銀行のセキュリティに大きな問題が生じたと話題になっています。
SMBCのセキュリティコードが無料公開されてしまったのです。
銀行のセキュリティが筒抜けになってしまうだけでも相当やばいですが、今回の件はエンジニアの労働環境にも問題があったのでは?と指摘されています。
そこで今回は
・SMBCのソースコード流出騒動について
・SMBCのソースコード流出騒動の原因
・公開者の損害請求
について紹介していきます。
コンテンツ
SMBCのソースコード流出騒動について
今回は三井住友銀行のセキュリティコードがGithubというサイトに無料公開されていたことが問題となっています。
GitHubというのはエンジニア用のyahoo知恵袋のようなものです。
プログラミングスクールのブログにわかりやすくまとめてありました。
GitHubとは、ソフトウェア開発プロジェクトのためのソースコード管理サービスです。
公開されているソースコードの閲覧や簡単なバグ管理機能、SNSの機能を備えており、開発者にとって無くてはならないサービスです。
また、GitHubを使ってバージョン管理を行っている企業も多数あります
企業でもよく使われているもののようで、簡単なプログラムはここで添削してもらう、なんてこともあるようです。
ただ、銀行のトップシークレットであるセキュリティに関するコードをここで無料公開してしまったということが問題です。
いってしまえば、クレジットカードの暗証番号をツイッターに書き込んでしまうようなものです。
SNSをみるとこの問題について深刻さについて実感できます。
githubのSMBCの件を鬼滅の刃で例えるなら、
「隠の道案内役の隊員が、浅草の町の掲示板に、『産屋敷邸と蝶屋敷と刀鍛冶の里の自分が担当する部分の行き方』を書いていた。」
ってとこかなあ。— で!ひ! (@denhi_dbd) January 29, 2021
smbcのソースコード流出、普通に笑えない…
志望企業の社員じゃなきゃいいんだけど— かなべえ@22卒 (@sLCaseee8L1VkmD) January 29, 2021
SMBCの件他人事と思えなくてやばいな。。。
自分のお客さん先で起きたら地獄すぎる…— あめふりゃ (@amefurya) January 29, 2021
SMBCのソースGitHub流出の件、自分もIT系の社員なのでめちゃめちゃ肝が冷える…
今は他人事だから笑うしかねーわみたいになってるけど、もし自分がやらかしたって考えたらもう何も出来ねぇし死にたくもなる— レイレイ (@0XihV4O6aLl7L8B) January 29, 2021
業界の人からしたら本当にヤバい問題だったんだなと実感しました。
SMBCのソースコード流出騒動した3つの理由
今回の問題は漏洩した人のうっかりミスだけでは済まされないプログラミング業界の闇があるようです。
・エンジニアの低賃金労働
・仕事の責任と年収の不釣り合い
・外部委託による管理体制
これらについて詳しくまとめていきます。
1.エンジニアの低賃金労働
20年プログラマーやって年収300万、、、???
— うぃす🌥️ (@wis_ria) January 29, 2021
今回の事件の発端となった理由はコードを漏洩した人が転職を考えていたためです。
漏洩をしてしまった人はエンジニアとして20年活躍するも年収が300万程度だったようです。
年収をアップグレードしていくための腕試しとして、自身の書いたコードをGithubに転機したようです。
プログラミングに夢を見ている人にとって、厳しい現実です。
勤続20年で300万しかもらえないこの現状は業界の闇を考えられても仕方がありません。
この人も、20年の働きに納得するような稼ぎを得ていれば少なくともこのようなことは起こさなかったと考えられます。
そうなると、プログラマーの待遇改善を推し進めていかないと行けないのかもしれません。
2.仕事の責任と年収の不釣り合い
だからあなたは300万のIT土方なんだっていうより、
300万しか与えないからこうなるんだ、という風潮にしないと終わってるベンダー丸投げ構造変わらないよね
もちろん発注者にも責任あるよね
多重請負のリスクわかってたんだから#github#艦これ#SMBC— しらせ@原神まったり (@tacomax1212) January 29, 2021
少し攻めた意見ですが、仕事のレベルと年収があっていないという意見がありました。
確かに、セキュリティという銀行にとっての生命線を任せるのであればもっと高給取りにやらせるべきなのかもしれません。
こればっかりは発注側の要望書を見ないことにはわからない内容です。
3.外部委託による管理体制
親会社の責任問題も考えられます。
銀行のセキュリティコードという生命線のような部分を末端の下請けにやらせてしまったことにも問題があるでしょう。
末端に行くほど賃金が支払われない現状を銀行は肌感覚として理解しているはずです。
そうであれば、守秘義務を徹底している会社に委託するなど他の方法を模索できた可能性もあります。
ただ、どの部分から守秘義務違反を行ったのかわからない以上、一般人には責任の追求元がどこなのかは検討も付きません。
公開者の損害請求
今回の情報漏えいが本当であれば、賠償請求は非常に大きくなるのではないでしょうか?
というのも、銀行のセキュリティコードということで被害が甚大になるだけでなく、個人情報流出の危険も非常に高くなるためです。
過去の情報漏えいに関する裁判でも相当の額の賠償請求を認めています。
通信販売大手のジャパネットたかたは、同社が情報流出に関与したとする元社員に対して1億1000万円の損害賠償を求めて提訴。長崎地方裁判所は5月15日、ジャパネットたかたの請求をほぼ認める判決を出した。
今回の内容はジャパネットたかたの情報漏えいクラスに匹敵するのであれば、1億円の可能性も十分にありえます。
仮に、今回の問題がセキュリティに重大な影響を与えていなかったとしても「この銀行は情報漏えいをする」という目で見られてしまうことがかなり大きな問題になります。
今後の公式発表に注目が集まります。
