SMBCなどのソースコードが流出した問題を受けて、対応に追われていたり自社も他人事ではないと感じていたりしないでしょうか？

Githubの使用禁止やPPAPなどへの回帰でとりあえずの対策にしている企業もありますが、実は本質的な対策がとれているとはいえません。自社での問題発生を防止するには、今回の問題の本質をきちんと理解し、適切な対策をとる必要があります。

そこで今回、今回の流出問題の本質や全企業が抱えているリスク、適切な対応方法をまとめて解説していきます。

SMBCなどのソースコード流出の経緯

• 元々流出させた本人がTwitter上で注目されていた （有名ゲームを話題に言い合いになっていた）
• 第三者が流出させた本人のTweetからGithubのアカウントを発見する
• Github上でSMBCなどのソースコードの断片が発見されて話題になる
• 流出させた本人のGithubアカウントに注目が集まる
• 多数の企業や警察関連のソースコードが確認され炎上する
• SMBCなどが流出したソースコードは本物だと認める

流出を認めた各組織はセキュリティ上の問題はないといった発表をするなどの対応に追われました。また、エンジニアのプラットフォームとして機能しているGithubの使用を禁止する企業も出てきており、業務への影響が懸念されるという声も出ています。

今回の流出は、流出させた本人の管理意識が低いことが原因と考えられがちで、情報漏えいの注意喚起やGithubの使用禁止などをして対策終了にする企業も多そうです。しかし、今回の流出問題が発生した本質を理解した上での対策とは言いづらいでしょう。

ソースコード流出問題の本質と全企業が抱えるリスク

ソースコード流出問題の本質は、Githubや無自覚に情報漏えいをした社員の存在ではなく、各組織の情報セキュリティ不足です。そして、どの企業も競合他社への情報漏えいなどのリスクがあると判明したと考えられます。

たしかに流出させた本人に情報漏えいの自覚がなかったのは問題です。しかし、そもそも一部にせよソースコードを持ち出せる環境にしている時点でセキュリティリスクが発生しています。

Githubはコードをのせたり編集できたりするプラットフォームであり、情報をのせられる1つの手段でしかありません。情報漏えいをする手段は無数にあります。たとえば、2021年1月に発覚したソフトバンクの元社員が楽天モバイルに転職して情報漏えいした事件のように、メールなども情報漏えいの手段になり得ます。また、本人に情報漏えいのつもりがなくても、転職などで「ソースコードを非公開で提出してほしい」と言われて提出し、実際には審査以外のことに使われる可能性もあるでしょう。

実際、過去5年間に情報漏えいを経験した企業は8.6％、漏えいがあったかどうか分からないという企業も18.1%にのぼるという報告もあるほどです。SMBCなどのソースコード流出問題も経緯を振り返ると、注目が集まらなければ流出の事実が広く知られなかった可能性も十分考えられます。

したがって、Githubを禁止にしてギガファイル便、PPAPなどを利用するのも場当たり的な対応と言えるでしょう。自社の損害を防いだり信用を守ったりするには、全社員がリスクのある行動をとったら検出できる仕組みが必要です。そうでなければ、今回のような情報漏えいが自社で発生したときに、「SMBCの件もあったのに対策しなかったのか」と考えられてしまうでしょう。

もちろん全社員を物理的に監視したり、注意喚起をして社員の自主性に委ねたりするのは、効率が悪い上に万全な対策とは言えません。特にテレワークなどが推進される昨今、情報セキュリティ管理の難易度は上がっていると言えます。しかし効率的な対策はあり、具体的な手段の1つとしてタスクマイニングツールがあげられます。

効率的な情報セキュリティには「タスクマイニングツール」

できることはさまざまありますが、端的に説明すればタスクマイニングツールとはPC操作を見える化できるものです。オフィスで働いているときはもちろん、テレワーク時の情報セキュリティにも役立ちます。

具体的には、Webサイトの閲覧を制限したり、各種連絡ツールのログを取得したりなどです。USBなどの設定も細かくできるので、業務に影響が出ないように配慮しつつ情報漏えいのリスクを下げられます。

ちなみにタスクマイニングツールのメリットは、情報セキュリティを高めることだけではありません。タスクマイニングツールの本来の目的は、各社員の業務状況を収集してタスクを可視化、生産性を上げるための課題やRPAを推進するといったことです。要するに、社員の仕事ぶりを見える化して情報セキュリティを高めたり、生産性を向上させたりできるツールというわけです。

テレワークやDXが推進されて、PCでの仕事がより一層増えつつある今だからこそ取り入れると効果的と言えます。また、ソースコード流出の件から情報セキュリティへの関心が高まっている今、導入のチャンスとも言えるでしょう。先に解説したとおり、Githubの禁止は本質をついた対策ではなく、PPAPはリスクの高さから内閣府で廃止が発表されています。そこでタスクマイニングツールでできることを簡単に紹介していきます。

タスクマイニングツールでできる代表的なこと4つ

タスクマイニングツールでできることは以下の4つが代表的です。

• 情報漏えいリスク管理
• 効率的な勤怠管理
• 生産性の向上
• 正確な人事評価やマネジメント

それぞれ具体的に解説していきます。

メリット①情報漏えいリスク管理

タスクマイニングツールは、PCで何をやったかを記録したり、今何をやっているかをリアルタイムで見たりできるツールです。下図のように禁止ルールも設定できるので、SMBCソースコード流出問題のようにデータを持ち出すといったことを予防できます。

メリット②効率的な勤怠管理

タスクマイニングツールを導入すると、効率的な勤怠管理もできます。下図のように、いつ何をやったかを詳しく確認できるからです。

残業時間の上限規制が設定されたり、テレワークで隠れて働きすぎる社員がいると指摘されたりしている昨今、タスクマイニングツールの導入は問題を未然に防げる手段の1つになります。今何をやっているかも分かるので、コミュニケーションやモチベーションを管理にも役立つでしょう。

メリット③生産性の向上

生産性の向上もタスクマイニングツールでできることの1つです。PC操作を見える化できるということは、非効率的な働き方や自動化できそうな作業を見つけることにつながるためです。ちなみにPC操作のデータを収集されている社員は普段どおり働けるので、タスクマイニングツールを導入したからといって仕事の妨げになることはありません。

メリット④正確な人事評価やマネジメント

タスクマイニングツールを導入すると、正確な人事評価やマネジメントもできるようになります。下図のような生産性のスコアなどが確認できるようになるからです。

さまざまな働き方ができるようになった今、客観的なデータは正確な人事評価やマネジメントは大いに役立つはずです。