コンピュータソフトウェア協会、GitHub流出の件で利用萎縮にならないよう求める声明を発表 110
ストーリー by nagazou
極端な対応はやめましょう 部門より
極端な対応はやめましょう 部門より
GitHubへの社内コード流出の件は、さまざまなところで波紋を呼んでいるようだ。コンピュータソフトウェア協会(CSAJ)は2日、「GitHubに関する対応とお願い」という声明を発表した(一般社団法人コンピュータソフトウェア協会、INTERNET Watch)。
簡単に言えば大手の発注元は、下請け企業などに対して、GitHubなどへのアクセスを禁止する方向に動かないでほしいというものとなっている。どうも今回の件で大手企業がGitHubへのアクセスを禁止する方向に動いている気配がある模様。このため、先のGitHubに関する対応とお願いでは、日本の抱える多重下請け構造のことやGitHubはソースコードを共有し合うサービスであり、開発の速度や質の面でも欠かせないサービスであると言うことを説得するような内容となっている。
同様にITmediaに掲載された「GitHubは悪者か? SMBCのソースコード流出から学ぶ、情報漏えいのリスク」という記事でも、
GitHubなどのエンジニアが利用するサービスを悪者にして一切の接続を禁止するといった“やったつもりのセキュリティ対策”はお薦めしません。
と同し懸念を指摘する一文が含まれている。こちらの記事では教育に力を入れて対処していくすべきだとしている。
教育もだけど労働環境とおちんぎんと業界構造と契約条項もでは (スコア:1)
残念ながら末端まで教育を浸透させられるとは思えないんだけどなぁ
やる夫スレでIT業界のやる夫さんというのがあるんだけど
流出の話題はなかなか身も蓋もない話になってたよ
https://yaruonichijou.blog.fc2.com/blog-entry-49184.html [fc2.com]
#今回の一件でどこを問題と見るかはポジショントークになりそうねぇ
#問題点がありすぎて
Re:教育もだけど労働環境とおちんぎんと業界構造と契約条項もでは (スコア:1)
100%妄想の話じゃんこれ
「宇宙意思が漏洩させたんだ」っていうのと同じで何の意味もない
誰かの思い込みをそれっぽく書いてるだけやん
Re: (スコア:0)
本人の名誉に関わるからぼかして言ってるけど知的ボーダーじゃね? って思うよなこれ…
予想される負の悪循環 (スコア:1)
偉い人が内情考慮せず社内環境からGitHubのアクセスを禁止する
↓
末端作業者が情報共有できずローカルにコードをため込むことが常習化、ファイルを持ち帰って作業するようになる
↓
個人環境がマルウェアにデータ抜かれるなどして漏洩し、拡散
↓
最初に戻る
#これで「薬物濫用の悪循環」のパロディ画像作れそう。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
こういうオチはどうだ? (スコア:0)
末端作業者が情報共有できずローカルにコードをため込むことが常習化、ファイルを持ち帰って作業するようになる
↓
家にあったコードで年収診断をしてみようとしてアップロードして漏洩し、拡散
# 今回の穴はこっちなんだよなぁ。
Re: (スコア:0)
情報を遮断
社員教育を省略
↓
誰も正しい作業手順を知らず、雰囲気で作業
(職場が崩壊した状態)
↓
事故が発生するも、何もかも分からない
収拾不能
Re:予想される負の悪循環 (スコア:1)
社内でGit使っているかどうかって査問が入る有様。
# 下手な回答すれば、LAN内で完結しているGit鯖すら使えんくなりそう。
ナニコレ (スコア:0)
途中からDXというバズワードの広報文になってるんですが
Re:ナニコレ (スコア:1)
> 途中からDXというバズワードの広報文になってるんですが
それは話が逆で、
正攻法では説得できない情弱な経営層を納得させる手段として、
そういう経営層に効き目があるバズワードを使ってるだけでしょう。
DXに結び付けるのは無理筋ではと分かるような層は
そもそもgithubアクセスを遮断しようとか考えないので
この文章の想定読者じゃないわけです。
Re: (スコア:0)
のとこな。謎の正義感に突き動かされて一本書き上げると、本人は分かっているつもりでも第三者が見たら突飛にしか見えない理論の飛躍が発生することは稀によくある。
Re: (スコア:0)
DXって聞くとちょっとわくわくしますね。無線的に。
Re:ナニコレ (スコア:1)
無銭な人はSXだったからDXはわくわくしますな。
Re: (スコア:0)
DXってDeveloper Experienceかと思ったわ。
とりあえずDX云々の行は削除して読んでおく。
Githubを禁止したら、更に人手不足になるぞ (スコア:0)
今時、githubを使ってないエンジニアは少数派なんじゃないだろうか?
