企業のセキュリテイ対策を検討する上で、今後題材になりえるような事例です。今回のように開発を委託していた先の人物が「故意にソースコードを公開する」というような行為は、通常は雇用契約等もあるため技術的には可能でも「まさかそんなことはしないだろう」と考えるものです。このような前例が生まれたため、無視することが出来なくなりました。 今回はGithubにソースコードが投稿されたとありますが、業務システム経由なのか、自宅の私物パソコン経由なのかでも対策が異なります。業務システム経由であれば、Githubへのアクセスを検閲することは可能です。自宅のパソコンにコードが保管されており、自宅から直接Githubに送信されたとすると制御のしようがありません。 Covid19の影響で在宅勤務で開発を行っている企業も多いと思いますが、BYODの利用禁止やSWG経由での通信が重要になるでしょう。
コメンテータープロフィール
通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。
