GitHubへのソースコード流出問題、防ぎようはあるのか 専門家に聞く
SMBCから業務委託を受けたSEらしき人物が、GitHubにソースコードを公開したことが話題になった。この情報漏えいはどうすれば防げたのか。専門家に話を聞いた。
三井住友銀行(SMBC)が1月29日、同行のシステムに関するソースコードが流出したことを明らかにした。業務委託先のSE(システムエンジニア)らしき人物が、ソースコードから年収を診断できるWebサービスを利用。その際、自身がSMBCなどの委託で開発したコードを、ソースコード共有サービス「GitHub」に公開したことが原因という。
ソースコードの中には、SMBCに加えてNTTデータ ジェトロニクスに関係するとみられる記述もあった。問題の指摘があったTwitterでは、28日深夜に「GitHub」「SMBC」などがトレンド入りした。
流出したコードの中にはセキュリティに影響を与えるものはなく、SMBCとNTTデータ ジェトロニクスはそれぞれ「顧客情報の流出には影響がない」「単独では悪影響を与えるものでない」と説明している。
今回の事態に対し、ネット上では「これを機にGitHubの利用やテレワークを制限する企業が出るのではないか」という声も出ていた。しかしセキュリティ専門会社で代表取締役を務める徳丸浩さんは、こういった対応は何の対策にもならないと話す。
「GitHub・テレワーク禁止」は対策にならない
「GitHubだけを禁止しても、類似のサービスが使えてしまう。あくまでうわさだが、流出したコードには5〜6年前のものもあると聞いており、そうなるとテレワークも関係ない」とした上で、「問題の根幹はGitHubを使ったことではなく、ソースコードを(外部に)持ち出してしまったことにある」と徳丸さんは指摘。
徳丸さんは、今回のような事態を完全に防ぐことは難しいと話す。「対策としてはBYODをやめて端末を支給する、仮想デスクトップを使ってローカルにコードを保存できない仕組みを整えるといった方法があるが、いずれもコストに効果が見合わない」という。
「(作業に当たるプログラマーは)コードを見ているため、どれだけ対策を取ったとしてもメールなどで外部に情報を持ち出せてしまう。個人的にサーバを立ててアップロードするなどの可能性を全部つぶし切るのは難しい。作業環境をインターネットにつながせないという方法もあるが、ネットを活用した業務が主流化している中では現実的ではない」
“多重下請け構造”に問題はあったのか?
業務委託先のSEとみられる人物が、ソースコードから年収を診断できるWebサービスを利用したことから、ネット上では「IT業界の“多重下請け構造”により、SEの収入が低かったことが問題ではないか」と指摘する声もあった。だが徳丸さんは、原因を多重下請け構造だけに絞るべきではないと話す。
「多重下請けによって(ソースコードの漏えいを)監視する仕組みがきちんと機能していなかった可能性は高い。しかし同様の事態は自社開発の場合でも起こり得る。今回は年収診断サービスの利用が動機だったが、過去には若手社員が業務効率化のため、良かれと思ってソースコードをGitHubで共有してしまった事例も聞いている。多重下請けだけが原因とはいえない」
では、今回の流出の根本的な原因は何か。徳丸さんはSEの行為を“天然なやらかし”と評し、リテラシー教育が不足していたのではないかと話す。
「情報漏えいが起こった場合どうなるか、リテラシーとしてあらかじめ知らせておく必要がある。(対策としては)こういった基本的な呼び掛けを繰り返すしかない。中にはこういった教育を進めつつ、GitHubに自社の名前が入ったコードが共有されていないか監視している企業もある。こういった取り組みならば多少の効果は期待できるのではないか」
関連記事
- 三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】
三井住友銀行(SMBC)が同行のシステムのソースコードが外部のWebサイト上に無断で公開されていたと明らかに。顧客情報の流出やセキュリティに影響はないとしている。 - NECもソースコード流出を確認、GitHubで 三井住友銀、NTTデータに続き
NECが顧客向けに開発したシステムのソースコードがGitHubを通じて流出したと明らかにした。同社は「原因究明と再発防止に努める」としている。 - 2020年は2515万人分の個人情報が流出 原因の多くは「ウイルス感染・不正アクセス」
2020年、個人情報の漏えい・紛失事故を公表した上場企業とその子会社は88社、事故件数は103件、流出した個人情報は2515万47人分――という調査結果を東京商工リサーチが発表した。 - カプコン、1.6万人の個人情報流出を確認 新たに5.8万人分流出の可能性も明らかに 20年11月のサイバー攻撃で
カプコンが2020年11月に受けたサイバー攻撃で、流出の恐れがあるとしていた約35万人分の個人情報のうち、1万6406人分が実際に流出したことが分かった。追加で約5万8000人分の個人情報が流出した恐れがあることも判明。 - ソフトバンク元社員逮捕 5Gの営業秘密を転職先・楽天モバイルに持ち出しか
ソフトバンクの元社員が、不正競争防止法違反の疑いで逮捕。5G通信に関する機密情報を、転職先である楽天モバイルに不正に持ち出した可能性がある。
Copyright © ITmedia, Inc. All Rights Reserved.