艦コレ、300万円、SMBC、GitHub…なんや？ほほー、金融庁検査でなんか言われるんかな？GitHub利用が多いのはわかるけど…

Twitterトレンド

昨日の朝、起きてtwitter見てたら、「300万円」ってトレンドに上がっていました

なんや？誰かの年収？どこかの業界の年収？とか思ってると、300万円のほかに、艦コレ、SMBC、GitHubが関係するような感じ・・・

なんや？なんや？？

こうゆうことやったらしいですね

http://gahalog.2chblog.jp/archives/52501975.html

【悲報】艦これユーザ、SMBC(三井住友銀行)のソースコードをGithubに公開 : ガハろぐNewsヽ(・ω・)/ズコー

原因しょーもなw

てか、炎上したら、特定班が動いて、ここまで根掘り葉掘り調べられるのん、すごい！こわっ

SMBC(三井住友銀行)は、ソースコード自体はSMBCのものだと認めたみたいですが、重要な処理部分ではなく、セキュリティ上大きな影響はないとのこと

ま、そうでしょうね

https://xtech.nikkei.com/atcl/nxt/news/18/09551/?n_cid=nbpnxt_twcm_it&utm_source=dlvr.it&utm_medium=twitter

GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」

また、このnoteを書いている1/30時点では、SMBCはプレスリリースなどで公式発表しておらず、SMBCとしてソースコードを公開したわけではないというスタンスのように見えます

GitHubにあったソースコードは、SMBCの意図とは全く関係のないところで、勝手にアップされて公開されたもの

ソースコードとは？

ソースコードって、こんなやつですw

ま、これは、html・cssで、処理が書かれていないので、厳密にはプログラムのソースコードではありませんが・・・こんな感じのものです

ソースコード（英: source code）は、プログラミング言語で書かれた、コ
ンピュータプログラムを表現する文字列（テキストまたはテキストファイル）である。

Wikipedia「ソースコード」より引用

いろんな説明の仕方があると思いますが、僕的には、Wikipediaのこの1文がしっくりいく説明です

ソースコードは「コンピュータが行う処理を、人間がわかるようにプログラム言語で記述したもの」だと捉えています

今回のような出来事があって、マスコミが報道するとき、ソースコードを「プログラムの設計書」と表現することがありますが、僕は違和感を感じます

人といろいろ話をすると、「プログラムの設計書」と説明するエンジニアもいて、理由を聞くと納得もします

「プログラムとは何ぞや？」って話に行きつくので、まじめに考えれば考えるほど難しくなる気がします

ちゃんとした知識がないと、理解できないと思います

マスコミは、エンジニアから聞いたことをそのまま書いてるのかもしれませんね

その結果、多くの人がイメージする「設計書」とソースコードは、かけ離れてないか？と僕は感じます

「プログラムとは何ぞや？」って話からまじめに考えれば考えるほど難しくなる気がします

今回の騒動が与える影響？

https://news.yahoo.co.jp/byline/mikamiyoh/20210129-00220038/

SMBC三井住友銀行が流出認める：艦これ発端で発覚したGitHub経由のコード流出（三上洋） - Yahoo!ニュース

ITジャーナリスト三上洋さんの記事では、3点「今後焦点となる問題点」を上げておられます

・他社が認めるかどうか
・GitHubが社内制限になると大きな問題に
・再委託先の問題

他社が認めるかどうか？

どうなんでしょうね？

ソースコードの中に、いろんな組織の名前があるようです

某大手ITベンダーが請け負った案件じゃないか？と噂せているようで、きっとこのベンダーの再委託先、更にその再委託先のエンジニアだったのでしょう

そのほかの2点についてはどうでしょう？

GitHubが社内制限になると大きな問題に？

ITジャーナリスト三上さんはこうおっしゃっています

いまやGitHubはインフラであり、なしで仕事が進みません。しかし今回の事件で、トップが安易に「GitHubは危険だからやめろ」「うちのが上がってないか総点検しろ」などと言ってくる可能性があります。そうなると仕事がストップしますから重大です。

