GitHubからの情報漏洩。再発防止のための4つのリスク対策とは

ソースコードから情報漏洩

情報漏洩は日々様々な場所で発生しています。
テレワーク普及と共にクラウド需要も更に高まり、企業規模や場所に関わらず発生するため誰であっても対策は必須となっています。

先日、GitHubを経由してシステムのソースコードが流出している事が発覚した事件がありました。この情報漏洩事件が発生したことで、自社内で同じようなものが利用されていないか心配になった方も多いのではないでしょうか。

GitHubとは?

GitHubとは、プログラムをインターネット上で他人と共有する事が出来るプラットフォームです。自分のプログラムに対して他の人からフィードバックを貰ったり、似たようなプログラムを作っている人を参考にしたりと非常に便利で人気があります。今やシステム開発に携わる人の多くがこのGitHubを利用しています。2020年には約5,600万人が利用し、最早開発を行う上でなくてはならないツールの一つとなっています。

なぜ今回GitHubから情報漏洩が発生してしまったのか。

今回の漏洩事件は、システム開発をしている下請けのプログラマーがGitHubにアップロードしたファイルが全世界に公開されていることを認識せずに利用したことで発生してしまいました。

GitHubはアップロードしたプログラムの公開範囲を設定する事が出来ます。

企業で利用している場合デフォルトが非公開となっている場合が多いですが、今回はデフォルトで公開となっていたためチェックミスで発生しました。

企業はこのようなツールとどのように付き合っていくべきか。

1:ルールの徹底・社員教育

まずは社員に、機密情報の定義と取扱いに対するしっかりとした教育を行うなど、情報保護の意識を持たせることから始めなくてはいけません。

2:委託先とのセキュリティ対策の共有/把握

また、今回の件は委託先にて問題が発覚しました。そのため、自社の社員はもちろんですが、委託先のセキュリティに関してもきちんと状況を把握し、相互に安全に機密情報や個人情報を守るようにする必要性があります。余談ではありますが、IPAの情報セキュリティ10大脅威でも、サプライチェーンの弱点を悪用した攻撃が4位に上がっており、改めて相互においてセキュリティ対策の把握が大事だということが、このニュースからも伝わってきました。

3:不要なWEBサイトへのアクセス制限

では、社内ルールの徹底や教育をしたうえで、どのような対策をすべきか。

例えば、利用者である社員に頼り切らないシステム面での対策も行う必要があります。

その一つが、Webサイトへのアクセス制限です。

不用意なWebサイトのアクセスは情報漏えいが発生する恐れがあるため、企業側は社員が不必要なWebサイトへアクセスさせないような制限が必要です。

今回のGitHubはWeb上にあるプラットフォームで、アクセス制限をしていない場合誰でも利用することができてしまいます。

今回は社内での設定や権限の見直しなど社内ルールの徹底や教育についての重要性を感じましたが、このような場合に限らず、意図的でなくとも情報漏洩が発生してしまうリスクは多くあります。情報漏洩が起こらないためにも、最低限不必要な人にはこのようなWebサイトにアクセスさせない、といったような制限を持たせることも重要です。

4:情報漏えい対策の見直しと強化

また、情報漏洩はWebサイトからだけ発生するわけではありません。

他にもよくある原因として、USBメモリなどの外部デバイスに情報を移したものを紛失してしまうことや、利用しているソフトウェアが勝手に情報を外部に公開してしまうことがあげられます。

これらもシステム的な制限をしなければ、どれだけ注意していたとしても一つのミスで情報漏洩が発生するリスクが高まってしまいます。

企業はツールを利用する上で、情報漏洩対策を人の運用に依存するのではなく、システムを含めた管理と共存していくことが情報漏洩のリスクを低減させる効果ある方法です。

情報漏洩対策にはツールの利用が必須

今回は社内ルールの設定漏れや委託先のセキュリティレベルの把握から発生する情報漏洩リスクと、Webサイトからの情報漏洩と、外部デバイス、ソフトウェアからの情報漏洩リスクについてそれぞれお伝えしました。

特に、WEBサイトや外部デバイス、ソフトウェアの情報漏洩に関しては、社員に運用を徹底させるだけでは完全に防げるとは言えません。

いくら情報漏洩が起きるからと訴えたところで、全ての社員が対応してくれるとも限らず、対応してくれなかった一部の社員から情報漏洩が発生してしまいます。

万が一、情報漏洩が発生しないためにも、社員の自主性に囚われない運用、つまりツールによる対策が必要となってきます。

弊社製品のISM CloudOneではこういった情報漏洩を防ぐための以下の機能を持っています。

  • ・Webサイトへのアクセス制限
  • ・外部デバイスの利用制限
  • ・ソフトウェアの起動制限

これらの機能を活用することで、ITリテラシーの低い人が誤って情報漏洩につながる行動をしてしまうことが予防できます。

また、これらの3つの機能に加え、ISM CloudOneにはPCの操作履歴を監視できる操作ログオプションが備わっています。

操作ログを取得していれば、万が一管理ミスで情報漏洩が発生してしまった場合でも、情報漏洩の早期発見から対処へと短い時間で移ることができます。

機能詳細はこちら>>https://ismcloudone.com/function/

現在テレワークで情報セキュリティに不安を抱えている企業に向け、60日間の無償提供を行っています。クラウド型で面倒な設定もなくすぐにご利用いただけるので、会社を守るためにぜひご検討ください。