新着Pick
417Picks
Pick に失敗しました

人気 Picker
1、悪意を持って公開するのであれば手段はGitHubである必然はない。むしろ、身元が特定されるため別の手段を用いる方が自然である。そのため、悪意ある公開だと推測することはできない。

2、ソースコードの流出がセキュリティリスクに直接的に結びつくことはあまりないし、そのように設計するのが普通であるが、場合によっては脆弱性の発見されるリスクはありうる。また、当該コードが、現役で動作していることを示す情報は何もない。そのため、発注側・開発側企業の直接的な顧客情報セキュリティに関する問題とはいえない。

3、「年収診断」のサービスを利用するのに、「公開」されたGitHub上のコードである必要性はない。非公開の情報も含めて、認可することで診断される物が多いだろう。そのため年収診断サービスの問題とも言えない。

これら三つから、GitHub、発注元企業、年収診断企業の直接的な問題があるとはいえる状況ではない。

もちろん、開発会社にとって当該エンジニアの管理責任等はあるであろうがソフトウェアエンジニアである以上、十分な知識を持った人物が悪意を持ってソースコードを漏洩することを事前に防止しようとすることはあまりリーズナブルな行為ではない。そのため、コード自体は漏洩するものとして、セキュリティ設計をすることが一般的である。

そのため、現在エンジニアコミュニティの一部は、本件を持って企業におけるエンジニア管理を強化されることに対して敏感になっている。

また、本件をもって公開していた当該人物を取り巻く環境について邪推したり、思い込みによって何かに対して攻撃的にすることは百害あって一理もない。
月並みなことを言うと、リモートワークの普及も考えると委託先の管理はより重要になってくる。併せて受託側の教育もしっかりやっていく必要がある。

原因が「わからない」というのは、本当かどうか分からないが、管理的な観点から言えばかなり厳しい状況かと。
IT業界において業務委託に関わる事案は古くて新しい課題です。個別の業務委託関係だけでなく、今は、一種のサプライチェーン(ITサプライチェーン)リスクとしてとらえる必要があります。また、相互の管理策についても、今回のGitHubへのソースコード公開と瞬時の拡散のように、以前は想定していなかったリスクへの対処が求められるようになりますね。
最近、技術者倫理について質問を受けることが多く、しかし大抵の問題は「技術者倫理とかではなく一般的な倫理感覚で判断出来る」と思っていたのだが、今回のケースは、本人のツイートを見る限り、あまり悪意のあるものには見えない。
githubが何かを理解しているようには見えないし、「年収推定のためにコードをアップロードしてね!」という理解で、公開されるのも知らずにアップロードしたのではないか、という気がする。
(それでもダメなのだが)
「公開されるのを知らない」というのは「無知」なのでどうにもならないが、「そもそも請け負った納品物を私用で使ってはいけない」という部分は、倫理教育でどうにかなるかもしれない。

「多重請負」という構造が問題で、上流工程については、十分に倫理教育を施すことが可能だと思うが、下流については、「未経験歓迎!」みたいな求人も多く飛び交っており、あまり学習をさせずに現場に放り込む、ということも少なくないため、こうしたことは確かに起こってもおかしくないし、氷山の一角なのかもしれない。
ではどう防ぐかと言われると、テレワークで個人のPCで作業することも増えていそうな昨今において、なかなか難しい問題となる。やはり旧来の制限をかけるのが効果的な対策となるが、そうなるとテレワークとの両立が難しい上、自由なソフトウェアの使用ができなくなるため、開発環境として劣悪なものにもなりやすい。

「エンジニアの自由度」と「事故が起きない環境づくり」は相反する部分がかなりあるため、エンジニアのレベルに応じた環境づくりをしていくしかない気がするが、それを上流工程から制御するのは非常に難しい気がする。


これは余談だが、弊社はプログラミングのコンテストサイトを運営しているのだが、コンテスト中に誤ってgithubにソースコードをアップロードして公開してしまう人は、実はそれなりの数がいる。
毎回注意して回っているし、コンテストならそんなに大きな問題にならないので良いが、こうしたケースを見ていると、このような事故は今後頻発するのではないかと思っている。
この件ですよね。
https://newspicks.com/news/5574291/

本人の当事者意識の低さなど、色々モヤモヤします。
オープンソース過ぎる


追記
警察庁のソースコードも流出してるのか
https://togetter.com/li/1659308

刺青有無とか断指有無とか生々しいな
https://twitter.com/shao1555/status/1355230376197648384?s=21
これによってGitHubに悪い印象を持たれないかが心配ですね。

GitHubは元々誰でもソースコードを見られるようにするオープンなサービスなのでプライベート(限定)公開の方が機能としてはマイナーだと思います。

ここに書かれているよにエンジニアの転職ではGitHubに書かれているコードを見てその人のスキルレベルを判断するのも一般的に使われてる手法で、特殊なケースでもないと思います。

社内や個人レベルで何を公開してよくて、何を公開してはダメなのか、ちゃんとセキュリティに対する知識を共有しておかないとまた似たような事は起きてしまうと思います。
新卒がジョブ型採用でないから、丸投げすることになるんでしょうね。
他の方も書いてますが、リモートマネジメントの状況下では定期的な啓もう活動くらいしか止めうる術がないような気がします。
個々の仕事環境や状況を細かくモニタリングすることは出来ないので、ある程度は性善説に立ちつつ、適度な啓蒙活動による抑止力を働かせることが大事かと。
こういうサイトを意図的に作っておいて、ここに、こうやって応募してくる人たちを検出する目的で活用すれば、将来起きるだろう本当にマズいソースコードの流出を防止できるかも…と思いました。

今回は、実害ない漏洩でしたが、これは氷山の一角なので、マズい漏洩が起きるのも時間の問題…いや、もう発生していても、何の不思議もありません。

※個人的な見解であり、所属する会社、組織とは全く関係ありません
株式会社三井住友銀行(みついすみともぎんこう、英語表記:Sumitomo Mitsui Banking Corporation 略称:SMBC)は、大阪本店を大阪市中央区北浜四丁目6番5号に置き、東京本店を東京都千代田区丸の内一丁目1番2号に置く、三井住友フィナンシャルグループ傘下の都市銀行。3大メガバンクの一角を占める。 ウィキペディア

業績

株式会社三井住友フィナンシャルグループ(みついすみともフィナンシャルグループ、英語: Sumitomo Mitsui Financial Group, Inc.)は、三井住友銀行(SMBC、都市銀行)、三井住友ファイナンス&リース 、SMBC信託銀行 、三井住友カード(クレジットカード会社)、日本総合研究所、SMBC日興証券を傘下に置く金融持株会社である。 ウィキペディア
時価総額
5.08 兆円

業績