#2:機密データをテキスト共有サービスに投稿する
テキストやコード、エラーメッセージ、データをコピー/ペーストできるようにして、開発効率の向上を支援するというオンラインサービスが数多く存在している。このようなサービスは、開発チームが同じ場所で作業していない場合や、この種の共有が簡単にできない環境にいるチームにとって便利な存在となる。
コラボレーション開発を実施しており、データを迅速に共有する必要がある場合、テキスト貼り付けサイト(PastebinやPretty Diff、pbなど)にデータをペーストしておき、「HipChat」や「Skype」のセッションを使って他の開発者とそのURLを共有するのは簡単だ。しかし、こうしたデータにはテストを実施した際のセッショントークンやユーザー名、パスワード、サーバ設定が含まれている可能性もある。また、多くのテキスト貼り付けサイトでは通信にHTTPSを使用していないため、貼り付けられるデータは作業中の開発者(貼り付けた側の開発者やその内容を受け取る開発者)が接続しているWi-Fiネットワークからも読み取ることができる。さらにオフィススペースを共有している場合(インキュベーターの元や、レンタルラボ、レンタルオフィスなど)、そこにいる他のユーザーからも該当ネットワークを流れる内容の取得が可能となる。
#3:ユーザーやアクセスを管理しない
ソフトウェア開発チームがオンラインサービスを使い始める場合、開発者の1人が管理者の役割を担い、誰がコードやその他の資産にアクセスできるのかを統制することになる。当初はこれでもよいが、最終的にはIT部門が統制するとともに、責任を持つという点が重要となる。そして最後には、企業のIT部門が情報へのアクセスを統制し、定期的にアクセス権限を再評価し、誰がデータに対するアクセス権を保持しているのかといった管理責任を持つことになる。開発者はこの種のアクティビティに対する責任を持たないため、いったんツールが導入され、日々の運用に入った段階で統制権を引き渡す必要がある。
IT部門のセキュリティチームはオンラインサービスの用途を受け入れるとともに、そのサービスについて学習し、統制権を引き継ぐ必要がある。また、誰がアクセス権を有しているのかや、その人物にアクセス権が今でも必要なのかを把握しておかなければならない。さらに、社内システムで採用している入社/異動/退社時のプロセスをクラウドサービス上でも採用する必要がある。