現状でも人手不足が酷い状況なのに、githubを使ってないエンジニア限定で募集しても人が集まらなくなると思うが。
Re: (スコア:0)
Githubになんでもホイホイうpするようなエンジニアは少ないでしょ
てか普通やらない
Re: (スコア:0)
>普通やらない
その普通ってどこの普通?
IT業界関係者が口々に起こるべくして起こったと言ってるって事は、
そういう人がいる事こそが普通と認識されてる事でしょ。
単に「上がってるけど話題になってない」「ホイホイ上げるけど上げる意味がないから今は上げてないだけ」ってだけで。
結局「情報漏洩とは何か、その影響は」という教育と、
やらかした時のリスクを背負わせる≒持たせるタスクの重要性に見合った給料を個人に払うことを徹底するしかないでしょ。
ここういう部分にこそどこぞの接続料みたいに国が作業者の給料が委託元に透明になるよう規制を作る事が
派遣制度なんてものを作った国の責任。
Re: (スコア:0)
「お父さんがどんな仕事してるかわからない」程度に仕事でやってることを外部で話さない・ネットに投稿しないのを守るだけなのに、
それすらできないのなら、ブラックリストを作ってパソコンを使った仕事やサービス業から締め出すしかないよ。
Re: (スコア:0)
今回の件って派遣だからやったのか?正社員だったらやらなかったのか?と考えると、
派遣とか正社員だとか関係ない事件だと思うんだけど、、
情報漏洩の観点から、単にやらかす人は派遣だろうと正社員だろうとやらかす ってだけだと思うけど。。
実際、毎年 正社員がやらかす事件だって起きているわけで、、
例えば去年の例: https://www.itmedia.co.jp/mobile/articles/2001/25/news029.html [itmedia.co.jp]
Re:Githubを禁止したら、更に人手不足になるぞ (スコア:1)
今回の件、流出させた本人の弁を見るに当事者意識がないのは明らかだろう。
派遣なのか正社員なのかは当然コンプライアンス準拠のモチベーションに関わってくる。
ソフトバンクの正社員が年収診断というチープな餌で釣られるか考えてみろ。
Re: (スコア:0)
やらかした人は、正社員だろうと派遣社員だろうと当事者意識は無いんじゃないのかな。。
ちな、上記の正社員は 数万円 で機密情報を売ったらしいよ。
正社員だけどチープな餌で釣られてると思うんだけど、違うかな?