引用：GitHubが社内制限になると大きな問題「SMBC三井住友銀行が流出認める：艦これ発端で発覚したGitHub経由のコード流出」(Yahoo!Japanニュース：https://news.yahoo.co.jp/byline/mikamiyoh/20210129-00220038/)より引用

たしかに、GitHubを利用している組織、プロジェクト、エンジニアは多いと思います

でも、「いまやGitHubはインフラであり、なしで仕事が進みません。」は言いすぎじゃないかな？

SMBCをはじめとする銀行など、セキュリティレベルが高い組織は、公式にGitHubはほとんど利用されていません

多くの組織では、subversionやCSVなどを利用して、組織内で管理しているでしょうし、ソース管理システム自体を自前で作っている組織もあるでしょう

GitHubは、オープンソースソフトウェア(OSS)推進を目的としたコミュニティなので、OSSにあまり関係がない業界や組織は、GitHubを利用していないと感じます

ちゃんと目的・背景や役割、具体的な機能を知らないまま使っているエンジニアもいるのだと思いますが、今回の出来事をきっかけに見直してもらいたいものです

これらを理解していない上層部がいると、三上さんが指摘されているように「GitHubは危険だからやめろ」「うちのが上がってないか総点検しろ」とかいわれて、レポートさせられる組織やエンジニアは出てくるでしょうね…w

GitHub利用実態

2020年の利用実態を見ると、GitHubが利用されている言語は、JavaScript、Python、Javaの順に多いようです

引用：The 2020 State of the Octoverse(https://octoverse.github.com/)より引用

JavaScriptはWeb系システムに使われることが多い言語です

PythonはAI・機械処理に使われることが多い言語です

ほっほー

順位なので、あくまで相対的なものですが、PythonがJavaを抜いていること、PHPやRubyが下がっていることが興味深いです

GitHubのレポートは、なかなか面白いです

https://octoverse.github.com/

The State of the Octoverse | The State of the Octoverse explores a year of change with new deep dives into writing code faster, creating documentation and how we build sustainable communities on GitHub.

Gigazinが日本語で補足をしてくれていますので、合わせて読むと理解が進みます

https://gigazine.net/news/20201204-github-report-2020/

GitHubが2020年のユーザー数やリポジトリ数、人気の高いプログラミング言語やトピックなど使用状況を詳細にまとめたレポート「The State of the Octoverse 2020」を公開

再委託先の問題？

ITジャーナリスト三上さんは、再委託先についても指摘しています

プログラムは委託先に依頼するわけですが、実際には再委託が何度も行われている実態があります。三次受け、四次受けにもなることがあり、その管理ができるかどうかということも今後問題になります。きちんとした費用が払われているか、などのコスト・待遇の問題も重要です。

引用：再委託先の問題「SMBC三井住友銀行が流出認める：艦これ発端で発覚したGitHub経由のコード流出」(Yahoo!Japanニュース：https://news.yahoo.co.jp/byline/mikamiyoh/20210129-00220038/)より引用

IT業界に限ったことではありませんが、何度も何度も再委託が繰り返されている状態は、委託元や1次委託先が、本当に責任を担えるのか？いつも疑問に思います

特に、メディアなどで華々しく取り上げられるWeb系の業界とは違い、銀行をはじめとする企業のシステムを担うITエンジニア界隈には色濃く残っています

日本のIT業界の構造

委託元、委託先、再委託先、その再委託先、さらにその再委託先…

日本のIT業界には、ピラミッド構造が存在しています

図にするとこんな感じですね

画像： Falling in Foreign Love「新卒で中小IT企業は絶対に目指すな！SES企業の悲惨さと現実を現役営業兼SEがご紹介します。」(https://fflove.info/%E4%B8%AD%E5%B0%8Fses%E4%BC%81%E6%A5%AD%E3%81%AE%E7%8F%BE%E5%AE%9F/)より引用

