コンピュータソフトウェア協会(CSAJ)は2月2日、企業のソースコードがGitHubに無断公開された事案に関連して、クラウドサービスを利用する上での正しい理解と対応を求める声明を発表した。CSAJは「クラウドサービス利用の萎縮につながらないよう、節度ある情報セキュリティ設計を要請する」と表明している。
この事案では、1月下旬にシステム開発の委託を受けたエンジニアとされる人物が開発に関与したとする金融機関やITベンダーなどのソースコードをGitHubに無断で公開した。GitHubは世界中のソフトウェア開発現場で広く利用され、開発者にはおなじみのサービス。しかし、一部報道の影響で「GitHub」がTwitterトレンドに入るなど世間の関心が急拡大した。GitHubやソフトウェア開発について詳しくないと、「クラウドは危険であるので使わせない」とみなされることが懸念された。
CSAJは、今回の事案を正しく理解する上で、まず下記の背景を知ってほしいとする。
- 日本の産業構造の象徴ともいえるのが「多重下請け構造」(サプライチェーンに近い)であり、委託や再委託を行わないとソフトウェア開発は行えない現実
- デジタル変革(DX)を推進することは、ソフトウェアを開発・活用することでもあり、ソフトウェア開発はDXの根幹とも言える
- 「クラウドバイデフォルト」とも政府も含めて発信をしているように、クラウドサービスはさまざまな環境(開発環境含む)においても使用することが前提となっている
- 「クラウド」環境は言わば「場」であり、その使い方は利用者の使い方、すなわち設定やリテラシーなどに依存する
- Githubはソースコードを共有し合うサービスであり、ソフトウェア開発に求められるスピードや質の観点からも欠かすことのできないサービスである
その上で、今回の事案における次の対策ポイントを挙げている。
- 設定変更を行える人を限定する(委託先には権限を付与しないことなどを検討する)
- 自由に作成できないように設定する
- メンバーを管理する(削除や復帰など、定期的に見直す)
- 定期的に公開設定状況を確認する
- 万一情報漏えいが発生した場合に備えて、対処できる体制などを整備する
- このようなツールを使う場合は事前に協議し、順守事項として契約することが望まれる
さらに、組織的な対応でのポイントを以下のように紹介している。
- 経営者は、DXを積極的に推進するとともに、DXの根幹にはソフトウェア開発があることや、その開発の環境やプロセスなどの現状を理解する
- 組織は、サプライチェーンをできる限り把握するとともに、委託元も委託先も相互に協力して、ソフトウェア開発の安全性に努める
- 組織は、クラウドサービスなどを利用するに当たっては、規約や設定などを理解し、対応を検討、実施した上で用いる(特に情報公開や共有等に関する設定には注意する)
- 組織として、リスクを回避(クラウドサービスなどを使用しないと)するだけではなく、低減、移転そして特に受容についてステークホルダーで議論、理解し、共通認識を持つようにする
- 道具(ツールやサービスなど)を利用することは「人」であることを理解し、常にリテラシーの向上や教育を実施し、「人」に起因するセキュリティ事故をなくす(最小限にする)ようにする
- セキュリティ事故が発生することを想定し、迅速かつ的確に対応できる体制を確保する
- 組織内外の開発エンジニアへの敬意を示すとともに、働き方(環境、待遇、ワークバランスなど)の改善に継続して努める
クラウドサービスをめぐっては、ユーザーがセキュリティ設定などを不適切なまま利用して個人情報などの機密データを意図せず漏えいさせてしまう事案も度々発生している。
