Picks
414フォロー
765フォロワー
SMBCのソースコード流出で考える「自覚の無い情報漏洩」。企業が認識すべき新たなリスク
Yahoo!ニュース 個人
広木 大地株式会社レクター/日本CTO協会 取締役/理事
大前提として、GitHubはオープンソース、企業での開発問わず広くソフトウェアエンジニアに世界中で用いられている共同開発のためのプラットフォームであり、ソフトウェア開発における生産性向上の入り口として機能するサービスである。マイクロソフトが8000億以上の金額でGitHubを買収し、SaaS戦略の一等地に据えている。 このようなデファクトスタンダードなサービスであるため、GitHub連携をする開発者ツールは非常に多い。多くの開発者は日常的にGitHubに触れていて、趣味の開発からOSSヘの貢献をおこなっている。 そのため、これらの活動を分析することでソフトウェアエンジニアとしての能力を見極めようとすることは自然な発想で、そこからFindyのような年収診断サービスが生まれた。これもまた自然な進化であるように思う。 しかし、このような商習慣から随分と離れたところに、一部の日系企業においてレガシーなインフラ企業の案件で働くプログラマ/SEたちがいる。特に金融機関で長年キャリアを持ってきた方であれば、GitHubを日常的に用いるような開発案件はあまり経験がないということも多いのではないだろうか。 今回のケースでは、GitHubにあげたことはもとより、自身しか見えない設定すらできていないというレアな状況が起きているのは、それだけ文化のギャップがあったということだろう。 このケースから推察されるような生産的なソフトウェア開発環境を作る基点でデファクトであるサービスを利用できない環境は日本にはまだ多くあり、また使えている技術者もそのような動向を一から説明して納得をいただいた結果として使えているというギリギリの状況である開発現場も少なくない。 そのため、エンジニアコミュニティではこれを契機に理解を勝ち得てきたGitHub導入への道筋が遠のくのではないかという恐怖と不安を抱えている。企業が認識すべきリスクは、あまりにも世界のスタンダートからかけ離れた環境での開発環境を提供していると、このような自覚のない情報漏洩が起こるという話であるし、リスクへの対処は実際の開発者の声の届く範囲での経営を行うことではないだろうか。 追記: 「オープンソースでないとGitHubを使わない」コメントがあるが全くの事実誤認です。多くの企業でクローズドソースのシステム開発に使われています。
229Picks
三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】
ITmedia NEWS
広木 大地株式会社レクター/日本CTO協会 取締役/理事
1、悪意を持って公開するのであれば手段はGitHubである必然はない。むしろ、身元が特定されるため別の手段を用いる方が自然である。そのため、悪意ある公開だと推測することはできない。 2、ソースコードの流出がセキュリティリスクに直接的に結びつくことはあまりないし、そのように設計するのが普通であるが、場合によっては脆弱性の発見されるリスクはありうる。また、当該コードが、現役で動作していることを示す情報は何もない。そのため、発注側・開発側企業の直接的な顧客情報セキュリティに関する問題とはいえない。 3、「年収診断」のサービスを利用するのに、「公開」されたGitHub上のコードである必要性はない。非公開の情報も含めて、認可することで診断される物が多いだろう。そのため年収診断サービスの問題とも言えない。 これら三つから、GitHub、発注元企業、年収診断企業の直接的な問題があるとはいえる状況ではない。 もちろん、開発会社にとって当該エンジニアの管理責任等はあるであろうがソフトウェアエンジニアである以上、十分な知識を持った人物が悪意を持ってソースコードを漏洩することを事前に防止しようとすることはあまりリーズナブルな行為ではない。そのため、コード自体は漏洩するものとして、セキュリティ設計をすることが一般的である。 そのため、現在エンジニアコミュニティの一部は、本件を持って企業におけるエンジニア管理を強化されることに対して敏感になっている。 また、本件をもって公開していた当該人物を取り巻く環境について邪推したり、思い込みによって何かに対して攻撃的にすることは百害あって一理もない。
419Picks
NORMAL