SMBCのITは誰が担っている？

SMBCのITの大部分は、日本総研(JRI)へ委託されています

https://www.jri.co.jp/

日本総研

システム開発の多くはJRIが1次委託先となって、必要に応じ他のベンダーへ再委託をして、プロジェクトが進められます

なお、システム運用に関しては、日本総研から、その子会社の日本総研情報サービス(JAIS)に再委託しています

https://www.jais.co.jp/

株式会社日本総研情報サービス

さらに、ハードウェア、最新技術などは、住友グループの日本電気(NEC)が多く関与しています

https://jpn.nec.com/

NEC(Japan)

グループ内には、さくらケーシーエス、さくら情報システムなど、旧さくら銀行系のIT関連会社もあり、複雑度が増しています

https://www.kcs.co.jp/

さくらケーシーエス

https://www.sakura-is.co.jp/

さくら情報システム｜会計・人事給与・金融などのシステム開発運用

グループ外の会社で、プロジェクト単位でSMBCのシステム開発に関与する会社も、多数あると思います

こんな風に↓

画像：トランス・コスモス「導入事例：三井住友銀行」(https://www.trans-cosmos.co.jp/customercase/customer/smbc.html)より引用

でも、これらの多くは、SMBCから直接の委託ではなく、JRIやNECからの再委託だと思われます

そもそも、SMBC本体や、SMBCを含む三井住友フィナンシャルグループ(SMFG)としても、ITを担当する部門はあります

SMBC本体には、コーポレートスタッフ部門として「デジタルソリューション本部」があり、傘下にデジタル戦略部と、法人デジタルソリューション部があります

画像：三井住友銀行について「組織図」(https://www.smbc.co.jp/aboutus/profile/orgchart.html)より引用

SMFGには、IT企画部、システムセキュリティ統括部があります

画像：SMBCグループについて「組織図」(https://www.smfg.co.jp/company/info/organization.html)より引用

今回、騒動の発端になったエンジニアは、おそらく、SMBCやグループ内部の人間や、JRIやNECのエンジニアではなく、そこから再委託を受けた会社か、さらにそこから再委託を受けたエンジニアなのでしょう

SMBCが管理をすべきというのは真っ当な正論ですが、実際にSMBCが把握できるかどうかといえば、かなり無理なものだと考えます

金融庁もチェックする銀行の再委託先(外部委託)管理

SMBCを含む銀行などの金融機関は、金融庁が監督省庁です

金融庁は、銀行などを監督しており、定期的に、あるいは、何か問題が起こった時に、金融庁検査を行います

そう、ドラマ「半沢直樹」で、黒崎が実施する、あの金融庁検査です！

金融庁が公表する監督指針には、システムリスクについて明記されていて、再委託を意味する「外部委託」について触れる部分もあります

「主要行等向けの総合的な監督指針 令和２年12月」(https://www.fsa.go.jp/common/law/guide/city/index.html)

かつては「金融検査マニュアル」なるものがあり、書かれた内容に基づく検査が行われていました

金融庁がこの金融検査マニュアルに基づき金融庁検査を行うということは、銀行などはこれに基づき、社内態勢を整える必要がありました

金融庁「預金等受入金融機関に係る検査マニュアル」(2019年12月18日廃止)
https://www.fsa.go.jp/common/law/manualLink.html

金融庁「預金等受入金融機関に係る検査マニュアル」(2019年12月18日廃止)
https://www.fsa.go.jp/common/law/manualLink.html　より引用

今回のソースコード自体は、直接、SMBCの本業や、SMBCの顧客には、大きな影響はないと思います

でも、システムリスクという点、特に再委託という意味では、大きな課題w投げかけたのではないでしょうか

#艦コレ #300万円 #SMBC #GitHub
#三井住友銀行 #エンジニア #IT
#再委託 #外部委託
#金融庁 #金融庁検査 #金融検査マニュアル #監督指針