SMBCソースコード流出…どんな企業や個人でも明日は我が身で注意!

GitHub に三井住友銀行が利用する事務系システムのソースコードが流出とニュースになっていました。

情報漏洩に関して、顧客情報等のセキュリティには影響がないと発表しています。

これで安心……で終わるはずもなく、今回は色々と考えさせられる事件でした。

スポンサーリンク

流出の経緯は?

細かな経緯は、ネットを検索していただければ色々と出てくると思いますので、ポイントの部分だけにします。

今回問題を起こしてしまったS氏は、三井住友銀行のシステム開発の委託先企業に務めており、自分が転職した場合にどの程度の年収になるのかを確認するために、ネットで調べられるサービスを利用しました。

その方法は、前述の GitHub にS氏が書いたソースコードをアップすると、それを元にスキル判定を行ない推定年収を算出するというものでした。

そして、S氏がアップしたのが三井住友銀行等(色々あるうちの一つ)のコードだったということで、GitHub の規約や設定について確認を怠ったために流出事件となってしまったということでしょう。

 

何が問題か?誰が悪いのか?

この事件は、張本人であるS氏が悪いのは当然ですが、それ以外では色々な問題がたくさん絡んでおり、隠れている問題が多々あるということだと思います。

そして、ここからは今回の事件から考える一般的な問題にしたいと思います。

 

下請けや取引先の社員やアルバイトは大丈夫?

通常自社内で全てのシステム関連の業務を行うことは、あまり無いと思います。

下請け企業や取引先、関連企業について、すべて業務の進め方やセキュリティ対策を確認することは難しく、契約書や実績などで一定の信頼を置くことになるでしょう。

さらに、取引先の利用する各種サービスまで確認・注意することは困難です。

そして、そこで仕事に従事する人間にまでとなると、相当なリスクが潜在的に存在します。

そういえば、アルバイトが仕事中にふざけた写真を投稿して問題になったバカッターなるものもありました。

その企業では、寝耳に水のようなことだったでしょう。

このブログでも下請け企業などのリスクについて、以下のような記事もあります。

小さい企業は狙われない?…セキュリティを怠ると取引先に迷惑をかけるかも!
たとえメールだけのやり取りでも……企業として必要なセキュリティがなされていないと、取引先の企業に迷惑をかけることになるかもしれません。メールの盗み見から情報収集され、取引先の企業へ詐欺メールを送られる可能性があります。
report.hot-cafe.net
2019.08.18
システム管理者の不在企業の最初のセキュリテイ対策!
カスペルスキーのアンケート調査からわかるセキュリティレベルにびっくり。世界14か国で7,000人を対象に行ったオンライン調査で、全体の33%、日本は34%が、退職後もファイル共有や共同作業向けサービス、メールにアクセスできると回答しているとのことです。
report.hot-cafe.net
2019.06.26
迷惑メール対策&取引先やお客さん?からの不審なビジネスメールの対処法
基本的に迷惑メールと思われるメールを受信したら、開かないで削除。もし開けた場合でも、触らない、クリックしない、返信しない、添付ファイルは開かないで削除します。取引先やお客さんと思われるところからのメールを受信したら、添付ファイルやURLが書かれていて、行動しないと内容がよくわからない…
report.hot-cafe.net
2017.11.18
メールアドレス「BCCではなくTO」で流出…個人情報の漏洩をあまく見ない!
単にBCCとTOを間違って流出させてしまっても、メールの内容によっては大問題に!ある病気の集団へメールを送った際、BCCに記載すべきメールアドレスをTOへ記載してしまい、病気とメールアドレスがセットで、関係者には大問題ということもあります。
report.hot-cafe.net
2017.10.17

 

幼児が銃を振り回すのと同じ!?

幼児は、そのものの危険性を推測できませんし、経験も足りません。

そのため、稀にニュースになったりする誤射事件があります。

もちろん、幼児が手にするような状況にしている大人の責任ではあります。

そこで、今回の三井住友銀行の情報流出のようなケースでは、委託先企業の社員が勝手にソースコードを持ち出す形で仕事をしていた上、関係のないネット上のサービスにアップするのは想定外だったに違いありません。

それでも、表向きは三井住友銀行の問題としてニュースになったり、見出しが踊ったりします。

そのため、今後は取引先や下請け、子会社でもそれなりの対応が必要になってきます。

 

利便性と危険性は裏表!

世の中便利なサービスが色々と生まれてきます。

今回のように自分の書いたソースコードから年収の推定を行うサービスなどは、ある意味すごいなって思います。

しかし、未経験の物には、どんなリスクがあるのかを想像するのは難しいでしょう。

特に、いくつかのサービスと連帯しているようなケースは尚更です。

それぞれの利用規約を熟読する必要があるのは当然ですが、さらに一般的なセキュリティの問題もあります。

そして、今回のような状況になってビックリするわけです。

特に新しいサービスや連帯するサービスでは、相当注意が必要です。

今回の事件では、直接賠償するような目に見える損害が出ていないようですが、このような場合は委託先企業がクライアントを失う可能性があります。

それでも、S氏が損害賠償を受けることは無いような気もしますが、前述のバカッター事件の時は、アルバイトへ損害賠償請求を行う、または検討している企業があるとニュースになりました。

社員やアルバイトの契約形態によっては、「個人であっても損害賠償請求もありえる」と思って行動する必要があります。

利便性を追えば、危険性が上がるということを忘れないことです。

 

まとめ

SMBCソースコード流出は他人事ではない

GitHub に三井住友銀行他のソースコードがアップロードされた。

流出の経緯

委託先企業のS氏は、自分が転職した場合にどの程度の年収になるのかを確認するために、ソースコードをアップして推定年収を算出するサービスを利用。その際、GitHub の規約や設定について確認を怠ったために流出事件となってしまった。

問題点と課題は?

下請け企業や取引先、関連企業について、すべて業務の進め方やセキュリティ対策を確認することは難しいと思われます。

さらに、取引先の利用する各種サービスや人材まで確認・注意することは困難です。

それでも、表向きは三井住友銀行のように問題報道されますので、取引先や下請け、子会社に対してもそれなりの対応が必要になってきます。

また、働く側も契約形態によっては、「個人であっても損害賠償請求もありえる」と思って行動する必要があります。

 

スポンサーリンク

コメント

タイトルとURLをコピーしました