コンピュータソフトウェア協会(CSAJ)は、クラウドサービス「GutHub」について、正しい理解と対応を求めた文書を2月2日に発表した。
今回の文書は、「GitHub」において、大手金融機関の業務システムで使用されているソースコードの一部が公開されてしまった事象の発生により、「GitHub」についてさまざまな報道が行われていることを受けて発表されている。
CSAJでは、「GitHub」をはじめとするクラウドサービスでは、情報の公開範囲などの設定の誤りがセキュリティインシデントにつながる可能性もあることから、利用において十分な配慮が必要であり、「クラウドは危険であるので使わせない」という判断になり、外部のクラウドサービス利用の萎縮につながらないよう、各社に対して節度ある情報セキュリティ設計を要請した。
また、今回の「GitHub」上で起こった事象を受けて、経営者に対しては「DXを積極的に推進するとともに、DXの根幹にはソフトウェア開発があることや、その開発の環境やプロセスなどの現状を理解する」ことを求めている。
組織に対しては、「サプライチェーンをできる限り把握するとともに、委託元も委託先も相互に協力して、ソフトウェア開発の安全性に努める」こと、および「クラウドサービスなどを利用するにあたっては、規約や設定などを理解し、対応を検討、実施した上で用いる」こと、「リスクを回避(クラウドサービスなどを使用しないと)するだけではなく、低減、移転、そして特に受容についてステークホルダーで議論、理解し、共通認識を持つようにする」ことなどを訴えた。
そのほか、CSAJは今回の事象について、背景~課題~対策をまとめた資料「ソースコード漏洩事案について ~組織のDXを止めないために~」を配布している。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
