Githubに関する対応とお願い

 

＜はじめに＞
　各種報道のとおり、ソフトウェアのソースコードをホスティングするクラウドサービス「Github」において、大手金融機関の業務システムのソースコードの一部が公開されていた事象が発生しました。クラウドサービスにおいては、情報の公開範囲などの設定の誤りが、セキュリティインシデントにつながることがあり、利用においては十分な配慮が必要です。その上で、クラウドは危険であるので使わせないという判断にならないよう、Githubをはじめ、外部のクラウドサービス利用の萎縮につながらないよう、各社の節度ある情報セキュリティ設計を要請するものであります。
　ソフトウェアの世界においては、比較的新しい技術であることから、リスク面に過度に注目し、便益が損なわれることが見うけられますが、本来であればソフトウェアのリスクを理解して、学び、教育させ、活用することが、何より重要です。
　情報セキュリティへの配慮や、クラウドサービスのリスク管理をしっかりと行うとともに、活用に萎縮や便益を損なうことのないよう、改めて各社の取り組みをお願いします。

＜本事案を適切に理解するための背景＞

• 日本の産業構造の象徴ともいえるのが「多重下請け構造」（≒サプライチェーン）であり、委託や再委託を行わないとソフトウェア開発は行えない現実。
• DXを推進することは、ソフトウェアを開発・活用することでもあり、ソフトウェア開発はDXの根幹とも言える。
• 「クラウドバイデフォルト」とも政府も含めて発信をしているように、クラウドサービスは様々な環境（開発環境含む）においても使用することが前提となっている。
• 「クラウド」環境は言わば「場」であり、その使い方は利用者の使い方、すなわち設定やリテラシーなどに依存する。
• Githubはソースコードを共有し合うサービスであり、ソフトウェア開発に求められるスピードや質の観点からも欠かすことのできないサービスである。

＜今回の事案に対する対策について＞

• Githubの設定を確認する。

→Organization内のリポジトリの可視性設定の確認する

 

［リポジトリの可視性変更の権限を設定］

→Organization 内でリポジトリを作成するための権限を設定する。

［メンバーのリポジトリ作成可否を設定］

• 設定変更を行える人を限定する。（委託先には権限を付与しないことなどを検討する）
• 自由に作成できないように設定する。
• メンバーを管理する（削除や復帰等、定期的に見直す）。
• 定期的に公開設定状況を確認する。
• 万が一、情報漏洩が発生した場合に備えて、対処できる体制（PSIRT）等を整備する。
• このようなツールを使う場合は、事前に協議し、遵守事項として契約することが望まれる。

＜組織はどのように向き合うべきか？＞

• •経営者は、DXを積極的に推進するとともに、DXの根幹にはソフトウェア開発があることや、その開発の環境やプロセスなどの現状を理解する。
• 組織は、サプライチェーンをできる限り把握するとともに、委託元も委託先も相互に協力して、ソフトウェア開発の安全性に努める。
• 組織は、クラウドサービスなどを利用するにあたっては、規約や設定などを理解し、対応を検討、実施した上で用いる。（特に情報公開や共有等に関する設定には注意する。）
• 組織として、リスクを回避（クラウドサービスなどを使用しないと）するだけではなく、低減、移転、そして特に受容についてステークホルダーで議論、理解し、共通認識を持つようにする。
• 道具（ツールやサービス等）を利用することは「人」であることを理解し、常にリテラシーの向上や教育を実施し、「人」に起因するセキュリティ事故をなくす（最小限にする）ようにする。
• セキュリティ事故が発生することを想定し、迅速かつ的確に対応できる体制を確保する。
• 組織内外の開発エンジニアへの敬意を示すとともに、働き方（環境、待遇、ワークバランス等）の改善に継続して努める。

■お問い合わせ先
一般社団法人コンピュータソフトウェア協会
事務局 担当：戸島、中野 E-mail：gyoumu1@csaj.jp TEL：03-3560-8440
〒107-0052 東京都港区赤坂1-3-6 赤坂グレースビル4F URL：https://www.csaj.jp/