日記

SMBCソースコード流出の”原因”と”対策の方向性”

こんにちは滝谷ハジメです。

本日、私が一番気になったニュース『SMBCのソースコード流出騒動』について紹介。
紹介の後、原因と対策について書きます。

それでは、始めて行きましょう!

SMBCのソースコード流出事件

2021年1月29日に大げさに取り上げられたこの事件を1行でまとめるなら
年収300万円の人がSMBC(三井住友銀行)のソースコードをネット上に流出させた
です。

分かりやすくまとめてくれている方がいます。

正直、他人の起こした事件です。普通であれば「そうなんだ」程度でしょう。
しかし、この事件には取り上げられる理由が複数あります。

なぜ大々的に取り上げられているのか?

大々的に取り上げられた要因はおそらくこの3つでしょう。

・銀行のソースコードが流出した
・流出させた人の年収が300万円だった
・流出の原因が転職目的だった

銀行のソースコードが流出した

SMBC(三菱住友銀行)はメガバンクです。口座を持っている方も多いのではないでしょうか。

そんなメガバンクのシステムの根幹であるソースコードが流出したとなれば
『え!?大丈夫なの?』と不安になるため多くの人が興味を持ったということですね。

もちろんSMBCの口座を持っていなくても「銀行のソースコードが流出したぞ!」と言われれば『私の使っている口座は大丈夫なのかな?』と気になりますよね。

流出させた人の年収が300万円だった

年収300万円といえば大学新卒の給料とほぼ変わりません。

『プログラマーって給料良いんじゃなかったの?』
『メガバンクのソースって年収300万円の人が作っていたの?』

といったところで私は驚きました。同じような感想を持った人も多いのではないでしょうか。

 

ちなみに約20年働いて年収が300万円とのこと。
個人的な感想ですが、悲しい

流出の原因が転職目的だった

流出させた人には悪意があって流出させた訳ではなく
転職をするための準備として
自分の書いたコードを見てもらい、年収を推定してくれるサービスに登録していたことが原因のようです。

先ほどの300万円があるため、どこか同情できますよね。

 

また、流出させた本人が割と飄々としているところも拡散している理由の1つかもしれません。

流出騒動は誰に原因があるか

『誰に原因があるか』なんて少し重々しいですが別に「○○が悪い!」と断じたい訳ではなく、「次起こらないためにどこを変えれば良いか」を考えたいのです。

結論、対策ありきの原因探しということです。

事象を原因で結んで行きます。

なぜ流出したのか?

本来、銀行のソースコードなんて一個人から見れば不必要、無用の長物なのです。
それがなぜ流出してしまったのかというと先ほど紹介した通りです。

1次原因:転職のためにソースコードを開示する必要があった

そう、転職のためにソースコードを開示する必要があったからですね。

では、ここからもう一歩踏み出して、
『なぜ転職をしたかったのか?』
『なぜソースコードを開示する必要があったか?』
というところを考えていきます。

※無論、私は当事者ではないため、あくまで推察です。

2次原因①:今の仕事を辞めたかった

なぜ転職をしたかったのか?
その答えはなぜ今の仕事に不満があったからですよね。
給与,環境,業務内容はさておき不満がなければ転職を考えないはずでしょう。
(「新しい仕事がしたい」という理由も考えられますが省略しました。)

では、なぜ今の仕事に不満があったのでしょうか?

不満を持たれる給与,環境,業務内容であった

なぜ不満があったか、当事者ではないためその答えは分かりませんが
不満を持たれる会社であったことはほぼ間違いないでしょう。

もちろん、親の介護等の別の理由も考えられますが、転職理由から見て会社に不満を持っている人が多いということからこれを原因としました。

順位前年度転職理由割合前年度比
1位1位ほかにやりたい仕事がある14.7%-0.2pt
2位3位給与に不満がある11.0%0.5pt
3位2位会社の将来性が不安9.7%-1.0pt
4位4位残業が多い/休日が少ない8.0%-0.2pt
5位5位専門知識・技術を習得したい5.3%0.2pt
6位6位幅広い経験・知識を積みたい4.2%0.4pt
7位8位土日祝日に休みたい3.6%0.3pt
8位7位U・Iターンしたい3.6%-0.2pt
9位12位業界の先行きが不安3.5%0.7pt
10位9位市場価値を上げたい3.4%0.1pt

