三井住友銀行やNECといった大手企業のシステムのソースコードが流出していたことが判明し、大きな話題となっています。なぜこのような事態が発生してしまったのでしょうか。今回のメルマガ『冷泉彰彦のプリンストン通信』では著者で米国在住作家の冷泉彰彦さんが、今回のケースは、日本のソフトウェア業界が抱える構造的な問題が顕在化したものであると指摘。さらに同業界がそのような体制となってしまった根本的原因を考察しています。
ソースコード流出と日本のソフトウェア業界の闇
問題が明るみに出たのは、三井住友銀行(SMBC)が1月29日に行った発表です。同行によれば、同行のバンキング・システムに関連するソースコードが「外部のWebサイト上」に勝手に公開されていたというのでした。そのサイトとは「GitHub」(ギットハブ)というプラットフォームです。
ちなみに、その後に判明したところでは、SMBCだけでなく、NTTデータ・ジェトロニクス(昔の日本オリベッティ)、NECなどのデータも流出が確認されていました。
この「GitHub」というのは、基本的にはプロ用の有償サービスで、ソフトウェアを開発する際に、メンバーがコードを共有しながらバージョン管理、つまり「これが最新バージョン」だが「その前のものはこれ」といったマネジメントをしながらプロジェクトを作り上げて行くツールです。
当然ですが、この有償サービスは非公開ですし、反対に強力なセキュリティに守られています。
ちなみに、この「GitHub」はサンフランシスコをベースとしたベンチャーで2008年にスタートしていますが、2018年にはMS(マイクロソフト)の傘下になっています。
これはMSがビジネスチャンスを感じて買ったというのではなく、そもそもMSが同社のヘビーユーザーであったことから取り込んだもののようです。
ということで、「GitHub」というのは怪しいサイトでもなんでもない、と言いますか、むしろ世界的に必要とされるビジネスインフラであるわけですが、問題は、無料のサービスとして「ペーストビン」的なことをやっている点で、今回の事件では、ここが舞台になりました。
どういうことかというのは、「ペーストビン」(一般名詞です)というのは、プログラマが構想やソースコードの断片などを「プレーンなテキスト」として一般公開することができるからです。
これもお断りしておきますが、悪いことではありません。原因不明のエラーやループが出た時に、ネット民の知恵を求めるということはあるからです。
勿論、個人情報やセキュリティに脆弱性を招くようなデータの公開は違法ですが、そうでなければ普及している行為というわけです。
この「ペーストビン」的な使い方として「ソフトウェア人材のスキル」を見るために、その人の書いたソースコードをアップさせるということがあります。つまり採用選考の段階で、自分の「作品」をそこにアップして見せるという使い方です。
ネットの世界には「ペーストビン」的なサービスは色々あるわけですが、例えば企業の採用担当者としては、あまり怪しいサイトにアクセスするのは抵抗があるわけで、MS傘下の「GitHub」なら安心なので、そこにアップしてくれという運用になることが多いようです。
要するに自分のエンジニアのスキルをアピールするには、そこに自分がプライベートで書いたコードをアップして、その「作品」を評価してもらうということになるわけですが、今回の事件はそうではなくて、エンジニアが業務で書いたもの、しかもその本物をアップしてしまったということのようです。
そのエンジニアらしき人物が、「さぶれ」というハンドリングネーム(現在は削除)でツイートしていた内容(魚拓を参照)によれば、訳も分からずに「現在あるコードをチェックせずに全てアップした」ということのようです。
同じ書き込みによれば「なんかgitにコードをアップすると、それから推定年収を計算してくれるサイトがありまして」ということですから、自分のコーディングのスキルをチェックしてもらって転職のストラテジの参考にしようとした、そんな理解がされています。
この問題ですが、単に悪意のある人物が機密情報を漏洩したというような単純な事件ではないと考えるべきです。そうではなくて、今回のケースは次のような問題を提起していると考えられます。