アカウント名:
パスワード:
「多重下請け構造」と「ソースコードを共有」というモノは、結局どうにも相容れないのだから、やったつもりだろうがなんだろうが、それはセキュリティ対策の一つとして粛々とするものかと。
逆に「GitHubを利用してもいいけどそこには委託なりうけた案件のソースコードやそこで得たノウハウが含まれているソースコードは上げない」というルールにしたところで、それを守れているか、口約束以外に証跡出せと言われても出せんでしょう。そのために、発注者や元請けがそれをわざわざ監視しなけりゃならんだの、何なの?と。
それなら、そんな曖昧なルールを設けずアクセス禁止にし、問題の所存がルールを守らなかった人間にあることを明確にできるものにしたいものですわ。
今回のは退職後のプライベートでGitHubからソースコードが流出したわけだけど、
「プライベートで特定のサービスを利用するな」(退職後何年もたってからも。またその当時存在しなかったサービスも含めて)
なんて契約できるの?無理じゃね?会社にどんな権利があってそんな要求をするの?仮にサインさせたところで裁判で雇用主の権利濫用って言われて終わりだろ。
GitHubの利用禁止は無理筋だよな普通に会社で組んだソースコードの著作権は会社に帰属するって教育して損害が出た場合の賠償請求例とかで勉強会して教えてくしかないよな
従業員なり下請けなりの人員には教育を施し、そしてネットワークにはアクセス制御を施す。それでもアクセスしようとしたら遮断し、そして教育されていたということの再認識を与える。
両方をセットで行わないと、やはり機能しないように思える。
流出経路がそのネットワーク経由じゃないから意味がない流出経路を遮断する必要がある
もはや研修や教育では防ぎきれない、良識や良心に訴えるも何もない、ということなのであれば、GitHub使用禁止、も仕方なくなってしまう。
その結果がこの流出でしょギフハブが何なのかも知らないから公開してはいけないということが分からなかった自宅に持ち帰ったソースをネットに公開しただけだから問題はないと思っていた
そういう事件に対して社内でGitHub使用禁止して何の意味がある?
下請けなんか使わなければリスクは大きく低減できると思うけど、あれこれ禁止したがる大きなところほど下請け禁止にできないというジレンマ。
自社開発ならそれで良いけれど、複数の会社が絡んでいる中で、ソースコードなりなんなりをとってこいと所属会社から命令されたSEという問題もある。森友学園と似た構図ですね。
自分の意思で、持ち出すのはある程度防げるけど、上司の命令で、持ち出すのはそうそう防げないだろう。法令を熟知していても、上司の命令(あるいは社長の勅命)は止むことない。問題があればトカゲのしっぽ切りで終わらせるって筋書きだろうし。(「職を辞するべき」なんてきれいごとは、守るべきものがある者には・・・ね。)
企業がAからCに発注先変更したとき、Aの下請けだったBがなんとかを持ち出し、Cの下請けをするとか。業界構造上深遠な下請けでありうるおこりうる話だろう。
企業→A社→B社企業→C社→B社
教育も大事だが、サイバーセキュリティ(警備員)に金を使うしかないだろう。大量動員ってそれだけで費用が増加するんですよ。
人ってね ささやかな生活を守りたくて 間違いを犯すこともあるんですよね。 清貧に甘んじられず 穢れた富にはしる。 人って弱いね
秘密保持契約で長期契約させるのは一般的だよ。裁判でも勝てる。特定のサービスどころかどんなサービスでも秘密漏らしたらアウト。
そりゃそうだ。秘密保持契約で会社の情報を漏らしたらアウトはできる。そんなことは俺だって知っている。今回やらかした人もそれは結んでいただろう。
だが、親コメはそれじゃ足りないから、GitHubを利用禁止にすべきだと主張している。業務コードを漏らすこと禁止じゃなくて、GitHubを利用禁止にすべきだとだ。勤務中ならまあいい。だが今回漏らしたのはプライベートでだから、それはプライベートでのGitHub禁止という話になる。
業務と関係なく、特定のサービスどころか未来のサービスまでも使用禁止するなんて、契約でアウトに出来ると思うか?
