三井住友銀行などのソースコードが流出した件を教訓にした、当社の方針(予定)
先日、三井住友銀行(SMBC)のソースコードがGitHubにアップロードされ、"公開"されていたことでネット界隈を中心に大ニュースになりました。
この件は、いわゆる重大インシデントと呼ばれ、企業にとってもフリーランスのプログラマにとっても非常にリスクの大きい事件となります。
当社(Education Hack)にとっても、他人事で済まされることではないので、この件を踏まえて方針を検討しました。
その方針について共有させていただきます。※随時方針は更新される可能性があります。
今回の問題点
当社は、今回の問題は、GitHubの仕組みに問題があると考えていません。
どちらかというと、多重下請け構造の欠陥から来たコンプライアンスの問題と考えております。
特に、
・当該エンジニアが、ソースコードをGitHubにあげて、"公開"にするリスクを考えていなかった(もしくは、そのリスクより転職したいという動機が上回ってしまった)
・当該エンジニアをアサインした会社サイドが、ソースコードを公開、漏洩してしまうリスクを考えていなかった。
といった要因が背景にあるのではないかと考えております。
この件の真相は、引き続き続報を待ちたいところです。
GitHubの運用について
先述の通り、今回の問題は、GitHubの仕組みが原因で発生したインシデントではないと考えております。
従いまして、エンジニア自らが作った受託案件以外のソースコードについては、GitHubでソースコードを公開すること自体、禁止する予定はありません。
ただし、セキュリティやソースコードの漏洩が発生するリスクを鑑み、当社の開発案件はGitHubでソース管理しないようにしております。
(ソース管理の仕組みはGit自体採用していますので、誤解なさらぬようお願いいたします💦)
つまり、よりクローズドな環境でソースコードを管理しています。
フリーランスエンジニアについて
当社は、フリーランスエンジニアを直アサインすることが非常に多いです。
開発が多重下請け構造になってしまうと、どうしても下請け先のフリーランスエンジニアまで目が届かず、信頼関係を構築するのが難しいと思っています。
従いまして、当社はフリーランスエンジニアを直請けでアサインしています。
また、委託する際も、
・IPAが公表している中小企業の情報セキュリティ対策ガイドライン
・当社のセキュリティガイドライン
の遵守を改めてお願いする方針です。
セキュリティについて
当社の自社開発サービスStudyCollect(スタコレ)は、セキュリティを最も重要視しております。
そのため、
・IPAが発表しているセキュリティ情報のキャッチアップ
・定期的な脆弱性診断の導入
といった施策も徐々に強化していきます。
その他方針に変更や進展がありましたら、随時発信していこうと思います。