オンラインツールやオンラインサービスを使用すると、ソフトウェア開発期間を大幅に短縮できる。また、その分野に詳しい人たちによって検証された実績あるコードを使用する場合、自らでコードを記述するよりもセキュアなソフトウェアを実現できる。
とはいえ、開発期間の短縮や開発手法の簡素化にばかりとらわれ、オンラインサービスの使い方を誤ると、業務をリスクにさらしかねない。本記事で解説している3つの過ちは、それにより本来公開してはいけない知的財産が社外に流出したり、開発中のソフトウェアに対する意図せぬ変更を許してしまったりする可能性があるものだ。
#1:機密データをオンラインリポジトリに保存する
GitHubをはじめとするオンラインのコードリポジトリは、開発中のコードを公開する場合には最適な選択肢となる。また、このようなサービスの企業向け版を購入すれば、よりきめの細かい統制も可能になる。会社のコードをオンラインリポジトリでホストするメリットはさまざまだ。例えば、開発者はプロビジョニング担当部門の作業を待たずに作業を開始できるようになるだけでなく、会社のネットワークに制限されることなく、どこからでもリポジトリにアクセスできるようになり、フォーラムでのサポートやアプリケーション、サンプルコードも見つけやすくなる。
ただ、オンライン上にソースコードを保存する場合、保存したデータによって大きな懸念がもたらされる。例えば、社内アプリケーションのコードをパブリックリポジトリでホスティングした場合、意図せずインターネット上に企業インフラの詳細を明かしてしまう可能性もある。それが設定ファイルであったとしても、場合によってはインターネットに接続されているテストシステムやユーザー名、パスワード、隠しインターフェースが記述されている可能性もある。この他にも、プロプライエタリなアルゴリズムや、ドキュメント化されていないAPIのほか、テストデータとして使用した製品データなどの知的財産が考えられる。秘密鍵(SSHの秘密鍵や、ウェブサーバが使用するTLSの秘密鍵、モバイルアプリで使用するデジタル署名など)は、簡単に検索でき、オンラインリポジトリ上で実際にしばしば見かける。中小企業は特に、このような方法で無償サービスや廉価版サービスを利用しがちだ。
このためセキュリティ担当者は、どこにコードがホスティングされているのかや、どのようなセキュリティ設定がリポジトリ上で使用されているのか、社内の誰がそのリポジトリの管理権限を持っているのかを把握しておく必要がある。
