顧客のソースコードをGitHubに流出させた事件について思うこと

IT・フリーランス
管理人の詳細プロフィール → こちらをクリック

こんにちは。望田和希 (もちだかずき) です。

 

業界歴20年の人が三井住友銀行 (SMBC) のシステムのソースコードを GitHub に流出させたというニュースが話題になっていました。

 

ちょうど1つ前の記事で、秘匿性の高いシステムでテレワークを認められない不都合な建前について書いたばかりでした。

IT業界でテレワークを認めない不都合な建前という言い訳
こんにちは。望田和希 (もちだかずき) です。 2021年になってまもなく、大都市圏に緊急事態宣言が発令されました。 行政は出勤7割減とするよう通達していますが、7割減にはほど遠い状況です。テレワークを徹底し、人の流れを減らそうという狙いで...
yumesuuri.com

 

秘匿性の高いシステムを扱うから、そこの人員をオフィスに常駐させる。重要な個人情報を扱うシステムだからオフィスに常駐してくれという建前でした。

 

ソースコード流出事件が起こったのはコロナ渦の前だったそうなので、ふつうに多くの人が出勤していた頃でした。

セキュリティを担保する意味で常駐させ、おそらく職場の規律も他の ITの現場より厳しかったと思われますが、それでもソースコードが流出したということでした。

 

これでわかったのは、常駐させていても情報漏洩は起こるということでした。秘匿性の高いシステムだから常駐させないといけない、という理屈は成り立ちません。

この記事はテレワークのことではないので、ソースコード流出について書いていきます。

 

情報漏洩はいかなる場合も認められない

システム開発を受託した元請けだろうと協力会社だろうと、お客さんの情報を外部に漏らしてはいけません。

お客さんが扱う情報はもちろんのこと、システムのソースコードもお客さんの情報です。

 

当人 (流出させた人) はソースコードから年収を診断するサービスを利用したとのこと。三井住友銀行だけでなく、警察関係と思われるものや某システムインテグレータ企業のソースコードも含まれていたとか。

これ、Findy Freelance というフリーランス向けのエージェント業者のサイトにあるサービスなんですよね。自分の GitHub の情報を入力すると、AI がコードの偏差値や年収を判定してくれるサービスです。

 

実を言うと、私もこのサービスを利用したことがあります。個人でプログラム言語の練習用に書いたコードを登録した GitHub を入力して、判定してもらいました。

 

そしてどう出てきたか?

 

 

不本意な結果が出てきましたよ(汗

 

当然ながら仕事で書いたソースコードは使えません。練習用に書いたコードなので、それで偏差値や年収を判定されても困ります。

この業者のサービスは、個人でフリーソフトやオープンソースソフトウェアを開発していて、そのソースコードの管理に GitHub を使っている場合にしか使えない、というのが私の感想です。

ほとんどの技術者が開発したソースコードは社外秘になるはずです。その「成果」を判定に使うことができない時点で、この業者のサービスの信用度は推して知るべしです。

 

まぁ、あくまで目安として利用するものと思います。

私もこのサービスを利用したので言いますが、この業者はどういう意図でこの判定サービスを公開しているのか? その人の成果となる、仕事で開発したソースコードを判定に使えない時点でナンセンスだと思うのだが。

 

ネットニュースによると、当人は業界歴20年で年収300万円らしい。年収アップの可能性を探るためにその業者の判定サービスを利用したのだろうか。

理由の如何を問わず、社外秘となる情報を他のサイトにアップロードするようなことがあってはならない。

 

IT業界の問題点の縮図

大規模なシステム開発となると、元請けの社員より協力会社の社員の方が圧倒的に多いことが珍しくない。協力会社も1次請け、2次請け、3次請け……となると、末広がりに増えていくので、もはや誰が誰かわからなくなる。

 

この多重下請け構造は IT業界のクソな点の一つ。

 

業界歴20年で年収300万円しか取れていないのもコイツのせい。協力会社の層が深くなっていくとマージンだけを抜いているクソ業者が存在しているから。だからそういうクソ業者は別名「手配師」とか「搾取業者」と言われたりする。

しかし、低収入だから (腹いせに??) 社外秘の情報を外部に漏らしていいかという話にはならない。

 

おそらく、外部に漏らす、つまり顧客のシステムのソースコードを自分の GitHub にアップロードすることに罪悪感がなかったんだと思う。

これを「当人がアホやったんとちゃうか?」と片付けてしまうのは簡単ではない。

 

ここで教育の話を私は挙げたい。

 

当人の所属する会社では、「社外秘の情報を外部に漏らしてはいけない」などのセキュリティ教育を満足にしていたのだろうか?

私の経験では、協力会社はその「階層」に関係なく、人員に元請け企業が定めるセキュリティ教育を受けさせることが決まっていました。教育の後には試験があって、決められた点数を取らないと再試験です。

規模の小さい協力会社だと教育手段を持っていない恐れがあるので、ノーマークで通して客先常駐させているかもしれません。

 

もちろん、教育したからといって悪さをしないとは限りませんが……

始末の悪いのは、悪さの自覚がなくやってしまうことです。件のケースはそれでしょうね。

 

まとめ

顧客情報や社外秘の情報を外部に漏らすことは、理由を問わずしてはならないこと。

責められるべきは流出させた当人だが、問題はそれだけだろうか?

多重下請け構造でどんな人が参画しているのか把握しきれていない現状も問題点ではないだろうか? エンジニア本人に十分な収入を還元できていないのも、多重下請け構造に一因がある。

 

従業員教育を満足にできていなかったことも問題点である。

あとは、この事件を知った管理者や経営者が「やっぱり客先常駐させないといけない」と時代に逆行するような、マヌケで短絡的な思考をしないことを切に希望する。

皆さんはどう思いますか?

 

コメント

タイトルとURLをコピーしました