1つ目は、経済的な視点です。一部の情報によればこの漏洩したエンジニアの処遇は「40代、勤続20年で年収は300万」だったそうです。
仮にそうであれば、モラルとモチベーションを期待するのは難しいと言えます。それどころか、今回のケースとしては「モラルが低く、低年収ということで恨みを抱いて悪意で漏洩した」のではなく、「恐らく、本物のソースコードをアップすることの違法性、危険性などのリテラシーに欠けていた」という可能性すら匂わせています。悪意がないから「まだまし」ではなく、事態はもっと深刻ということです。
ということは、日本を代表するようなメガバンクや、テック企業においても、システム開発は外注し、またその外注先が孫請けに投げて、もしかしたら更にひ孫ぐらいのところに投げた結果、非常に年収の低い、従って倫理リテラシーも、業界のフレームワークも何もまるで分からずにプログラムだけを書いているようなエンジニアに仕事をさせている、そんな構造があるということです。
そのように、中間に様々な組織が絡んでおり、それぞれの組織が間接部門を含む人を養って行かねばならない中では、そのレベルのエンジニアを雇うぐらいの予算しか残らない、そのようなコスト構造があるということです。
これは大変に危険なことです。もう一度、繰り返しますが、悪意をもって発注元にダメージを与えようというのではなく、「公開することがどんなインパクトを与えるのか、全く分かっていない」レベルというのは、究極のリスクだということです。
つまり、コスト構造に誤りがあることで、業務体制の全体が高リスクになっているということです。
2つ目は、今度はこのエンジニアの視点に立ってみることにします。20年間勤続してきたというのですから、恐らくコーディングが苦手ではないのでしょう。そして経験を重ねることで組織の中での信用もあったのだと思います。
それでも、セキュリティに関するリテラシーを獲得できなかったとすれば、そのような学習をするチャンスがなかった、あるいは多少はあったがちゃんとしたリテラシーがなくても作業は回せるような環境でずっとやらされてきたという可能性があります。
仮の話ですが、作業の中で「オリジナルの発注先を知らされずに」いたとか、「システムの全体像も知らされず」にサブシステムの継ぎ足しなどをやっていただけという可能性もあるかもしれません。
また作業については、ちゃんと専用環境の中でしか作業は出来ないとか、しっかりログを取られてセキュリティが破られそうな挙動があればワーニングやエラーになる、ましてソースコードを持ち出すことはできないといった、当然に取られているべき体制が取られていなかったということもあると思います。
この点に関しては1つ目の問題と同じであり、末端のソフトハウスのレベルでは、そんな「まともなセキュリティの管理」ができるような値段で仕事を受けていないということだったのかもしれません。
仮にそうだとすると、人材とか組織といった観点から考えた場合に、この漏洩を起こした人物や、その人物が直接的に属していた企業については、責められないものを感じます。
