「GitHub」へのソースコード無断公開問題

 
「GitHub」というサービスをご存知でしょうか。プログラムを少しかじったことのある人なら聞いたことがあるかもしれませんね。「Git」というのは、プログラムのソースコードなどの変更履歴を記録・追跡するための分散型バージョン管理システムのことで、更新ごとのバージョン管理がしやすく、チームでプログラミングを行う場合に有効な手段です。
 
そして、GitHubは、このGitの仕組みを利用して、世界中の開発者がプログラムコードやデザインデータなどを保存できるウェブサービスです。あらゆるプロジェクトシーンで、GitHub上にソースコードをホスティングすることで数百万人もの他の開発者と一緒にコードのレビューを行ったり、プロジェクトの管理をしながらソフトウェアの開発を行うことができます。いまやソフトウェア開発において欠かすことのできないクラウドサービスです。
 
しかし、今回このGitHubにおいて、本来上がってはならないプログラムソースコードが公開されていたとして問題になりました。三井住友銀行（SMBC）は1月29日、同行のシステムに関連するソースコードがGitHubに無断で公開されていたと明らかにしました。委託先のSEとみられる人物が、自身の書いたソースコードから年収を診断できるWebサービスを利用するため、SMBCなどから委託を受けて開発したコードをGitHubに公開したのが原因でした。ただ、顧客情報の流出はなくセキュリティに影響はないとしています。
 
しかしこの他にも、GitHub上に一時公開されたソースコード群からは個人信用情報の照会・審査システムに関わると思われるソースコードも複数見つかっているといいます。
 
『三井住友銀行などのソースコードが流出　“年収診断”したさにGitHubに公開か【追記あり】』
（出典：2021年01月29日　ITmedia記事より）
 

「GitHub」の適切な利用を

 
前述のGitHubに無断公開されたとするソースコードの事象を受け、一般社団法人コンピュータソフトウェア協会（CSAJ）は、「GitHubに関する対応とお願い」と題する文書を公開し、GitHubへの理解と正しい対応を呼びかけました。
 
同協会は、今回の呼びかけの冒頭で以下のように述べています。
 

クラウドサービスにおいては、情報の公開範囲などの設定の誤りが、セキュリティインシデントにつながることがあり、利用においては十分な配慮が必要です。その上で、クラウドは危険であるので使わせないという判断にならないよう、GitHubをはじめ、外部のクラウドサービス利用の萎縮につながらないよう、各社の節度ある情報セキュリティ設計を要請するものであります。

 
あわせて、「GitHubはソースコードを共有し合うサービスであり、ソフトウェア開発に求められるスピードや質の観点からも欠かすことのできないサービスである」とし、「クラウド」環境は言わば「場」であり、その使い方は利用者の使い方、すなわち設定やリテラシーなどに依存するとコメント。企業はクラウドサービスの活用に臆するのではなく、適切な管理体制の構築や従業員教育を行いましょうと呼びかけています。
 
こういったサービスはあくまでも道具です。どのような道具でも使い方次第で、便利にもなれば、悪用されることもあります。クラウドサービスを利用する際は、入力する情報がどのように扱われる規約になっているのかを確認し、勤務先や取引先のガイドラインやポリシーに沿って活用したいものですね。
 
『GitHubに関する対応とお願い』
（出典：2021年02月02日　一般社団法人コンピュータソフトウェア協会より）
 
＊＊＊＊＊＊＊＊＊