2021-02-02
一般社団法人コンピュータソフトウェア協会(略称「CSAJ」、東京都港区赤坂)は、各種メディアで報道されている、クラウドサービス「GitHub」について、正しい理解と対応に向けた文書を発表いたしました。
はじめに
各種報道のとおり、ソフトウェアのソースコードをホスティングするクラウドサービス「GitHub」において、大手金融機関の業務システムのソースコードの一部が公開されていた事象が発生しました。クラウドサービスにおいては、情報の公開範囲などの設定の誤りが、セキュリティインシデントにつながることがあり、利用においては十分な配慮が必要です。その上で、クラウドは危険であるので使わせないという判断にならないよう、GitHubをはじめ、外部のクラウドサービス利用の萎縮につながらないよう、各社の節度ある情報セキュリティ設計を要請するものであります。
ソフトウェアの世界においては、比較的新しい技術であることから、リスク面に過度に注目し、便益が損なわれることが見うけられますが、本来であればソフトウェアのリスクを理解して、学び、教育させ、活用することが、何より重要です。
情報セキュリティへの配慮や、クラウドサービスのリスク管理をしっかりと行うとともに、活用に萎縮や便益を損なうことのないよう、改めて各社の取り組みをお願いします。
本事案を適切に理解するための背景
- 日本の産業構造の象徴ともいえるのが「多重下請け構造」(≒サプライチェーン)であり、委託や再委託を行わないとソフトウェア開発は行えない現実。
- DXを推進することは、ソフトウェアを開発・活用することでもあり、ソフトウェア開発はDXの根幹とも言える。
- 「クラウドバイデフォルト」とも政府も含めて発信をしているように、クラウドサービスは様々な環境(開発環境含む)においても使用することが前提となっている。
- 「クラウド」環境は言わば「場」であり、その使い方は利用者の使い方、すなわち設定やリテラシーなどに依存する。
- GitHubはソースコードを共有し合うサービスであり、ソフトウェア開発に求められるスピードや質の観点からも欠かすことのできないサービスである。
今回の事案に対する対策について
GitHubの設定を確認する。
→Organization内のリポジトリの可視性設定の確認する。
[リポジトリの可視性変更の権限を設定]
→Organization 内でリポジトリを作成するための権限を設定する。
[メンバーのリポジトリ作成可否を設定]
- 設定変更を行える人を限定する。(委託先には権限を付与しないことなどを検討する)
- 自由に作成できないように設定する。
- メンバーを管理する(削除や復帰等、定期的に見直す)。
- 定期的に公開設定状況を確認する。
- 万が一、情報漏洩が発生した場合に備えて、対処できる体制(PSIRT)等を整備する。
- このようなツールを使う場合は、事前に協議し、遵守事項として契約することが望まれる。
組織はどのように向き合うべきか?
- 経営者は、DXを積極的に推進するとともに、DXの根幹にはソフトウェア開発があることや、その開発の環境やプロセスなどの現状を理解する。
- 組織は、サプライチェーンをできる限り把握するとともに、委託元も委託先も相互に協力して、ソフトウェア開発の安全性に努める。
- 組織は、クラウドサービスなどを利用するにあたっては、規約や設定などを理解し、対応を検討、実施した上で用いる。(特に情報公開や共有等に関する設定には注意する。)
- 組織として、リスクを回避(クラウドサービスなどを使用しないと)するだけではなく、低減、移転、そして特に受容についてステークホルダーで議論、理解し、共通認識を持つようにする。
- 道具(ツールやサービス等)を利用することは「人」であることを理解し、常にリテラシーの向上や教育を実施し、「人」に起因するセキュリティ事故をなくす(最小限にする)ようにする。
- セキュリティ事故が発生することを想定し、迅速かつ的確に対応できる体制を確保する。
- 組織内外の開発エンジニアへの敬意を示すとともに、働き方(環境、待遇、ワークバランス等)の改善に継続して努める。
ソースコード漏洩事案について ~組織のDXを止めないために~
本件について、背景~課題~対策をわかりやすくまとめた資料をご用意いたしました。
ソースコード漏洩事案について ~組織のDXを止めないために~(PDF)