サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

安易な Github 狩りなどもってのほか

目次
  • ニュース解説「安易な Github 狩りなどもってのほか」
  • GitHubを安全に使う方法

ニュース解説

安易な Github 狩りなどもってのほか、CSAJ が設定や運用解説資料公開

一般社団法人コンピュータソフトウェア協会(CSAJ)は2月2日、各種メディアで報道されているソフトウェアのソースコードをホスティングするクラウドサービス「GitHub」について正しい理解と対応に向けた文書を発表した。(記事はこちら)

GitHubの設定ミスが原因で機密情報が漏洩する事故が多発してる状況に対して、GitHubの存在自体が問題ではないという内容です。組織でGitHubを利用するうえで気を付けるべきポイントを説明します。

先日、大手金融機関の業務システムと思われるソースコードの一部がGitHubで公開状態になっているセキュリティインシデントが発生しました。情報漏洩の発生元は金融機関自身ではなく、委託先企業のエンジニアが転職活動のためにGitHubへソースコードをアップロードしたことが原因と考えられます。記事には

利用時は配慮が必要とする一方、GitHubをはじめとする外部クラウドサービス利用の萎縮につながらないよう、各社の節度ある情報セキュリティ設計を要請している。

とあります。金融機関や本人も含めて、情報漏洩を意図して発生させたわけではありませんので、GitHubを正しく設定することでセキュリティを担保しながら、開発の品質と生産性の向上につなげてほしいと書かれています。

GitHubを安全に使う方法

GitHubを安全に使う方法は、公開と権限の設定を正しく行うことです。また、GitHubを利用する開発プロジェクトとして、メンバーの教育と管理が必要です。それぞれについて説明します。

GitHubの設定を正しく行うことについて、具体的には「Organizationの設定を見直す」必要があります。まず、「誰がOrganization内のリポジトリを閲覧できるか」設定変更の権限をオーナー限定にできます。この制限がないと、管理者権限を持つメンバーも設定変更ができるので、誤ってリポジトリを公開するリスクが生じます。続いて、「メンバーがOrganization内で作成できるリポジトリの公開範囲」を設定できます。Publicの設定をしてしまうと、メンバーが公開のリポジトリを作成することができますので、そこから情報漏洩が発生するリスクが生じます。

ただし、これらは組織で管理しているGitHub内での設定なので、ソースコードが何らかの方法で持ち出されてしまった場合、制御することができません。ソースコードを含む機密情報の取り扱いについて、開発プロジェクトのメンバーを教育することが必要です。就業規則や罰則規定の説明も交えて、安易な気持ちで情報を持ち出すことのリスクをメンバーに理解してもらいます。

また、GitHubに登録されているメンバーの設定も定期的に見直すことが必要です。すでに退職したメンバーや期間限定で参加するメンバーなど、登録や削除、権限の設定が適切であることを定期的に確認します。

音声で聴かれるかたはこちら

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