三井住友銀行(SMBC)が1月29日、同行のシステムに関するソースコードが流出したことを明らかにした。業務委託先のSE(システムエンジニア)らしき人物が、ソースコードから年収を診断できるWebサービスを利用。その際、自身がSMBCなどの委託で開発したコードを、ソースコード共有サービス「GitHub」に公開したことが原因という。
ソースコードの中には、SMBCに加えてNTTデータ ジェトロニクスに関係するとみられる記述もあった。問題の指摘があったTwitterでは、28日深夜に「GitHub」「SMBC」などがトレンド入りした。
流出したコードの中にはセキュリティに影響を与えるものはなく、SMBCとNTTデータ ジェトロニクスはそれぞれ「顧客情報の流出には影響がない」「単独では悪影響を与えるものでない」と説明している。
今回の事態に対し、ネット上では「これを機にGitHubの利用やテレワークを制限する企業が出るのではないか」という声も出ていた。しかしセキュリティ専門会社で代表取締役を務める徳丸浩さんは、こういった対応は何の対策にもならないと話す。
「GitHubだけを禁止しても、類似のサービスが使えてしまう。あくまでうわさだが、流出したコードには5〜6年前のものもあると聞いており、そうなるとテレワークも関係ない」とした上で、「問題の根幹はGitHubを使ったことではなく、ソースコードを(外部に)持ち出してしまったことにある」と徳丸さんは指摘。
徳丸さんは、今回のような事態を完全に防ぐことは難しいと話す。「対策としてはBYODをやめて端末を支給する、仮想デスクトップを使ってローカルにコードを保存できない仕組みを整えるといった方法があるが、いずれもコストに効果が見合わない」という。
「(作業に当たるプログラマーは)コードを見ているため、どれだけ対策を取ったとしてもメールなどで外部に情報を持ち出せてしまう。個人的にサーバを立ててアップロードするなどの可能性を全部つぶし切るのは難しい。作業環境をインターネットにつながせないという方法もあるが、ネットを活用した業務が主流化している中では現実的ではない」
業務委託先のSEとみられる人物が、ソースコードから年収を診断できるWebサービスを利用したことから、ネット上では「IT業界の“多重下請け構造”により、SEの収入が低かったことが問題ではないか」と指摘する声もあった。だが徳丸さんは、原因を多重下請け構造だけに絞るべきではないと話す。
「多重下請けによって(ソースコードの漏えいを)監視する仕組みがきちんと機能していなかった可能性は高い。しかし同様の事態は自社開発の場合でも起こり得る。今回は年収診断サービスの利用が動機だったが、過去には若手社員が業務効率化のため、良かれと思ってソースコードをGitHubで共有してしまった事例も聞いている。多重下請けだけが原因とはいえない」
では、今回の流出の根本的な原因は何か。徳丸さんはSEの行為を“天然なやらかし”と評し、リテラシー教育が不足していたのではないかと話す。
「情報漏えいが起こった場合どうなるか、リテラシーとしてあらかじめ知らせておく必要がある。(対策としては)こういった基本的な呼び掛けを繰り返すしかない。中にはこういった教育を進めつつ、GitHubに自社の名前が入ったコードが共有されていないか監視している企業もある。こういった取り組みならば多少の効果は期待できるのではないか」
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR