ソースコード流出が色々と残念すぎる。
はじめに
あまり時事的なことを書いたことがなかったので、良い題材?として今話題の『SMBCなどのソースコードが流出』について書いていこうと思います。 この件について、知らない方はITMedia Newsの記事を参考にしてください。
業界を知らない人には難しいニュース
今回の騒動で最も被害を受けたのは、SMBCで間違いないでしょう。
本当に可哀想という他ありません。
そもそも、今回の件は一般の方やIT知識の少ない方には、明らかに情報過多のニュースだと思います。
おそらく大半の人にとって...
『SMBCが何やら情報を流出させた。』
『そんなセキュリティ意識の低い金融は信用できない。』
という事柄以外は何も残っていないのかなと思います。
『SE』,『Github』,『ソースコード』一般の方たち、ITに関する知識のない方からしたら、本当に何のことを言っているのか分かりません。
いくら『セキュリティ的に当該ソースコードは問題なかった。』と書いたところで、ソースコードが何のか知らなければ、結局のところ『情報漏洩させた会社』という認識しか残りません。
そして、IT業界の下請け構造を知らなければ『委託先の企業が云々』と書いたところで、何の説得にもならないでしょう。
SMBC側に全くの責任がないかと言われると、そうではありませんが本当に気の毒だなと思います。
(意外と下請け構造を知らないで、IT業界に来る人もいるので簡単に説明します。)
図のようにピラミッド構造になっていて、元請け企業が下請け企業に開発を依頼します。
下請け企業は、さらに孫請けと呼ばれる企業に開発を依頼します。
このような性質上、下に行くほど得られる利益は低くなっていきます。
- 元請け:子会社が親会社から1億円で請け負う。利益を得るため、下請け会社4000万円で開発を依頼する。
- 下請け:元請け企業から4000万円で請け負う。下請け企業も利益が欲しいが、下請けだけでは作り切れないため、孫請けに500万円で2社依頼する。
- 孫請け:下請け企業から500万円で請け負う。頑張って機能を完成させる!
みたいな形になります。これはだいぶ極端な例ですが、利益を見ると明らかにピラミッドの上にいる方が儲かります。
- 元請け:1億円 - 4000万円 = 6000万円の利益
- 下請け:4000万 - (500万円 × 2社) = 3000万円の利益
- 孫請け:500万円の利益
今回、ソースコードを流出させたと思われるのは、下請け以降の社員だと言われています。
現場のセキュリティ意識
さすがに自分の身の回りに、今回の件のような人はいませんが『Github』の扱いに限って言えば、Passwordやアクセスキーの取り扱いを理解していない人は意外と多いと感じています。
- 設定ファイルにPassword情報を載せたままCommitしている。
- Local推奨のファイルを.gitignoreで除外せず、Commitしている。
- DeployスクリプトにPasswordやアクセスキーがそのまま記載されている。
などです。
『privateリポジトリ』だから良いとかそういう問題ではありません。
『本来秘匿され管理されるべき情報を公の場に出している。』ということのそのものが問題です。 Passwordなど限定的に公開されて然るべき情報が、『ソースコードをCloneしたら誰でも閲覧できる。』のはかなり危険です。
開発では知識レベルもバックグラウンドも異なる様々な人が参加して、機能を作り上げていきます。
そういった人たちすべてに、言ってみれば『本番環境を破壊できる鍵』を渡しているということです。
普通に考えて怖すぎます。
年収が云々の次元じゃない
報道にも書かれている通り、『Githubと連携を行うことでソースコードの内容から年収を判断できるサービスを使いたかったので、ソースコードをアップロードした。』というのが今回の件の発端だそうです。
話題のSMBCのコードをGitHubにpushしてしまった年収300万の人、まだ発言残ってるな。
— かと卯 / NAGOYA WITH MEIKO (@hiro32kato) 2021年1月28日
GitHubが何かもご理解されていないと思われる。 pic.twitter.com/lpxvC071jt
これは完全に呆れているというか、IT人材の価値を下げないでくれよ。という愚痴なのですが...
人間誰しも、間違いはあります。
誤って、Passwordをコミットしてしまう云々も良くあります。
ただ、Githubも知らない、ソースコードの権利責任も分からないような人は、年収診断する前に勉強してください。っていうのが正直なところです。