Winny等ファイル共有ソフト禁止なんて当たり前だったじゃないですか。それと同じでは?
あのwinny騒動の頃は、警察が出てきたり裁判でwinnyが違法ソフト扱いされてたから。「違法ソフトを使うな」的主張だった。だけどgithubは別に違法じゃないし、世界中で広く使われているので、個人で使うなというのは無理だろ。
プライベートで使用しているPCでも使ってない誓約書を書かされて、検出プログラムの適用を強制されて、今思えば異様な時代だった。
超絶便利ですけど、まあいうて うpろだですし
それな。
開発用、として支給された分厚く重たいノートPC(実態はシンクライアント専用PC)を、自腹でインターネットVPNに接続し、その先にある開発用の仮想デスクトップ、といっても入っているものといえばJDKとEclipse、Teratermくらいのもので、CygwinやChrome、VS.codeなんかをインストールするとそれが検出されてロックアウトされる、みたいな環境で開発やらされる場だと、自宅の環境で作ってうpしたソース使えてGitHub便利。
そもそもソースを自宅に持ち帰ってる時点で漏洩なんだよ管理区域外の自宅より先はどこに行くかトラッキング不可能なんだから
なので、ソースなりなんなりをシステム的に自宅に持ち帰れないようにするのが対策GitHubのプライベート領域経由で持ち帰る可能性も今回浮上したから、そこも塞ぐのは当然
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
GitHubをアク禁にするならAPIも忘れずに (スコア:0)
「多重下請け構造」と「ソースコードを共有」というモノは、結局どうにも相容れないのだから、
やったつもりだろうがなんだろうが、それはセキュリティ対策の一つとして粛々とするものかと。
逆に「GitHubを利用してもいいけどそこには委託なりうけた案件のソースコードやそこで得たノウハウが
含まれているソースコードは上げない」というルールにしたところで、
それを守れているか、口約束以外に証跡出せと言われても出せんでしょう。
そのために、発注者や元請けがそれをわざわざ監視しなけりゃならんだの、何なの?と。
それなら、そんな曖昧なルールを設けずアクセス禁止にし、問題の所存がルールを守らなかった人間に
あることを明確にできるものにしたいものですわ。
Re:GitHubをアク禁にするならAPIも忘れずに (スコア:0)
今回のは退職後のプライベートでGitHubからソースコードが流出したわけだけど、
「プライベートで特定のサービスを利用するな」
(退職後何年もたってからも。またその当時存在しなかったサービスも含めて)
なんて契約できるの?無理じゃね?会社にどんな権利があってそんな要求をするの?
仮にサインさせたところで裁判で雇用主の権利濫用って言われて終わりだろ。
Re:GitHubをアク禁にするならAPIも忘れずに (スコア:1)
GitHubの利用禁止は無理筋だよな
普通に会社で組んだソースコードの著作権は会社に帰属するって教育して
損害が出た場合の賠償請求例とかで勉強会して教えてくしかないよな
Re: (スコア:0)
従業員なり下請けなりの人員には教育を施し、そしてネットワークにはアクセス制御を施す。
それでもアクセスしようとしたら遮断し、そして教育されていたということの再認識を与える。
両方をセットで行わないと、やはり機能しないように思える。
Re: (スコア:0)
流出経路がそのネットワーク経由じゃないから意味がない
流出経路を遮断する必要がある
Re: (スコア:0)
もはや研修や教育では防ぎきれない、良識や良心に訴えるも何もない、ということなのであれば、
GitHub使用禁止、も仕方なくなってしまう。
Re: (スコア:0)
その結果がこの流出でしょ
ギフハブが何なのかも知らないから公開してはいけないということが分からなかった
自宅に持ち帰ったソースをネットに公開しただけだから問題はないと思っていた
そういう事件に対して社内でGitHub使用禁止して何の意味がある?
