ビスを提供していきたい。 2016.10 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. ■ 27 NRI Information 単 行 本 ● FinTech の衝撃 ─金融機関は何をすべきか─ NRI の 上 級 研 究 員 城 田 真 琴 に よ る 最 新 刊 『FinTech の衝撃』が、発行されました。 同書は、『クラウドの衝撃』『ビッグデータの 衝撃』など、「衝撃」シリーズの第 4 作。脅威 か? チャンスか? 金融機関に忍び寄る“破 壊者”の正体を徹底解説します。FinTech サー ビスの単なる紹介にとどまらず、豊富なデータ や図表を基に、FinTech の現状と今後の見通し を分析しています。 野村総合研究所 城田 真琴 著 東洋経済新報社 発行 2016 年 8 月 26 日発行 定価:本体 1,800 円+税 定期刊行物 ●知的資産創造 NRI グループの総合情報発信誌「知的資産創 造」は、知的資産創造活動を展開しているプロ フェッショナルが執筆した時代のニーズに応え るタイムリーな情報をお届けしています。 8 月 20 日 に 発 行 さ れ た 9 月 号 で は、 特 集 「FinTech と は 何 か 」 と 題 し、NRI 役 職 員 が FinTech の全体像と今後の展望を分かりやすく 解説しています。定期購読のほか、NRI 公式 ホームページでもご覧になれます(最新号から 過去 2 カ月分までの新刊については目次のみを ご紹介) 。 詳細はこちら 28 発行時期: 毎月 20 日発行 誌型: A4 変形版・ 80~100 ページ http://www.nri.com/jp/opinion/chitekishisan/index.html | 2016.10 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. ニュースリリース ■ NRI デジタル、国内有力マーケターと 「オムニチャネル研究会」を発足 NRI グループのデジタルビジネス専門会社、NRI デジタルは、8 月 31 日、デジタル社会における革 新的なサービスやビジネスモデルを探索する「オムニチャネル研究会」を発足しました。「業界を超 え、顧客経験価値創造のイノベーションを促進」をテーマに先進企業のマーケティングリーダーと学 術研究者が融合し、デジタル変革によるマーケティングのあるべき姿について議論を深めていきま す。発足にあたっては、日本マーケティング学会常任理事でもある、食材宅配のオイシックス社・奥 谷孝司 COCO(最高オムニチャネル責任者)がアドバイザーに就任。研究会では、次世代のオムニ チャネル・マーケティングのモデルを構築することを目的に、産学連携での研究活動を進めます。 2016 年度は、オムニチャネル先進企業の取り組みケースから、モデル作りの基礎情報を抽出する予 定です。 詳細はこちら http://www.nri.com/jp/news/2016/160831_1.html ■ NRI セキュアテクノロジーズが 「サイバーセキュリティ傾向分析レポート 2016」を発表 NRI セキュアテクノロジーズは、自社が顧客企業などに提供した情報セキュリティ対策サービスを 通じて蓄積したデータを基に、最新の動向分析と推奨する対策を、「サイバーセキュリティ傾向分析 レポート 2016」としてまとめました。本レポートは、企業や公的機関の情報セキュリティ対策の推 進を支援する目的で、2005 年度以降、毎年発表しており、今回で 12 回目となります。今回のレポー トで注目される内容は、以下の 4 点です。 ・標的型メールを開封してしまう割合に大きな改善は見られない ・マルウェア付きメールの流入には添付ファイルの拡張子による制御などが効果的な場合もある ・Web アプリケーションが抱える脆弱性の約 3/4 は、機械化された検査では発見できない ・企業が把握している外部向け自社 Web サイトは半数 詳細はこちら http://www.nri.com/jp/news/2016/160818_1.html 2016.10 | レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 29 NRI Web Site www.nri.com/jp NRI 公式ホームページ 会社情報 NRI グループの CSR 活動 www.nri.com/jp/csr IR 情報 www.nri.com/jp/ir 事業・ソリューション別のポータルサイト コンサルティング www.nri.com/jp/products/consulting 日本における先駆者として社会や産業、企業の発展に貢献してきた コンサルティングサービスを紹介 未来創発センター www.nri.com/jp/souhatsu アジア・日本の新しい成長戦略に関わる NRI の取り組み、研究成果の 情報発信、政策提言などを紹介 NRI Financial Solutions �s.nri.co.jp 金融・資本市場に関わる