コンピュータソフトウェア協会、「Github」の正しい理解と対応に向けた文書を発表

一般社団法人コンピュータソフトウェア協会(略称「CSAJ」、東京都港区赤坂)は、各種メディアで報道されている、クラウドサービス「Github」について、正しい理解と対応に向けた文書を発表した。

「Github」の正しい理解と対応に向けた文書概要

各種報道のとおり、ソフトウェアのソースコードをホスティングするクラウドサービス「Github」において、大手金融機関の業務システムのソースコードの一部が公開されていた事象が発生した。

クラウドサービスにおいては、情報の公開範囲などの設定の誤りが、セキュリティインシデントにつながることがあり、利用においては十分な配慮が必要である。

その上で、クラウドは危険であるので使わせないという判断にならないよう、Githubをはじめ、外部のクラウドサービス利用の萎縮につながらないよう、各社の節度ある情報セキュリティ設計を要請するものである。

ソフトウェアの世界においては、比較的新しい技術であることから、リスク面に過度に注目し、便益が損なわれることが見うけられるが、本来であればソフトウェアのリスクを理解して、学び、教育させ、活用することが、何より重要だ。

情報セキュリティへの配慮や、クラウドサービスのリスク管理をしっかりと行うとともに、活用に萎縮や便益を損なうことのないよう、改めて各社の取り組みをお願いしたい。

本事案を適切に理解するための背景

  • 日本の産業構造の象徴ともいえるのが「多重下請け構造」(≒サプライチェーン)であり、委託や再委託を行わないとソフトウェア開発は行えない現実。
  • DXを推進することは、ソフトウェアを開発・活用することでもあり、ソフトウェア開発はDXの根幹とも言える。
  • 「クラウドバイデフォルト」とも政府も含めて発信をしているように、クラウドサービスは様々な環境(開発環境含む)においても使用することが前提となっている。
  • 「クラウド」環境は言わば「場」であり、その使い方は利用者の使い方、すなわち設定やリテラシーなどに依存する。
  • Githubはソースコードを共有し合うサービスであり、ソフトウェア開発に求められるスピードや質の観点からも欠かすことのできないサービスである。

今回の事案に対する対策について

Githubの設定を確認する

→Organization内のリポジトリの可視性設定の確認する

[リポジトリの可視性変更の権限を設定]

[リポジトリの可視性変更の権限を設定]

→Organization 内でリポジトリを作成するための権限を設定する

[メンバーのリポジトリ作成可否を設定]

[メンバーのリポジトリ作成可否を設定]

  • 設定変更を行える人を限定する。(委託先には権限を付与しないことなどを検討する)
  • 自由に作成できないように設定する。
  • メンバーを管理する(削除や復帰等、定期的に見直す)。
  • 定期的に公開設定状況を確認する。
  • 万が一、情報漏洩が発生した場合に備えて、対処できる体制(PSIRT)等を整備する。
  • このようなツールを使う場合は、事前に協議し、遵守事項として契約することが望まれる。

組織はどのように向き合うべきか

  • 経営者は、DXを積極的に推進するとともに、DXの根幹にはソフトウェア開発があることや、その開発の環境やプロセスなどの現状を理解する。
  • 組織は、サプライチェーンをできる限り把握するとともに、委託元も委託先も相互に協力して、ソフトウェア開発の安全性に努める。
  • 組織は、クラウドサービスなどを利用するにあたっては、規約や設定などを理解し、対応を検討、実施した上で用いる。(特に情報公開や共有等に関する設定には注意する。)
  • 組織として、リスクを回避(クラウドサービスなどを使用しないと)するだけではなく、低減、移転、そして特に受容についてステークホルダーで議論、理解し、共通認識を持つようにする。
  • 道具(ツールやサービス等)を利用することは「人」であることを理解し、常にリテラシーの向上や教育を実施し、「人」に起因するセキュリティ事故をなくす(最小限にする)ようにする。
  • セキュリティ事故が発生することを想定し、迅速かつ的確に対応できる体制を確保する。
  • 組織内外の開発エンジニアへの敬意を示すとともに、働き方(環境、待遇、ワークバランス等)の改善に継続して努める。