三井住友銀行などのソースコードが流出　“年収診断”したさにGitHubに公開か【追記あり】

最近、技術者倫理について質問を受けることが多く、しかし大抵の問題は「技術者倫理とかではなく一般的な倫理感覚で判断出来る」と思っていたのだが、今回のケースは、本人のツイートを見る限り、あまり悪意のあるものには見えない。
githubが何かを理解しているようには見えないし、「年収推定のためにコードをアップロードしてね！」という理解で、公開されるのも知らずにアップロードしたのではないか、という気がする。
（それでもダメなのだが）
「公開されるのを知らない」というのは「無知」なのでどうにもならないが、「そもそも請け負った納品物を私用で使ってはいけない」という部分は、倫理教育でどうにかなるかもしれない。

「多重請負」という構造が問題で、上流工程については、十分に倫理教育を施すことが可能だと思うが、下流については、「未経験歓迎！」みたいな求人も多く飛び交っており、あまり学習をさせずに現場に放り込む、ということも少なくないため、こうしたことは確かに起こってもおかしくないし、氷山の一角なのかもしれない。
ではどう防ぐかと言われると、テレワークで個人のPCで作業することも増えていそうな昨今において、なかなか難しい問題となる。やはり旧来の制限をかけるのが効果的な対策となるが、そうなるとテレワークとの両立が難しい上、自由なソフトウェアの使用ができなくなるため、開発環境として劣悪なものにもなりやすい。

「エンジニアの自由度」と「事故が起きない環境づくり」は相反する部分がかなりあるため、エンジニアのレベルに応じた環境づくりをしていくしかない気がするが、それを上流工程から制御するのは非常に難しい気がする。


これは余談だが、弊社はプログラミングのコンテストサイトを運営しているのだが、コンテスト中に誤ってgithubにソースコードをアップロードして公開してしまう人は、実はそれなりの数がいる。
毎回注意して回っているし、コンテストならそんなに大きな問題にならないので良いが、こうしたケースを見ていると、このような事故は今後頻発するのではないかと思っている。

1、悪意を持って公開するのであれば手段はGitHubである必然はない。むしろ、身元が特定されるため別の手段を用いる方が自然である。そのため、悪意ある公開だと推測することはできない。

2、ソースコードの流出がセキュリティリスクに直接的に結びつくことはあまりないし、そのように設計するのが普通であるが、場合によっては脆弱性の発見されるリスクはありうる。また、当該コードが、現役で動作していることを示す情報は何もない。そのため、発注側・開発側企業の直接的な顧客情報セキュリティに関する問題とはいえない。

3、「年収診断」のサービスを利用するのに、「公開」されたGitHub上のコードである必要性はない。非公開の情報も含めて、認可することで診断される物が多いだろう。そのため年収診断サービスの問題とも言えない。

これら三つから、GitHub、発注元企業、年収診断企業の直接的な問題があるとはいえる状況ではない。

もちろん、開発会社にとって当該エンジニアの管理責任等はあるであろうがソフトウェアエンジニアである以上、十分な知識を持った人物が悪意を持ってソースコードを漏洩することを事前に防止しようとすることはあまりリーズナブルな行為ではない。そのため、コード自体は漏洩するものとして、セキュリティ設計をすることが一般的である。

そのため、現在エンジニアコミュニティの一部は、本件を持って企業におけるエンジニア管理を強化されることに対して敏感になっている。

また、本件をもって公開していた当該人物を取り巻く環境について邪推したり、思い込みによって何かに対して攻撃的にすることは百害あって一理もない。

色々な問題がありつつ、何が一番の問題かと言えばGitHubへソースコードをアップした時にデフォルトで公開設定になっていたことだと思います。よくニュースになってるSalesforceにしろGoogleドライブにしろ、公開へのハードルを上げて欲しい。今回の件は違いますが、クラウド上へデータをアップすることが悪だとは思って欲しくない。

月並みなことを言うと、リモートワークの普及も考えると委託先の管理はより重要になってくる。併せて受託側の教育もしっかりやっていく必要がある。

原因が「わからない」というのは、本当かどうか分からないが、管理的な観点から言えばかなり厳しい状況かと。