orangeitems’s diary

クラウド専任の40代インフラエンジニアが書くブログ。新規事業マネージャー。20世紀末の就職氷河期スタート時にIT業界に文系未経験で入りこみそのまま生き残った人。

LINE Pay決済情報がGitHubに流出する件は防げたのか

f:id:orangeitems:20211207110112j:plain

 

LINE Payの件、ご存知かとは思いますが、こんなことが起きています。

 

linecorp.com

このたび、ソフトウェア開発のプラットフォームである「GitHub」上で、一部ユーザーのキャンペーン参加に関わる情報が閲覧できる状態になっていました。
閲覧可能となっていた情報に、氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等は含まれておりません。また、現時点でユーザーへの影響は確認されておりません。

本件につきまして、下記の通り報告いたしますとともに、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。
現在、閲覧できる状態にあった当該情報は削除し、該当ユーザーへの通知を行っております。

 

情報の中身はどんな言い訳をしようと決済関連の情報であり、このようなシナリオでの流出は金融に携わるのであれば決して許されないものです。

銀行や証券などのシステムに関わったことがある方ならわかると思いますが、金融システム関連の現場は情報管理が厳しすぎるぐらい厳しく、ありえない、と憤りを感じると思います。

というのも、情報統制のために運用にかなりの投資と制限をかけていて、一方で利便性のためにいろんなことが自由である会社が、同じように金融の市場で競争相手であるというのは、不公平じゃないかと感じても不思議ではないからです。

一方ではがんじがらめの情報システム、一方は本番データのアクセスをしながらGitHubにデータごとアップロードできてしまう文化。自由にものを作れるのは後者でしょう。今までレガシーな金融の起業ができなかったことを様々実現できる。競争優位性を全面に押し出しDXの波にも乗りどんどん前に進めた結果、こういうことが平気で起こるのです。これは規制緩和の負の側面だと思います。

ただし、モダンな金融サービスを展開する企業すべてが、「ゆるゆる」だとは思いません。金融システムの運用設計の厳格さの良い面を知り尽くし、そして悪い面を払拭したいと開発環境に投資し、セキュリティーと俊敏さを両立している現場もあります。ですから、今回の事件はとても残念なのです。なまじ有名なブランドであるので、一緒に見られてしまうではないですか。インターネット系企業のセキュリティーに対するシビアさはそれぐらいなのか。それならデータを預けることはできないな。もし連携したとしても、非常に権限はしぼらないといけない。

今回のレターは、以下のように締めくくられていました。

 

今後、情報取り扱いの社員教育をさらに徹底し、その他の対応策も検討を進め、再発防止につとめてまいります。

 

社員教育をすることは情報セキュリティーの基本ではあるものの、そもそも、できるようになっていることが過失なのは明確です。

GitHubのパブリックリポジトリにアップロードしようとした時点で気がつくか、した事実を俊敏に検知する仕組みは必要です。

また、本番データにアクセスできる環境と、GitHubにアップロードする、という状況が両立する、開発環境にも問題があります。今回は触れられていませんが、その本番データを扱う端末が社内ではなく持ち出すことができるとしたら更に問題です。

そう、この情報をいかに扱うかというテーマは金融の世界でずっとテーマにしてきたことです。それが、こんなに簡単な手法で取り扱われてしまう文化が醸成されていることが、少しでも金融システムの世界に触れたことのあるシステムエンジニアの一人として、残念至極です。

LINE Payへの希望としては、新規機能開発を全部凍結し、開発のための運用設計を全部点検することに集中してほしいです。人は時間とともに入れ替わりますので、人を教育するというのは根本解決とは言えません。再発しないための仕組み、運用設計こそポイントで、金融システム運用経験者を登用し、それこそ金融システム開発環境のモダナイズを行って欲しい。人のリテラシーに依存しない金融に携わることに遜色ないことをぜひ示して欲しいと強く、深く願います。