https://www.arabnews.jp/article/business/article_8431/ [arabnews.jp]
Re:Githubを禁止したら、更に人手不足になるぞ (スコア:1)
数万円ぽっちじゃないぞ
ソフトバンク元社員が情報流出で起訴 ロシア人スパイとの出会いは新橋の路上だった | 文春オンライン [bunshun.jp]
ソフトバンク機密漏洩事件、ロシア元外交官を書類送検:朝日新聞デジタル [asahi.com]
Re:やっすいなあ (#3751579) | ソフトバンクの元社員、業務情報をロシアに渡したとして逮捕される | スラド [srad.jp]
Re: (スコア:0)
使う人の問題だからね。
Githubを禁止にしたところで、代わりのツールが必要になるだけで、そのツールで
流出させる輩が出ないとは言い切れない。
流出させた根本原因から追及しないとねぇ。
Re: (スコア:0)
そもそもの発端が
あるユーザーが「GitHubのコードで年収を査定してくれるサービスを使うため」という理由
だからね。
ケビン・ミトニックを題材にした映画で、ソフトウェアを誉めてソースコードを入手するソーシャルハックを思い出した。
Re: (スコア:0)
githubはプライベートもできるけど基本的に公開用だからな。
普通はレンタルサーバーか自宅に自分でgitサーバー立てて使うものだと思うぞ。
Re: (スコア:0)
おじいちゃん、もうGitHubのプライベートリポジトリが無料で使えるようになって2年も経つんですよ。
今時の人は、もうレンサバも自宅Gitもやらないで、全部GitHubですよ。
# うちの自宅Gitも会社の社内Gitもここ二年で既に全部廃止済み。
この声明がおかしい (スコア:0)
こんな当たり前なことがニュースになるって
Re: (スコア:0)
誰もGithubを悪者と決めつけてないのに、声明書いた人とCSAJ会員企業は今の状況を理解できてるのだろうか。
Re: (スコア:0)
こうやって声明を出してもらわないといけないところがつらいね。
GitHub禁止のプロジェクトなんか断ったり辞めたりできればBESTなのに。
Re: (スコア:0)
まあそんなプロジェクトが来たら、よほど高給でない限り逃げるに限るよ。
今はコロナ過な状況とはいえ、依然エンジニアは売り手市場なんで転職は割と容易だから我慢しない方が良い。
一切の接続を禁止する方が効果は高い (スコア:0)
教育ですめばベストだけど理想論でしかない。
世の中には常識(教育)が通用しないタイプがかなりいる。
今回の流出をおこしたのもそのタイプ。周りに指摘されても何が悪いのかがまったく理解できていなかった(とぼけてるだけかもしれないけど)
githubなどコピペしてもってくるためにあるようなサイトだから真っ先に遮断すべきだし、githubだけを禁止しても仕方ないから
遮断はホワイトリストで運用すべき。実際、厳しい企業はそうやっている。
Re: (スコア:0)
こう考えている企業はどんどん自社の姿勢や取り組みをアピールして、
いかに自分たちが高いセキュリティ意識を持っているか
特に求人欄にはしっかり書いておいてほしいと思う
自覚なく非常識な人でも、こういう対策をとっているところなら安心して働けるわけだし
それが社会のため、世界のためになるはず
Re: (スコア:0)
仰る意味は判るんですが、
>世の中には常識(教育)が通用しないタイプがかなりいる。
貴方の言うとおりとんでもないことをしでかす人間は
ホワイトリストで運用してもA社に送るはずの資料をB社に送ったりするわけで・・・
遮断すべきは理解が足りてない人間のネットワーク接続かなぁと。
Re: (スコア:0)
とはいえ、今回は家からプロジェクト終了後数年経って漏洩したので、会社が遮断したところで全く効果は無いんですけどね。
今の時代は職場をネットから完全遮断して持ち出し対策も難しいでしょうし。
教育をしっかりしないと、どうにもならないでしょう。
Re: (スコア:0)
それがその会社の方針であるなら好きにすればいいんだけどさ、ちゃんとリスクマネジメントできてる?
pushだけじゃなくて閲覧まで完全遮断するなら、ライブラリをダウンロードできなくて車輪の再発明をするコストだとか、別口でダウンロードできてもサンプルソースやドキュメントを参照できなくて使用方法の習得に余計にかかるコストだとかとちゃんと天秤かけてる?
Re: (スコア:0)
とりあえず現状で即セキュリティを求めるならそれしかないよな。
改善策も提示しないでやったつもりのセキュリティ策とレッテル貼りして何の利点があるのかの方が分らん。
自分でセキュリティと言って開発効率の話なんかしてない事が分っている筈なのに。
将来的な開発の都合と今現在起こっている事への対処って別レイヤーとして対処しても良い話だと思うんだが。
Re:一切の接続を禁止する方が効果は高い (スコア:1)
「持ち帰ったソースを勝手にアップロードした」事件に対して
「社内からアップロード先サイトを見れなくします」じゃ理屈がおかしい
社内で起こってることは「ソースの持ち帰り」だから外部サイトは関係ないじゃない
「改善案の提示が必要だから、関連キーワードを含む検索結果を口に出しました」ってレベル
叩き台として必要なのかもしれないけど、案になってない
GitHubをアク禁にするならAPIも忘れずに (スコア:0)
「多重下請け構造」と「ソースコードを共有」というモノは、結局どうにも相容れないのだから、
やったつもりだろうがなんだろうが、それはセキュリティ対策の一つとして粛々とするものかと。
逆に「GitHubを利用してもいいけどそこには委託なりうけた案件のソースコードやそこで得たノウハウが
含まれているソースコードは上げない」というルールにしたところで、
それを守れているか、口約束以外に証跡出せと言われても出せんでしょう。
そのために、発注者や元請けがそれをわざわざ監視しなけりゃならんだの、何なの?と。
それなら、そんな曖昧なルールを設けずアクセス禁止にし、問題の所存がルールを守らなかった人間に
あることを明確にできるものにしたいものですわ。
Re: (スコア:0)
今回のは退職後のプライベートでGitHubからソースコードが流出したわけだけど、
「プライベートで特定のサービスを利用するな」
(退職後何年もたってからも。またその当時存在しなかったサービスも含めて)
なんて契約できるの?無理じゃね?会社にどんな権利があってそんな要求をするの?
