日本IT団体連盟は、「GitHub」等の外部クラウドサービス利用に関する対応と要請を表明した。
クラウドサービス利用に関する対応とお願いについて
各種報道のとおり、ソフトウェアのソースコードをホスティングする開発者向けクラウドサービス「GitHub」において、大手金融機関の業務システムなどのソースコードの一部が公開された事案が発生しました。
本事案を受け、SNS等で「GitHub等の外部クラウドサービスの利用が制限されるのではないか」と危惧する声があがっていますが、「GitHub等の外部クラウドサービスを禁止する」ことは、本質的な解決策になりません。問題はGitHub等の外部クラウドサービスを利用したことではなく、ソースコードという「情報資産」を不用意に外部に持ち出したことにあります。本事案を単に、個人の問題であると矮小化したり、GitHubの問題だと外部要因にせず、自社にも発生しうるリスクと認識する必要があります。
政府が提唱する「クラウド・バイ・デフォルト原則」は、政府の情報システムだけではなく、広く民間の情報システムにも通用する重要な方針です。クラウドサービスは、システム導入の迅速化やコスト削減など多くのメリットがあり、官民問わず様々な分野(開発環境を含む)で利用することが前提になっています。「クラウド」環境は言わば「場」であり、ソフトウェア開発の委託先や委託元などを含むサプライチェーン全体における利用者の使い方、設定、リテラシーなどに依存します。組織は、サプライチェーンを可能な限り把握するとともに、委託元と委託先が相互に協力し、ソフトウェア開発の安全性に努める必要があります。
外部クラウドサービスにおいて、情報の公開範囲等の設定ミスが、セキュリティインシデントにつながることがありセキュリティ面からも配慮が必要です。しかし、過度にリスク面だけに注目し、GitHub等の外部クラウドサービス利用の萎縮につながらないよう、各社の情報セキュリティ対策、並びに人材育成を要請します。
同連盟は、引き続きクラウドサービスの適切な利活用について、技術・知見の両面で情報発信していくとしている。
【関連記事】
・日本IT団体連盟、サイバーセキュリティに関する企業公開情報を調査 DeNAや富士通などが積極的に開示
・GitHub Security Lab、新たな活動方針を発表
・GitHub Archive Program、21TBにおよぶリポジトリデータの北極圏への保管が完了