引用:doda 転職理由ランキング

「他にやりたい仕事がある」が1位ですが、
会社に対する不満は2位,3位,4位,7位,9位でしょうか。合計すると35.8%になります。

そして気付いて頂きたいのは原因が「流出させた人」から「流出させた人が居た会社」に移っている事です。

いったん原因を考えるのはここまでとします。

私では『なぜ不満を持たれる会社だったのか?』に対しての答えを持ち合わせていません。
『中抜きがいけない』,『仕事の受注の仕方がいけない』など考えられなくもないですが『なぜそう言えるのか』の根拠を準備できないためやりません。私の知識・経験不足です、申し訳ありません。

2次原因②:ポートフォリオ(成果物)を見る必要があった

少し戻って、なぜソースコードを開示する必要があったか?の答えです。
転職のためにはポートフォリオ(成果物)を見る必要があったからですね。

簡単に言うと「何ができるかの証明」が必要な訳です。
プログラマーなどの専門性の高い技能になってくると「●●大学で○○を専攻していました」程度では話にならないんですね。

プログラマーだけでなくデザイナーに対してもそうですよね。
私も以前ココナラでイラストを描いてもらったときに
「私は絵に関して素人だから今まで書いた物を見せてほしい」と頼みました。
今考えるとこれもポートフォリオを要求していたわけです。

ちなみにその時の記事はコチラ

 

では、次はなぜポートフォリオが必要になるのか?です。
私がすでに答えを言ってしまいましたね。

プログラミングは専門性が高く評価が難しい技能であるから

そう、プログラミングは専門性が高いです。

私自身はプログラマーではありませんがVBAを使ったちょっとしたマクロなら職場で扱うことがあります。
私にとっては簡単なマクロであっても人によっては難しいと考えられることもありますし、もちろんその逆でパッと作られたマクロを私に見せられても「ごめん、全くわかんない」という時もあります。

プログラミングの技能は学校のテストの様に1つの数値にして評価することができません

もし、1つの数値で表せるような評価の仕組みが出来上がれば採用される側、採用する側の負担が一気に軽くなることでしょう。

今度は原因が「流出させた人」から「専門性の高いプログラミングの評価方法」に移りましたね。

原因まとめ

原因になった登場人物をまとめるとこの通りです

・流出させた人
・流出させた人の居た会社
・専門性の高いプログラミングの評価方法

対策の打たれる方向性

ここでは対策の方法については考えません。
私たちが見るべきは対策の打たれる方向性でしょう。

先ほど出てきた登場人物、実は上に行くほど抽象度が低いです。

<抽象度低>
・流出させた人
・流出させた人の居た会社
・専門性の高いプログラミングの評価方法
<抽象度高>
抽象度が低いというのは言い換えると具体的であるということです。
抽象度は「ふわっとした広いもの」くらいに考えるとわかりやすいです。

抽象度が低いほど対策は打ちやすいですが根本解決には至りません
根本解決が可能な抽象度の高い問題は解決が難しいです。

私たちが見るべきは”どんな対策か”よりも”その対策がどこに打たれるのか”です。

『機密保持の教育をします』とか『テレワークは機密が漏えいしやすいと判断、全員出社。』みたいな対策を取られたら鼻で笑ってしまいますよね。
私が当事者であれば『もう一回洩らしたろうかな』なんて考えてしまうかもしれません。

さいごに

今日一番で気になったニュースを取り上げて書いてみました。

この記事があなたの役に立つことがあれば幸いです。

実はKKO(きもくて、金のない、おっさん)問題も絡めてまとめようと思っていましたが原因を考えていたらそちらに注力しすぎてしまいました汗。
KKO問題については『にちゃんねる創設者ひろゆき氏著 凡人道』で面白く読めるためオススメです。

最後まで読んでくれてありがとうございました!

-日記