パスワードを忘れた? アカウント作成
15163050 story
情報漏洩

コンピュータソフトウェア協会、GitHub流出の件で利用萎縮にならないよう求める声明を発表 110

ストーリー by nagazou
極端な対応はやめましょう 部門より

GitHubへの社内コード流出の件は、さまざまなところで波紋を呼んでいるようだ。コンピュータソフトウェア協会(CSAJ)は2日、「GitHubに関する対応とお願い」という声明を発表した(一般社団法人コンピュータソフトウェア協会INTERNET Watch)。

簡単に言えば大手の発注元は、下請け企業などに対して、GitHubなどへのアクセスを禁止する方向に動かないでほしいというものとなっている。どうも今回の件で大手企業がGitHubへのアクセスを禁止する方向に動いている気配がある模様。このため、先のGitHubに関する対応とお願いでは、日本の抱える多重下請け構造のことやGitHubはソースコードを共有し合うサービスであり、開発の速度や質の面でも欠かせないサービスであると言うことを説得するような内容となっている。

同様にITmediaに掲載された「GitHubは悪者か? SMBCのソースコード流出から学ぶ、情報漏えいのリスク」という記事でも、

GitHubなどのエンジニアが利用するサービスを悪者にして一切の接続を禁止するといった“やったつもりのセキュリティ対策”はお薦めしません。

と同し懸念を指摘する一文が含まれている。こちらの記事では教育に力を入れて対処していくすべきだとしている。

  • 残念ながら末端まで教育を浸透させられるとは思えないんだけどなぁ

    やる夫スレでIT業界のやる夫さんというのがあるんだけど
    流出の話題はなかなか身も蓋もない話になってたよ
    https://yaruonichijou.blog.fc2.com/blog-entry-49184.html [fc2.com]

    #今回の一件でどこを問題と見るかはポジショントークになりそうねぇ
    #問題点がありすぎて

    ここに返信
  • 偉い人が内情考慮せず社内環境からGitHubのアクセスを禁止する
      ↓
    末端作業者が情報共有できずローカルにコードをため込むことが常習化、ファイルを持ち帰って作業するようになる
      ↓
    個人環境がマルウェアにデータ抜かれるなどして漏洩し、拡散
      ↓
    最初に戻る

    #これで「薬物濫用の悪循環」のパロディ画像作れそう。

    ここに返信
    • 末端作業者が情報共有できずローカルにコードをため込むことが常習化、ファイルを持ち帰って作業するようになる
        ↓
      家にあったコードで年収診断をしてみようとしてアップロードして漏洩し、拡散

      # 今回の穴はこっちなんだよなぁ。

      • by Anonymous Coward

             情報を遮断
            社員教育を省略
               ↓
        誰も正しい作業手順を知らず、雰囲気で作業
           (職場が崩壊した状態)
               ↓
        事故が発生するも、何もかも分からない
              収拾不能

  • by Anonymous Coward on 2021年02月03日 13時52分 (#3971478)

    途中からDXというバズワードの広報文になってるんですが

    ここに返信
    • by Anonymous Coward on 2021年02月03日 16時54分 (#3971661)

      > 途中からDXというバズワードの広報文になってるんですが

      それは話が逆で、
      正攻法では説得できない情弱な経営層を納得させる手段として、
      そういう経営層に効き目があるバズワードを使ってるだけでしょう。

      DXに結び付けるのは無理筋ではと分かるような層は
      そもそもgithubアクセスを遮断しようとか考えないので
      この文章の想定読者じゃないわけです。

    • by Anonymous Coward
      • DXを推進することは、ソフトウェアを開発・活用することでもあり、ソフトウェア開発はDXの根幹とも言える。

      のとこな。謎の正義感に突き動かされて一本書き上げると、本人は分かっているつもりでも第三者が見たら突飛にしか見えない理論の飛躍が発生することは稀によくある。

    • by Anonymous Coward

      DXって聞くとちょっとわくわくしますね。無線的に。

    • by Anonymous Coward

      DXってDeveloper Experienceかと思ったわ。

      とりあえずDX云々の行は削除して読んでおく。

  • by Anonymous Coward on 2021年02月03日 13時56分 (#3971483)

    今時、githubを使ってないエンジニアは少数派なんじゃないだろうか?
    現状でも人手不足が酷い状況なのに、githubを使ってないエンジニア限定で募集しても人が集まらなくなると思うが。