仮にサインさせたところで裁判で雇用主の権利濫用って言われて終わりだろ。
Re:GitHubをアク禁にするならAPIも忘れずに (スコア:1)
GitHubの利用禁止は無理筋だよな
普通に会社で組んだソースコードの著作権は会社に帰属するって教育して
損害が出た場合の賠償請求例とかで勉強会して教えてくしかないよな
Re: (スコア:0)
従業員なり下請けなりの人員には教育を施し、そしてネットワークにはアクセス制御を施す。
それでもアクセスしようとしたら遮断し、そして教育されていたということの再認識を与える。
両方をセットで行わないと、やはり機能しないように思える。
Re: (スコア:0)
秘密保持契約で長期契約させるのは一般的だよ。裁判でも勝てる。
特定のサービスどころかどんなサービスでも秘密漏らしたらアウト。
親コメは秘密保持ではなくGitHub禁止を主張している (スコア:0)
そりゃそうだ。秘密保持契約で会社の情報を漏らしたらアウトはできる。
そんなことは俺だって知っている。今回やらかした人もそれは結んでいただろう。
だが、親コメはそれじゃ足りないから、GitHubを利用禁止にすべきだと主張している。
業務コードを漏らすこと禁止じゃなくて、GitHubを利用禁止にすべきだとだ。
勤務中ならまあいい。だが今回漏らしたのはプライベートでだから、それはプライベートでのGitHub禁止という話になる。
業務と関係なく、特定のサービスどころか未来のサービスまでも使用禁止するなんて、契約でアウトに出来ると思うか?
Re: (スコア:1)
それな。
開発用、として支給された分厚く重たいノートPC(実態はシンクライアント専用PC)を、
自腹でインターネットVPNに接続し、その先にある開発用の仮想デスクトップ、
といっても入っているものといえばJDKとEclipse、Teratermくらいのもので、
CygwinやChrome、VS.codeなんかをインストールするとそれが検出されてロックアウトされる、
みたいな環境で開発やらされる場だと、自宅の環境で作ってうpしたソース使えてGitHub便利。
Re: (スコア:0)
API? Git使ったことないの?
Gitが何なのか分からないけどエンジニア名乗ってますって?
分からないけど会社のネットワーク構成に口出してますって?
ヤバくない?
Re:GitHubをアク禁にするならAPIも忘れずに (スコア:3, おもしろおかしい)
Git? GitHub使ったことないの?
GitHubが何なのか分からないけどエンジニア名乗ってますって?
分からないけどスラドのコメントに噛み付きますって?
ヤバくない?
Re: (スコア:0)
GitHubの話をしてるのにGitの話を持ち出す方がヤバイんだよなぁ
Re: (スコア:0)
ちょっとググればGitHub REST APIなるものが存在していることがわかるだろうに何をイキっているのだこの人は。
Re: (スコア:0)
だがちょっと待って欲しい。彼はlibgit2のことを言っているのかもしれない。
悪者経営者が善玉を攻撃する (スコア:0)
そういう企業が潰れないから日本全体が沈没していく
Re:悪者経営者が善玉を攻撃する (スコア:1)
社内規則のおかしいものを変えようともしないでネットや居酒屋で呟いてる下っ端社員が一番の流出原因だがな