MAIL

平日9:00〜17:30 お問い合わせ

MENU

ブログ BLOG

2021/2/ 8 (Mon)

メガバンクのソースコード流出とセキュリティ教育

メガバンクのソースコード流出とセキュリティ教育
セキュリティ

今朝、開発チームでの打ち合わせの雑談でこのニュースの話題が出ました。
三井住友銀行などのソースコードが流出 "年収診断"したさにGitHubに公開か【追記あり】

ニュースの概要

    ニュースの概要は、以下のような感じです。
    ・プログラマ歴20年のエンジニアが、過去に入場していた際に製造したメガバンクのソースコード
    (なぜか個人PCのローカル保存されていた)をGitHubにアップして公開した。

    ・ソースコードを公開した人物は、転職準備の一環で、ソースコードから技術レベルを判定する
     Webサイトにコードを連携するために自身が業務で作成したソースコードをGitHubに上げた、
     というような説明をしていた。

雑談では軽くニュースの概要に触れた後は、「すごいセキュリティインシデントですね」とか
「こういう事はしてはいけないし、起きないように気をつけていきましょうね」とかそういう
真っ当な注意喚起を話して終わりました。

記事を読んで

GitHubは業務で利用したこともあり、このニュースが気になったので一連の騒動の流れや
メディアの記事を色々見ていました。

調べていて、そもそもソースコードを公開した人物には『顧客の秘密情報を外部に持ち出し
てはならない』という意識がかなり希薄なように感じました。

翻って今朝のチームメンバーとの会話は『秘密情報は絶対に持ち出してはならない』という
意識が共有されたうえでの会話でした。

私も入社して間もない頃は、「なぜUSBメモリを業務用端末に指してはいけないのか」と
いうことすらわかっていませんでしたが、今は絶対にしてはいけないと認識できています。

セキュリティ問題の意識付け

こういう諸々の意識はどうやって身についたのか、少し考えてみました。

理由は、大きく分けて3点あると思います。

    1点目は、定期的に実施される情報セキュリティ教育講習です。
    弊社では半年に一度、顧客先では数カ月に一度のペースでセキュリティ教育を受けています。
    弊社のセキュリティ教育では、実際に起きたインシデント例や、開催タイミングに合わせた
    セキュリティ関連の注意喚起(現在だとテレワーク時のセキュリティリスクと対策など)が
    紹介されています。
    顧客先のセキュリティ教育は、プロジェクト内でのセキュリティ注意事項や、
    コンプライアンスの確認が主な内容です。 どちらも受講後に簡単なテストがあり、
    内容を理解できているか確認することができます。

    2点目は、弊社の開発メンバー同士での注意喚起チェックリストの読み合わせです。
    『注意喚起チェックリスト』とは、業務にあたって常に注意すべき事柄が項目別に
    チェックリストになったもので、例えば
     ・情報セキュリティの心得
     ・情報開示の範囲
     ・ウイルス対策
     ・利用ツール類(アプリ)について
     ・事故報告
    といった項目とそれに関する注意事項が記載されています。
    これを月に一度、弊社メンバー同士で確認し合う習慣があり、今の現場でも実施しています。

    3点目は、注意し合える同僚がいることです。
    今朝の雑談もそうですが、通常業務の中でもセキュリティインシデントやコンプライアンス
    違反に繋がりそうなことは、何気なく注意してもらったり、逆に後輩には注意していたことに
    気付きました。
    同じような教育を受けていて『してはいけないこと』が共有されているメンバーなので、
    割と気軽に注意し合えて意識が自然と強化されているのではないかと考えました。

インシデントに大小は関係ない

セキュリティ教育で特に強調されるのは、仮にインシデントを起こしてしまった際、
事の大小に関わらずすぐに関係各所に連絡をすることです。

しかし「連絡をする」というアクションを取るためには何が『してはいけないこと』かを
知っていることが必要です。

悪意があれば別ですが、大したことないからと放置して大問題になってしまった報告例を
講義で何件も見ました。

今回のニュースの人物も、自分では大したことないと思っていた(問題)行動を
(勿論誰にも連絡せず)放置した結果、数年越しに大問題になってしまったというように
思われました。

まとめ

インシデントに対して「してはいけない」という認識があるかないかはこういったことの
明暗を分けるので、定期的に正しい認識やアクションを学べること、また意識を強化して
くれる環境に身を置けていることが有難く感じます。

また「弊社からは(悪気なしで)同じようなインシデントが起きることは考えにくいんじゃ
ないかな...!」とある根拠を持って振り返ることができ良かったです。

今後各現場でセキュリティの見直しや強化があるかもしれませんが、
インシデントは仕組みだけでは防ぎきれない面もあるので今後もマジメにセキュリティ教育を
受講していこうと思います。

参考



                                 ==ジョンソン==