    ここに返信
    • by Anonymous Coward

      Githubになんでもホイホイうpするようなエンジニアは少ないでしょ
      てか普通やらない

      • by Anonymous Coward

        >普通やらない
        その普通ってどこの普通?
        IT業界関係者が口々に起こるべくして起こったと言ってるって事は、
        そういう人がいる事こそが普通と認識されてる事でしょ。
        単に「上がってるけど話題になってない」「ホイホイ上げるけど上げる意味がないから今は上げてないだけ」ってだけで。

        結局「情報漏洩とは何か、その影響は」という教育と、
        やらかした時のリスクを背負わせる≒持たせるタスクの重要性に見合った給料を個人に払うことを徹底するしかないでしょ。
        ここういう部分にこそどこぞの接続料みたいに国が作業者の給料が委託元に透明になるよう規制を作る事が
        派遣制度なんてものを作った国の責任。

    • by Anonymous Coward

      使う人の問題だからね。
      Githubを禁止にしたところで、代わりのツールが必要になるだけで、そのツールで
      流出させる輩が出ないとは言い切れない。
      流出させた根本原因から追及しないとねぇ。

      • by Anonymous Coward

        そもそもの発端が

        あるユーザーが「GitHubのコードで年収を査定してくれるサービスを使うため」という理由

        だからね。

        ケビン・ミトニックを題材にした映画で、ソフトウェアを誉めてソースコードを入手するソーシャルハックを思い出した。

    • by Anonymous Coward

      githubはプライベートもできるけど基本的に公開用だからな。
      普通はレンタルサーバーか自宅に自分でgitサーバー立てて使うものだと思うぞ。

      • by Anonymous Coward

        おじいちゃん、もうGitHubのプライベートリポジトリが無料で使えるようになって2年も経つんですよ。
        今時の人は、もうレンサバも自宅Gitもやらないで、全部GitHubですよ。

        # うちの自宅Gitも会社の社内Gitもここ二年で既に全部廃止済み。

  • by Anonymous Coward on 2021年02月03日 13時57分 (#3971486)

    こんな当たり前なことがニュースになるって

    ここに返信
    • by Anonymous Coward

      誰もGithubを悪者と決めつけてないのに、声明書いた人とCSAJ会員企業は今の状況を理解できてるのだろうか。

    • by Anonymous Coward

      こうやって声明を出してもらわないといけないところがつらいね。
      GitHub禁止のプロジェクトなんか断ったり辞めたりできればBESTなのに。

      • by Anonymous Coward

        まあそんなプロジェクトが来たら、よほど高給でない限り逃げるに限るよ。
        今はコロナ過な状況とはいえ、依然エンジニアは売り手市場なんで転職は割と容易だから我慢しない方が良い。

  • by Anonymous Coward on 2021年02月03日 14時02分 (#3971492)

    教育ですめばベストだけど理想論でしかない。

    世の中には常識(教育)が通用しないタイプがかなりいる。
    今回の流出をおこしたのもそのタイプ。周りに指摘されても何が悪いのかがまったく理解できていなかった(とぼけてるだけかもしれないけど)

    githubなどコピペしてもってくるためにあるようなサイトだから真っ先に遮断すべきだし、githubだけを禁止しても仕方ないから
    遮断はホワイトリストで運用すべき。実際、厳しい企業はそうやっている。

    ここに返信
    • by Anonymous Coward

      こう考えている企業はどんどん自社の姿勢や取り組みをアピールして、
      いかに自分たちが高いセキュリティ意識を持っているか
      特に求人欄にはしっかり書いておいてほしいと思う

      自覚なく非常識な人でも、こういう対策をとっているところなら安心して働けるわけだし
      それが社会のため、世界のためになるはず

    • by Anonymous Coward

      仰る意味は判るんですが、
      >世の中には常識(教育)が通用しないタイプがかなりいる。
      貴方の言うとおりとんでもないことをしでかす人間は
      ホワイトリストで運用してもA社に送るはずの資料をB社に送ったりするわけで・・・
      遮断すべきは理解が足りてない人間のネットワーク接続かなぁと。

    • by Anonymous Coward

      とはいえ、今回は家からプロジェクト終了後数年経って漏洩したので、会社が遮断したところで全く効果は無いんですけどね。
      今の時代は職場をネットから完全遮断して持ち出し対策も難しいでしょうし。
      教育をしっかりしないと、どうにもならないでしょう。

    • by Anonymous Coward

      それがその会社の方針であるなら好きにすればいいんだけどさ、ちゃんとリスクマネジメントできてる?

      pushだけじゃなくて閲覧まで完全遮断するなら、ライブラリをダウンロードできなくて車輪の再発明をするコストだとか、別口でダウンロードできてもサンプルソースやドキュメントを参照できなくて使用方法の習得に余計にかかるコストだとかとちゃんと天秤かけてる?