NRI の取り組みについての情報発信、 政策提言、IT ソリューションを紹介 産業 IT ソリューション www.nri.com/jp/products/sangyo 流通業やサービス業、製造業などさまざまな産業分野のお客さまに 提供するソリューションを紹介 IT 基盤サービス www.nri.com/jp/products/kiban 産業分野や社会インフラを支えるシステム、システムを安全・確実に 運用するためのソリューションを紹介 BizMart www.bizmart.jp 企業間業務や生・配・販を中心とするさまざまな業種の業務効率化を 支援するソリューションを紹介 グループ企業・関連団体の Web サイト NRI ネットコム インターネットシステムの企画・開発・設計・運用などのソリュー ションを提供 www.nri-net.com NRI セキュアテクノロジーズ www.nri-secure.co.jp 情報セキュリティに関するコンサルティング、ソリューション導入、 教育、運用などのワンストップサービスを提供 NRI データ i テック www.n-itech.com IT 基盤の設計・構築・展開と稼働後のきめ細かな維持・管理サー ビスを提供 NRI サイバーパテント www.patent.ne.jp 「NRI サイバーパテントデスク」など、特許の取得・活用のための ソリューションを提供 NRI 社会情報システム www.nri-social.co.jp 全国のシルバー人材センターの事業を支援する総合情報処理シス テム「エイジレス 80」を提供 NRI プロセスイノベーション www.nri-pi.com 中国でのオフショア業務などで培ったノウハウを活用した業務 支援サービスを提供 NRI システムテクノ www.nri-st.co.jp 味の素グループに情報システムの企画・開発・運用サービスを提供 だいこう証券ビジネス www.daiko-sb.co.jp 証券業務に関わるさまざまなミドル・バックサービスをワンストップで 提供 NRI デジタル www.nri-digital.jp デジタルビジネスコンサルティング、デジタル IT ソリューション、デ ジタルアナリティクスのサービスを提供 野村マネジメント・スクール www.nsam.or.jp 日本の経済社会の健全な発展および国民生活の向上のために重要な 経営幹部の育成を支援する各種講座を開催 Worldwide NRI グループ(グローバル) NRI Financial Solutions(英語) NRI アメリカ brierley+partners NRI 北京 NRI 上海 www.nri.com/global �s.nri.co.jp/en www.nria.com www.brierley.com beijing.nri.com.cn/jp consulting.nri.com.cn ■ IT ソリューションフロンティアについて 30 NRI FT India NRI APAC NRI 香港 NRI 台湾 NRI ソウル NRI インド www.nri�ntech.com www.nrisg.com www.nrihk.com www.nri.com.tw www.nri-seoul.co.kr india.nri.com 本誌の各論文およびバックナンバーは NRI 公式ホームページで閲覧できます。 本誌に関するご意見、ご要望などは、[email protected] 宛てにお送りください。 | 2016.10 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 編 集 長 編集委員 編集事務局 野 呂 五十嵐 梅 屋 河 西 木 闇 武 富 角 田 引 田 吉 川 和 田 直 子 卓 真一郎 敏 靖 憲 一 康 人 勝 健 一 明 充 弘 瀬 戸 優花子 内 山 川 口 北 香 山 田 實 登 坂 宮 原 和 栗 昇 剛 弘 俊 一 満 成 郎 和 生 由香理 一 雄 中 沢 健 夫 2016 年 10 月号 Vol.33 No.10(通巻 394 号) 2016 年 9 月 20 日 発行 発行人 此本 臣吾 発行所 株式会社野村総合研究所 コーポレートコミュニケーション部 〒100-0005 東京都千代田区丸の内 1-6-5 丸の内北口ビル ホームページ www.nri.com/jp 発 送 NRI ワークプレイス株式会社 ビジネスサービスグループ 〒 240-0005 横浜市保土ケ谷区神戸町 134 電話 045-336-7331(直通) Fax.045-336-1408 本誌に登場する会社名、商品名、製品名などは一般に関係各社の商標または登録商標です。 本誌では ®、 「TM」は割愛させていただいています。本誌記事の無断転載・複写を禁じます。 Copyright © Nomura Research Institute, Ltd. All rights reserved. レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. www.nri.com/jp