三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】
コメント
注目のコメント
1、悪意を持って公開するのであれば手段はGitHubである必然はない。むしろ、身元が特定されるため別の手段を用いる方が自然である。そのため、悪意ある公開だと推測することはできない。
2、ソースコードの流出がセキュリティリスクに直接的に結びつくことはあまりないし、そのように設計するのが普通であるが、場合によっては脆弱性の発見されるリスクはありうる。また、当該コードが、現役で動作していることを示す情報は何もない。そのため、発注側・開発側企業の直接的な顧客情報セキュリティに関する問題とはいえない。
3、「年収診断」のサービスを利用するのに、「公開」されたGitHub上のコードである必要性はない。非公開の情報も含めて、認可することで診断される物が多いだろう。そのため年収診断サービスの問題とも言えない。
これら三つから、GitHub、発注元企業、年収診断企業の直接的な問題があるとはいえる状況ではない。
もちろん、開発会社にとって当該エンジニアの管理責任等はあるであろうがソフトウェアエンジニアである以上、十分な知識を持った人物が悪意を持ってソースコードを漏洩することを事前に防止しようとすることはあまりリーズナブルな行為ではない。そのため、コード自体は漏洩するものとして、セキュリティ設計をすることが一般的である。
そのため、現在エンジニアコミュニティの一部は、本件を持って企業におけるエンジニア管理を強化されることに対して敏感になっている。
また、本件をもって公開していた当該人物を取り巻く環境について邪推したり、思い込みによって何かに対して攻撃的にすることは百害あって一理もない。色々な問題がありつつ、何が一番の問題かと言えばGitHubへソースコードをアップした時にデフォルトで公開設定になっていたことだと思います。よくニュースになってるSalesforceにしろGoogleドライブにしろ、公開へのハードルを上げて欲しい。今回の件は違いますが、クラウド上へデータをアップすることが悪だとは思って欲しくない。
月並みなことを言うと、リモートワークの普及も考えると委託先の管理はより重要になってくる。併せて受託側の教育もしっかりやっていく必要がある。
原因が「わからない」というのは、本当かどうか分からないが、管理的な観点から言えばかなり厳しい状況かと。