    • by Anonymous Coward

      とりあえず現状で即セキュリティを求めるならそれしかないよな。

      改善策も提示しないでやったつもりのセキュリティ策とレッテル貼りして何の利点があるのかの方が分らん。
      自分でセキュリティと言って開発効率の話なんかしてない事が分っている筈なのに。

      将来的な開発の都合と今現在起こっている事への対処って別レイヤーとして対処しても良い話だと思うんだが。

      • by Anonymous Coward on 2021年02月03日 17時03分 (#3971666)

        「持ち帰ったソースを勝手にアップロードした」事件に対して
        「社内からアップロード先サイトを見れなくします」じゃ理屈がおかしい
        社内で起こってることは「ソースの持ち帰り」だから外部サイトは関係ないじゃない

        「改善案の提示が必要だから、関連キーワードを含む検索結果を口に出しました」ってレベル
        叩き台として必要なのかもしれないけど、案になってない

  • by Anonymous Coward on 2021年02月03日 14時16分 (#3971512)

    「多重下請け構造」と「ソースコードを共有」というモノは、結局どうにも相容れないのだから、
    やったつもりだろうがなんだろうが、それはセキュリティ対策の一つとして粛々とするものかと。

    逆に「GitHubを利用してもいいけどそこには委託なりうけた案件のソースコードやそこで得たノウハウが
    含まれているソースコードは上げない」というルールにしたところで、
    それを守れているか、口約束以外に証跡出せと言われても出せんでしょう。
    そのために、発注者や元請けがそれをわざわざ監視しなけりゃならんだの、何なの?と。

    それなら、そんな曖昧なルールを設けずアクセス禁止にし、問題の所存がルールを守らなかった人間に
    あることを明確にできるものにしたいものですわ。

    ここに返信
    • by Anonymous Coward

      今回のは退職後のプライベートでGitHubからソースコードが流出したわけだけど、

      「プライベートで特定のサービスを利用するな」
      (退職後何年もたってからも。またその当時存在しなかったサービスも含めて)

      なんて契約できるの?無理じゃね?会社にどんな権利があってそんな要求をするの?
      仮にサインさせたところで裁判で雇用主の権利濫用って言われて終わりだろ。

      • by Anonymous Coward on 2021年02月03日 15時39分 (#3971590)

        GitHubの利用禁止は無理筋だよな
        普通に会社で組んだソースコードの著作権は会社に帰属するって教育して
        損害が出た場合の賠償請求例とかで勉強会して教えてくしかないよな

        • by Anonymous Coward

          従業員なり下請けなりの人員には教育を施し、そしてネットワークにはアクセス制御を施す。
          それでもアクセスしようとしたら遮断し、そして教育されていたということの再認識を与える。

          両方をセットで行わないと、やはり機能しないように思える。

      • by Anonymous Coward

        秘密保持契約で長期契約させるのは一般的だよ。裁判でも勝てる。
        特定のサービスどころかどんなサービスでも秘密漏らしたらアウト。

        • そりゃそうだ。秘密保持契約で会社の情報を漏らしたらアウトはできる。
          そんなことは俺だって知っている。今回やらかした人もそれは結んでいただろう。

          だが、親コメはそれじゃ足りないから、GitHubを利用禁止にすべきだと主張している。
          業務コードを漏らすこと禁止じゃなくて、GitHubを利用禁止にすべきだとだ。
          勤務中ならまあいい。だが今回漏らしたのはプライベートでだから、それはプライベートでのGitHub禁止という話になる。

          業務と関係なく、特定のサービスどころか未来のサービスまでも使用禁止するなんて、契約でアウトに出来ると思うか?

    • by Anonymous Coward

      API? Git使ったことないの?

      Gitが何なのか分からないけどエンジニア名乗ってますって?
      分からないけど会社のネットワーク構成に口出してますって?
      ヤバくない?

      • by Anonymous Coward on 2021年02月03日 15時50分 (#3971604)

        Git? GitHub使ったことないの?

        GitHubが何なのか分からないけどエンジニア名乗ってますって?
        分からないけどスラドのコメントに噛み付きますって?
        ヤバくない?

      • by Anonymous Coward

        GitHubの話をしてるのにGitの話を持ち出す方がヤバイんだよなぁ

      • by Anonymous Coward

        ちょっとググればGitHub REST APIなるものが存在していることがわかるだろうに何をイキっているのだこの人は。

        • by Anonymous Coward

          だがちょっと待って欲しい。彼はlibgit2のことを言っているのかもしれない。

  • by Anonymous Coward on 2021年02月03日 14時36分 (#3971530)

    そういう企業が潰れないから日本全体が沈没していく

    ここに返信
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...