【バズワードを学ぶ】SMBCのコード流出とGitHubの利用を考える
先週話題になった「SMBCのコード流出」とそれに伴う「GitHubの利用問題」です。今回の件に限って言えばGithubはほぼ関係ない業務委託先からの情報流出ですが「GitHubが禁止にされるのではないか?」という話題もネット上ではされていたので、その是非というか有効性に関しても解説してみました。
大筋はZennに書いた内容をエッセンスだけサマった感じですが、はてぶのコメントとか眺めながら少し整えた感じです。 zenn.dev
動画のサマリとしてはこんな感じ。
- 今回の件はGitHubの公開/非公開とかオンプレかクラウドか?とかでは無く内部犯による情報漏洩の問題
- GitHub禁止はあまり解決にならない
- この件に限れば発注元が悪い(と世間からは言われる)
- GitHubのPushを制限しうっかり事故を減らす効果あり
- ただし、悪意のある漏洩には効果が無い
- リスク分類とそれに見合ったセキュリティの適用
まず前提として今回の事件自体は委託先でのやらかしなので、セキュリティ的にはサプライチェーン管理の問題。ちゃんとベンダーマネージメントをしましょう、になります。
その上で、では自社で同じような流出が起きないようにどうするか? を解説しています。ブラックリストのWebフィルタリングやオンプレミスでの運用も含めてやはり内部犯による情報漏洩を防ごうと思うと、透過的ファイル暗号やホワイトリスト運用、厳格なアクセス管理の組み合わせにならざる得ないのですよね。それ以外は 「うっかりミス防止にとどまるというか」
なので、システムで完全な対策を目指すのではなく、情報資産の重要性を判断してその上で適切な仕組みを選ぶ必要があります。99%のコードは(流出ではなく)ソースコード公開してもビジネスインパクトが無いものでしょうから、そういったものをホワイトリストレベルで過剰に守って生産性を下げるのは多くの企業にとって適切ではないでしょう。その代わり1%のコードを持ってるなら、そこは適切に手間とコストをかけて守る必要はあります。
というあたりを24分くらいでまとめてしゃべってるので気になる人はぜひ動画をチェック! それでは Happy Hacking!