それでも歩みを止めず、前へ進む

in

不正アクセス

先日、GitHubの認証情報漏えいに端を発する不正アクセス事案が、報道されました。

リポジトリがコピーされ、ソースコードと一緒に個人情報や認証キーまでが流出してしまう、という構図です。

こうした事案は、私たちにとっても他人事ではありません。 今回は、報道を見ながら考えたことを、整理しておきたいと思います。

(社員の皆さんへ>みなさんにも読んでいただきたいと思い書いています。)

「明日は我が身」だということ

まず最初に申し上げておきたいのは、GitHubの認証情報が攻撃者に渡ること自体は、どんなに気をつけていてもゼロにはできない、ということです。

開発者PCのマルウェア感染。 誤ってコミットしてしまったトークン。 退職者のアカウント管理の漏れ。 サードパーティ製ツールのインシデント。

経路はいくらでもあり、これらすべてに完璧に蓋をすることは、現実的ではありません。

ですから、特定の事案を批評することにあまり意味はなく、**「同じことが自分たちのリポジトリで起きたら、果たして耐えられるのか」**を考える方が、よほど建設的だと思います。

明日は我が身、です。

漏れたあとに、何を持っていかれるか

問題は、リポジトリがコピーされた瞬間に、そこに何が入っていたかです。

報道される事案を見ていると、ソースコードと一緒に、本番に近い個人情報や、各種認証キー・パスワードが含まれているケースが少なくありません。

これらは、本来コードと一緒に保管されるべきではないものです。

個人情報については、おそらくCIやテストデータとして本番データの一部が流用されているのだと思います。テストデータには合成データやマスキング済みデータを使う、というのは、いまの開発現場では基本中の基本です。

認証キーやパスワードについては、設定ファイルや初期化スクリプトに直接書き込まれていることがあります。これも、環境変数や専用のシークレットマネージャーで管理するのが基本です。GitHub側にも Secret Scanning や Push Protection という機能があり、コミットの瞬間にブロックすることもできます。

そして本当に厄介なのは、過去のコミット履歴です。

歴史の長いサービスほど、何年も前のコミットに何が眠っているかは、もはや誰も覚えていません。だからこそ gitleaks のようなツールで一度棚卸しをし、検出されたシークレットは「漏れた前提」で全部ローテーションする。そういう泥臭い作業が、いま、求められています。

それでも、歩みを止めるわけにはいかない

ここまで書くと、「セキュリティのために、もっと慎重に」という結論に向かいそうになります。

でも、私はそうは思いません。

もちろん、ベストプラクティスは取り入れる必要があります。 過去のコミット履歴のクリーンアップも、シークレットの棚卸しも、すぐにやるべきです。

しかし、こうした事案を理由に、開発のスピードを落としたり、新しい技術への挑戦を止めたりするのは、本末転倒だと感じます。

AI時代の開発は、いまこの瞬間も、すごい速度で進化しています。 新しい方法論、新しいAIモデル、新しいツール。日々、選択肢が増えていきます。

立ち止まっている時間は、もうないのです。

「リスクがあるから、やらない」ではなく、「リスクがあることを前提に、構造的に被害を抑える」方向で、設計と運用を組み直していく。

私は、そちらを選びたいと思います。

構造で守るという考え方

少し当社の話をさせてください。

株式会社エルブズは、お客様の開発現場が安心してAIを活用できるよう、伴走することを生業としている会社です。書籍として体系化した「仕様駆動開発」の方法論、OSSとして公開する開発ツール群、そして教育・技術サポート。この三つを束ねて「IXV」というブランドとして、エコシステムをご提供しています。

すなわち、最初の一歩からプロダクション運用まで、お客様の現場をご支援しています。

その中心にある仕様駆動開発は、「仕様を起点に、AIと人間が協働して開発を進める」方法論ですが、副次的な効果として、「コードに何を含めるか/含めないか」「テストデータをどう用意するか」「認証情報をどこに置くか」といった運用設計の判断も、仕様の段階で明示することができます。

属人的な「うっかり」ではなく、「仕様としての約束事」として、これらを構造化できるのです。

今回のような事案を「うっかり」と見るか、「構造の問題」と見るか。

仕様駆動開発の立場からは、明らかに後者だと考えています。 そして、構造の問題は、構造で解くしかありません。

静かに、確実に、進める

技術はこれからも進みます。 新しい便利さと、新しいリスクが、いつもセットでやってきます。

私たちにできることは、リスクを正しく恐れ、対策を地道に積み上げ、それでもなお、前へ進む選択をし続けることだと思います。

明日は我が身。 それでも、歩みは止めない。

当社も、お客様の開発現場に伴走しながら、改善を続け、静かに、しかし確実に、前へ進んでいきます。

社員の皆さんへ>最後まで読んでくれてありがとうございます。一緒に頑張ろう。