GitHubへのソースコード流出問題を考える

2021年1月29日、三井住友銀行（SMBC）のシステムに関するソースコードがGitHub（ソースコード共有サービス）に流出されたことが明らかになりました。GitHubというのはオープンソースなどソースコードをアップロードして、共有・改善していくことを目的としたサービスです。今回の問題の原因としては、業務委託先のプログラマーが自身のPC内にあったコードをGitHubにアップロードして、全世界に公開してしまったことが原因です。当該プログラマーは、年収診断サービスを使うため、無意識的にPC内のプログラムファイルを一括でアップロードしたようです。

本件のセキュリティ対応を考えると、非常に難しい問題です。
当然、委託先への機密保持契約もあったでしょう。
この問題の対策をシステム側で制御しようとすると、非常に困難かつコストがかかります。

このような無意識的な行動を制御するにはやはり、繰り返し教育を行い、IT倫理を醸成していく必要があると考えられます。
また、プログラマーへの待遇改善など、暴走的な行動を制御をするような総合的な取り組みが必要と思われます。

以下の記事もご参照ください：
ITmedia NEWS GitHubへのソースコード流出問題、防ぎようはあるのか　専門家に聞く

インターネット上の公開情報の調査サービスはこちら：
SCT SECURE OSINTサービス

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む