知って得するセキュリティのはなし その99
三井住友銀行等システム関連のソースコード、GitHubにアップロードされる
1.このニュースをざっくり言うと
- 1月28日(日本時間)頃、Twitter上で、委託業務で開発したソースコードをコード共有サービス「GitHub」にアップロードしたとする投稿があり、そのソースコードに三井住友銀行(以下SMBC)等大手企業のシステムに関連するものが含まれている可能性が指摘される等の事態となりました。
- 同29日、SMBCより、当該ソースコードは同行内システムで使用されていたものと一致したものの、顧客情報やセキュリティに影響を与える情報は含まれていないと発表されました。
- その後、アップロードされていたソースコードには、SMBC以外にもNECやNTTデータ子会社等、複数社からの業務委託によるコードが含まれていたと報じられています。
2.執筆者からの所感等
- GitHubにアップロードされたソースコードの多くはシステムの核心に関わるようなものではない雑多なコードの断片だったとみられ、その内容よりも、業務で作成したコードを外部に持ち出す行為についてが議論点となっているようです。
- GitHubをはじめ、企業・組織等での利用も想定した機能も提供されているネットサービスもあるにも拘らず、今回の事件によって、業務での利用が十把一からげに禁止されたり、サービスへのアクセスの遮断が行われる傾向が進むことは大いに懸念されるところであり、一般社団法人コンピュータソフトウェア協会(CSAJ)からは「外部のクラウドサービス利用の萎縮につながらないよう、各社の節度ある情報セキュリティ設計を要請する」という声明や、今回のような事案への具体的な対策等が発表されています(https://internet.watch.impress.co.jp/docs/yajiuma/1304122.html )。
- 安易な「GitHubを使わない」というルール付けやアクセス遮断に依存するのではなく、場合によっては企業で正式に有償サービス等の契約を選択し、管理側・利用側ともに安全で適切にサービスを利用するよう教育が行われることが望ましいでしょう。
