他人事じゃない!!三井住友銀行(SMBC)のソースコード流出から考える情報モラルや社内の規則の大切さ!
1月29日に三井住友銀行(SMBC)は同行のシステムに関連するソースコードがウェブサイト上に流出していることを確認したと発表しました。
今回のソースコードの流出は同行の事務システム上の一部のソースコードであったため顧客情報や機密情報の流出はなく、同行セキュリティのも問題ないとの事でした。
また、今回のソースコード流出はサイバー攻撃を仕掛けられての流出ではなく委託先に勤務していたシステムエンジニアによるものであるとされています。
この事件は情報漏洩のリスクはサイバー攻撃だけだはないと再認識させるものではないでしょうか。
そして、このように悪意のない内部の人間による情報流出は多くの企業で起こりゆる事象であり、他人事では無いはずです。
そこで、今回はSMBCの事件からどのような対策を行わなければいけないか考えていきましょう。
三井住友銀行(SMBC)のソースコード流出の真相
具体的な対策方法を見ていく前に今回の三井住友銀行(SMBC)のソースコード流出がどのような経緯で起こったのか確認していきましょう。
ネット上での口論から発覚
三井住友銀行(SMBC)の委託先に勤務していたシステムエンジニアX氏と艦隊これくしょん(DMM.com)のゲーム配信最大手である「きぃのん」さんとTwitter上で口論が発生。互いに互いを煽りあい続けていました。
そんな中ゲーム配信者「きぃのん」さんのリスナーさんがX氏の過去のツイートなどを調べていくとX氏のGitHubアカウントを発見。それを確認した別のリスナーさんがX氏のGitHubを確認したところ「smbc」などの記載されたソースコードを発見しました。
68本のプログラムのソースコードや断片が存在し、その中に「smbc」の文字やNTTデータの名前。警視関係のプログラムの一部のソースコードが存在していることが発覚しました。
これにより28日深夜ごろよりTwitterのトレンドに「GitHub」「smbc」などが入りIT界隈で話題になりました。
そして翌日29日に三井住友銀行(SMBC)が正式にソースコードの流出を発表しました。
GitHubって何?? なぜGitHubに公開??
今回の事例で中心になるのが「GitHub」(ギットハブ)です。そもそもGitHubとは何なのか、どうしてX氏はソースコードをアップしていたのか。
まず、GitHubとは、ソフトウェアの開発用のプラットフォームです。GitHubに開発中のソースコードを上げることにより、複数人のソフトウェア開発者と協同し、コードのレビューを行ったりプロジェクトを管理しながら開発を行うことが出来るサイトになります。プログラマーなら誰でも使用したことがあるのではないかと思います。基本的にオープンソースのソフトウェアプロジェクトでない限りプロジェクトは非公開で管理されます。
GitHubはプログラマー・システムエンジニアからしたらとても使い勝手の良いものです。では、なぜX氏はソースコードをGitHub上に公開したのでしょうか。
エンジニア転職サイトである、Findy(ファインディ)はGitHubの開発履歴からエンジニアの適正年収やスキルを可視化できるサービスを展開しています。X氏はこのサービスを利用するためにソースコードをGitHub上に公開してしまったようです。
上記サービスでは、適正年収やスキルを可視化する際にソースコードを査定する際にパブリックリポジトリのみが対象になります。
つまりは、誰でもソースコードを読み取れる環境でなければ査定出来ないという事です。そのためX氏もソースコードを全公開してしまっていたようです。
三井住友銀行(SMBC)のソースコード流出 誰が悪い??
一部の企業では今回の三井住友銀行(SMBC)のソースコード流出を受けて「GitHubの利用を制限する」動きもあるのではないのかと危惧されています。しかし、GitHubは何ら悪くありません。むしろ「GitHubの利用の制限」は今回の問題の本質から目を背けるような対策であり、根本的な解決にはなりません。
勿論、転職サイトのFindyも悪くありません。転職は誰もが持つ権利です。しかし、このようなソースコードから適正年収やスキルの可視化できるという事を企業は認知しておかなければいけないでしょう。
では、だれが悪いのか?
