一般社団法人コンピュータソフトウェア協会(CSAJ)は2月2日、各種メディアで報道されているソフトウェアのソースコードをホスティングするクラウドサービス「GitHub」について正しい理解と対応に向けた文書を発表した。(記事はこちら)
GitHubの設定ミスが原因で機密情報が漏洩する事故が多発してる状況に対して、GitHubの存在自体が問題ではないという内容です。組織でGitHubを利用するうえで気を付けるべきポイントを説明します。
先日、大手金融機関の業務システムと思われるソースコードの一部がGitHubで公開状態になっているセキュリティインシデントが発生しました。情報漏洩の発生元は金融機関自身ではなく、委託先企業のエンジニアが転職活動のためにGitHubへソースコードをアップロードしたことが原因と考えられます。記事には
利用時は配慮が必要とする一方、GitHubをはじめとする外部クラウドサービス利用の萎縮につながらないよう、各社の節度ある情報セキュリティ設計を要請している。
とあります。金融機関や本人も含めて、情報漏洩を意図して発生させたわけではありませんので、GitHubを正しく設定することでセキュリティを担保しながら、開発の品質と生産性の向上につなげてほしいと書かれています。
GitHubを安全に使う方法は、公開と権限の設定を正しく行うことです。また、GitHubを利用する開発プロジェクトとして、メンバーの教育と管理が必要です。それぞれについて説明します。
GitHubの設定を正しく行うことについて、具体的には「Organizationの設定を見直す」必要があります。まず、「誰がOrganization内のリポジトリを閲覧できるか」設定変更の権限をオーナー限定にできます。この制限がないと、管理者権限を持つメンバーも設定変更ができるので、誤ってリポジトリを公開するリスクが生じます。続いて、「メンバーがOrganization内で作成できるリポジトリの公開範囲」を設定できます。Publicの設定をしてしまうと、メンバーが公開のリポジトリを作成することができますので、そこから情報漏洩が発生するリスクが生じます。
ただし、これらは組織で管理しているGitHub内での設定なので、ソースコードが何らかの方法で持ち出されてしまった場合、制御することができません。ソースコードを含む機密情報の取り扱いについて、開発プロジェクトのメンバーを教育することが必要です。就業規則や罰則規定の説明も交えて、安易な気持ちで情報を持ち出すことのリスクをメンバーに理解してもらいます。
また、GitHubに登録されているメンバーの設定も定期的に見直すことが必要です。すでに退職したメンバーや期間限定で参加するメンバーなど、登録や削除、権限の設定が適切であることを定期的に確認します。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