Re: (スコア:0)
下請けなんか使わなければリスクは大きく低減できると思うけど、あれこれ禁止したがる大きなところほど下請け禁止にできないというジレンマ。
Re: (スコア:0)
自社開発ならそれで良いけれど、複数の会社が絡んでいる中で、ソースコードなりなんなりをとってこいと所属会社から命令されたSEという問題もある。森友学園と似た構図ですね。
自分の意思で、持ち出すのはある程度防げるけど、上司の命令で、持ち出すのはそうそう防げないだろう。法令を熟知していても、上司の命令(あるいは社長の勅命)は止むことない。問題があればトカゲのしっぽ切りで終わらせるって筋書きだろうし。
(「職を辞するべき」なんてきれいごとは、守るべきものがある者には・・・ね。)
企業がAからCに発注先変更したとき、Aの下請けだったBがなんとかを持ち出し、Cの下請けをするとか。業界構造上深遠な下請けでありうるおこりうる話だろう。
企業→A社→B社
企業→C社→B社
教育も大事だが、サイバーセキュリティ(警備員)に金を使うしかないだろう。大量動員ってそれだけで費用が増加するんですよ。
人ってね ささやかな生活を守りたくて 間違いを犯すこともあるんですよね。 清貧に甘んじられず 穢れた富にはしる。 人って弱いね
Re: (スコア:0)
秘密保持契約で長期契約させるのは一般的だよ。裁判でも勝てる。
特定のサービスどころかどんなサービスでも秘密漏らしたらアウト。
親コメは秘密保持ではなくGitHub禁止を主張している (スコア:0)
そりゃそうだ。秘密保持契約で会社の情報を漏らしたらアウトはできる。
そんなことは俺だって知っている。今回やらかした人もそれは結んでいただろう。
だが、親コメはそれじゃ足りないから、GitHubを利用禁止にすべきだと主張している。
業務コードを漏らすこと禁止じゃなくて、GitHubを利用禁止にすべきだとだ。
勤務中ならまあいい。だが今回漏らしたのはプライベートでだから、それはプライベートでのGitHub禁止という話になる。
業務と関係なく、特定のサービスどころか未来のサービスまでも使用禁止するなんて、契約でアウトに出来ると思うか?
Re: (スコア:0)
Winny等ファイル共有ソフト禁止なんて当たり前だったじゃないですか。それと同じでは?
Re: (スコア:0)
あのwinny騒動の頃は、警察が出てきたり裁判でwinnyが違法ソフト扱いされてたから。
「違法ソフトを使うな」的主張だった。
だけどgithubは別に違法じゃないし、世界中で広く使われているので、個人で使うなというのは無理だろ。
Re: (スコア:0)
プライベートで使用しているPCでも使ってない誓約書を書かされて、検出プログラムの適用を強制されて、今思えば異様な時代だった。
Re: (スコア:0)
超絶便利ですけど、まあいうて うpろだですし
Re: (スコア:1)
それな。
開発用、として支給された分厚く重たいノートPC(実態はシンクライアント専用PC)を、
自腹でインターネットVPNに接続し、その先にある開発用の仮想デスクトップ、
といっても入っているものといえばJDKとEclipse、Teratermくらいのもので、
CygwinやChrome、VS.codeなんかをインストールするとそれが検出されてロックアウトされる、
みたいな環境で開発やらされる場だと、自宅の環境で作ってうpしたソース使えてGitHub便利。
Re: (スコア:0)
そもそもソースを自宅に持ち帰ってる時点で漏洩なんだよ
管理区域外の自宅より先はどこに行くかトラッキング不可能なんだから
なので、ソースなりなんなりをシステム的に自宅に持ち帰れないようにするのが対策
GitHubのプライベート領域経由で持ち帰る可能性も今回浮上したから、そこも塞ぐのは当然