is702
is702はトレンドマイクロが提供するインターネットを
安全に楽しむためのセキュリティ情報サイトです。
is702はトレンドマイクロが提供するインターネットを安全に楽しむためのセキュリティ情報サイトです。
ニュース

「GitHubはソフトウェア開発に欠かせないサービス」、情報漏えい事件を受けてCSAJが理解を呼びかけ

2021/02/04

一般社団法人コンピュータソフトウェア協会(CSAJ)は2月2日、「GitHubに関する対応とお願い」と題する文書を公開し、GitHubへの理解と正しい対応を呼びかけました。

「GitHub」(ギットハブ)は、ソフトウェア開発者に人気のクラウドサービスで、ソースコードの共有、バージョン管理、修正や改変などを誰もが柔軟に行えます。数百万人が利用しており、世界中のソフトウェア開発において、その質・スピードに大きく寄与しています。

一方で複数企業のソースコードが、無断で一部公開されていることが発覚しました。これは「GitHub」自体の問題ではなく、関係者が個人的にアップロードを行い、誰でも閲覧可能な設定にしていたことが要因であったと公表されています。また、その背景にある多重下請け構造、開発者のモラル、企業の管理手段なども議論の的になっています。

今回の事件を受け、コンピュータソフトウェア協会は、「クラウド環境は言わば“場”であり、その使い方は利用者の使い方、すなわち設定やリテラシーなどに依存する」と表明したうえで、セキュリティインシデント(セキュリティを脅かす事態)につながらないよう十分な配慮を行うこと、各社が節度ある情報セキュリティ設計を行うことを要請しました。あわせて「情報セキュリティへの配慮や、クラウドサービスのリスク管理をしっかりと行うとともに、活用に萎縮や便益を損なうことのないよう、改めて各社の取り組みをお願いします」とコメントしています。

具体的な対策としては、GitHubの設定の確認、メンバー管理、定期的な状況確認、対処体制(PSIRT:Product Security Incident Response Team)の整備、契約の用意などを提案しており、本件の背景、課題、対策をわかりやすくまとめた資料「ソースコード漏洩事案について~組織のDXを止めないために~」(PDFファイル)も公開中です。

GitHubに限らず、クラウドサービスは法人、個人にとって欠かせないツールとなっています。しかし、それを利用する「人」が要因となったインシデントが相次いで発覚しています。企業はクラウドサービスの活用に臆するのではなく、適切な管理体制の構築や従業員教育を行いましょう。また、クラウドサービスを利用する際は、入力する情報がどのように扱われる規約になっているのかを確認し、勤務先のガイドラインやポリシーに沿って活用しましょう。

  • 働く大人なら最低限知っておきたいネットセキュリティの基本
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
  • 新型コロナウイルスに便乗したネット詐欺などにご注意ください
働く大人なら最低限知っておきたいネットセキュリティの基本
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ
新型コロナウイルスに便乗したネット詐欺などにご注意ください