GitHubへのソースコード流出問題、防ぎようはあるのか 専門家に聞く

SMBCから業務委託を受けたSEらしき人物が、GitHubにソースコードを公開したことが話題になった。この情報漏えいはどうすれば防げたのか。専門家に話を聞いた。

[吉川大貴，ITmedia]

　三井住友銀行（SMBC）が1月29日、同行のシステムに関するソースコードが流出したことを明らかにした。業務委託先のSE（システムエンジニア）らしき人物が、ソースコードから年収を診断できるWebサービスを利用。その際、自身がSMBCなどの委託で開発したコードを、ソースコード共有サービス「GitHub」に公開したことが原因という。

　ソースコードの中には、SMBCに加えてNTTデータ ジェトロニクスに関係するとみられる記述もあった。問題の指摘があったTwitterでは、28日深夜に「GitHub」「SMBC」などがトレンド入りした。

Twitterトレンド

　流出したコードの中にはセキュリティに影響を与えるものはなく、SMBCとNTTデータ ジェトロニクスはそれぞれ「顧客情報の流出には影響がない」「単独では悪影響を与えるものでない」と説明している。

　今回の事態に対し、ネット上では「これを機にGitHubの利用やテレワークを制限する企業が出るのではないか」という声も出ていた。しかしセキュリティ専門会社で代表取締役を務める徳丸浩さんは、こういった対応は何の対策にもならないと話す。

「GitHub・テレワーク禁止」は対策にならない

EGセキュアソリューションズ代表取締役の徳丸浩さん

　「GitHubだけを禁止しても、類似のサービスが使えてしまう。あくまでうわさだが、流出したコードには5〜6年前のものもあると聞いており、そうなるとテレワークも関係ない」とした上で、「問題の根幹はGitHubを使ったことではなく、ソースコードを（外部に）持ち出してしまったことにある」と徳丸さんは指摘。

　徳丸さんは、今回のような事態を完全に防ぐことは難しいと話す。「対策としてはBYODをやめて端末を支給する、仮想デスクトップを使ってローカルにコードを保存できない仕組みを整えるといった方法があるが、いずれもコストに効果が見合わない」という。

　「（作業に当たるプログラマーは）コードを見ているため、どれだけ対策を取ったとしてもメールなどで外部に情報を持ち出せてしまう。個人的にサーバを立ててアップロードするなどの可能性を全部つぶし切るのは難しい。作業環境をインターネットにつながせないという方法もあるが、ネットを活用した業務が主流化している中では現実的ではない」

“多重下請け構造”に問題はあったのか？

　業務委託先のSEとみられる人物が、ソースコードから年収を診断できるWebサービスを利用したことから、ネット上では「IT業界の“多重下請け構造”により、SEの収入が低かったことが問題ではないか」と指摘する声もあった。だが徳丸さんは、原因を多重下請け構造だけに絞るべきではないと話す。

　「多重下請けによって（ソースコードの漏えいを）監視する仕組みがきちんと機能していなかった可能性は高い。しかし同様の事態は自社開発の場合でも起こり得る。今回は年収診断サービスの利用が動機だったが、過去には若手社員が業務効率化のため、良かれと思ってソースコードをGitHubで共有してしまった事例も聞いている。多重下請けだけが原因とはいえない」

　では、今回の流出の根本的な原因は何か。徳丸さんはSEの行為を“天然なやらかし”と評し、リテラシー教育が不足していたのではないかと話す。

　「情報漏えいが起こった場合どうなるか、リテラシーとしてあらかじめ知らせておく必要がある。（対策としては）こういった基本的な呼び掛けを繰り返すしかない。中にはこういった教育を進めつつ、GitHubに自社の名前が入ったコードが共有されていないか監視している企業もある。こういった取り組みならば多少の効果は期待できるのではないか」