勿論、X氏が悪いのは当然でしょう。そして、勿論適切な対策等を講じていなかった企業も悪いのではないでしょうか。
今回の事例を「個人の問題」と片付けはいけません。自社でも当然起こりる話であり、このような事を起こさないために適切な対策を講じていかなくてはいかないでしょう。
どの企業でも起こりうるリスク 悪気のない情報漏洩
今回の三井住友銀行(SMBC)のようなケースはどの企業でも起こりうると考えています。
情報漏洩の原因の大半が内部での行動が起因していると言われています。従業員数が増えるほど、情報が増えるほど管理が難しくなります。ましてや今回のような事例では情報の管理をしようがありません。組織としては対策が難しいでしょう。
普段何気なく使用しているシステムでも実は情報が漏洩している可能性が存在しています。いわゆる「無自覚の情報漏洩」と呼ばれるものです。
書類の配送住所のミスやメール・ファックスの誤送信も「無自覚の情報漏洩」でしょう。それ以外でも普段使用しているクラウドサービスでも情報が漏洩している可能性は十二分に存在します。紙媒体であろうが電子媒体であろうが情報漏洩はおきてしまいます。
これらのような「無自覚の情報漏洩」の原因は①使用者の情報モラルの低さ、②社内のポリシーや就業規則・誓約書などがない・甘いといったことが原因だと指摘できます。
では、この2つの原因に対する対策はどのようなものがあるのでしょうか。
情報モラルの向上には定期的な情報セキュリティ教育が効果的
情報モラルはどのように情報を扱えばよいかという考え方です。
情報モラルは一朝一夕で身につくものではありません。「無自覚の情報漏洩」はどのような行動が情報漏洩につながるのか、情報漏洩でどのような被害が発生するのか明確に自覚できていないのが問題なのです。
情報モラルの向上には情報セキュリティ教育が効果的だと言えます。
どんなことをしたら情報漏洩につながるのか、自分の日ごろの使い方は間違っていないか、情報漏洩が起きたらどんな被害が発生するのかなど実際に起きた事例を基に教育を行うことで情報モラルは向上していくでしょう。
また、この教育は一度だけでは意味がありません。最低でも半年に1回、推奨としては月に1回出来ればベストでしょう。
また、情報セキュリティ教育では、情報モラルの向上だけではなく、サイバー攻撃の対策・対応も行われるので組織として情報セキュリティへの意識の向上も期待できます。
社内の環境整備には情報セキュリティコンサルティングが効果的
今回の三井住友銀行(SMBC)のソースコード流出の件ですも情報漏洩をしてしまってX氏は「契約書や覚書を交わした記憶はあるが、Githubへのアップロードは問題無いと考えていた。」と語っていました。
つまりは、社内規定や社内ポリシーがなかったもしくは存在しても周知されていなかった、または曖昧な規定であったと考えられます。
X氏の情報モラルが低いのもありますが、社内での行動を制限するポリシー等が十分に整備されていないことがまずいです。
そして、それらのポリシーなどは作ったきりで改定されていないことが殆どではないでしょうか。それではあるだけ無駄と言えるでしょう。
そこで必要になるのが専門家の意見を取り入れるという事です。第三者の目線で現在存在するポリシー・規定等が現在の組織の形態に遭っている物なのか、それらポリシーがしっかりと周知され組織内で効力を発揮しているのかどうか確認する必要があるでしょう。
また、ポリシー等だけではなく不正行為をさせない環境づくりを行うことが出来るため情報セキュリティコンサルティングは非常に有効的なものになるでしょう。
まとめ
三井住友銀行(SMBC)のソースコード流出の事件の根本的な問題点は①社員・スタッフの情報モラルの低さ、②組織・企業内の情報セキュリティに関するポリシー等不備にあります。
この2つの問題点は日本の組織・企業の情報セキュリティ対策においてこれまで重点が置かれてこられなかった事象でしょう。その為、この2つの問題点を内包している組織・企業は非常に多く今回の三井住友銀行(SMBC)のソースコード流出のような情報漏洩はどこの組織・企業でも起こりうる事であり他人事ではないのです。
今一度自分の組織・企業においてこの2つの問題点に対する対策が有効に行われているのかどうか確認する必要があるのではないでしょうか。
