GitHubのソースコード流出から懸念される追加の情報漏洩

この記事で伝えたいこと

GitHubというツールからソースコードが漏洩したというニュースがありました。ソースコード漏洩の影響、ソースコードが漏洩したことから懸念されるその他の情報漏洩について説明します。

GitHubとソースコードとは何なのか？

システム開発に携わったことのない方にとって、ソースコードというのは馴染みのないものかもしれません。こちらは、システムを動かすための指示が記載されたもので、最近流行っているプログラミングは、（少し乱暴ですが）ソースコードを書く行為と考えていただければ分かりやすいと思います。

一方、GitHubの専門的な説明はこちらにありますが、本件の解説では、情報を保存しておく”箱”に例えると分かりやすいと思います。

今回のインシデントでは、プログラムソースを保存しておく”箱”が、公園などの不特定多数の人間がアクセスできる場所に置かれていたという状況であったということなのです。

ソースコードが漏れることの影響

ソースコードには、個人情報などの情報が含まれておらず、あくまでシステムを動かすための指示書でしかないのですが、何が問題なのでしょうか？

社外秘であるソースコードが公開されたという事実
ソースコードがあれば同じシステムを構築することができます。システム会社にとっては”売り物”であり、ユーザ企業にとっては”ビジネス”そのものなのです。いずれにしてもソースコードに価値があり、社外秘として厳格に管理されるものなのですが、公開されているということは、会社としての”管理”が十分に機能していないということになるのです。

セキュリティインシデントや不正取引を誘発
ソースコードを読むことで、システムの動きの詳細を理解することができます。詳細を理解することで、サイバー攻撃や不正な取引を仕掛ける糸口を得ることができるのです。

開発現場における情報管理の限界

システム開発には、多くの従業員、協力会社が関与しています。また、GitHub以外に、Slack、Box等の様々なサービスが使用されていますが、これらサービスの使用を積極的に制限していない開発現場もあります。

このような開発現場では、情報がどこに保管されているのか、誰がアクセスできるのか、外部に流出していないか等、把握することができない状態に陥っています。

今回、GitHubでソースコードが流出した企業が複数ありました。もし、流出に気づいていなかったということであると、GitHub以外のサービスからの情報流出も発生しているかもしれません。

顧客情報は漏れていないのか？

ソースコードは、その会社の資産ですが、顧客情報と比較して、重要性が低いとされています。また、開発者が顧客情報にアクセスすることは一般的に推奨されていないため、顧客情報の流出を直ちに懸念する必要もないように思えます。

しかしながら、今回のニュースの企業は分かりませんが、開発者が顧客情報にアクセスする企業も少なからず存在します。また、開発者以外が知り得ないサービスが開発現場で使用され、セキュリティ部門が認識していないケースもあります。

あまりに厳しく制限すると、開発の生産性を損ない、開発者のモチベーションの低下も招く恐れもあるので、セキュリティ担当者にとって、頭を悩ませる日々が続くことは確かです。