GitHub Copilot 導入時に考えたセキュリティのあれこれ / Security-considerations-when-introducing-GitHub-Copilot

Transcript

1. 　 GitHub Copilot 導⼊時に考えた セキュリティのあれこれ 2023.08.30 freee株式会社 PSIRT ただただし

2. 　 2 富⼠通グループのセキュリティ専⾨の研究所で8年間、サイ バー攻撃研究チームを率いたのち、2020年からfreeeへジョ イン。⽴ち上がって間もないPSIRT (Product Security Incident Response Team)のマネージャーとして、freeeのプ

   ロダクトセキュリティを守る。 ……守りつつ、全社障害訓練をしたり、OSSポリシーを策定 したり、定年制度をぶっ壊したりしている。 プライベートでもオープンソースプログラマとして30年以上 の開発経験を持つ。tDiary Project Founder。 ただただし freee株式会社 PSIRT マネージャー Tada, Tadashi (@tdtds) プロフィール画像の トリミング⽅法

3. 3 GitHub Copilotを使えば⽣産性爆上げ！ 全社⼀⻫導⼊するぞ！ ちょっと待て！ セキュリティアセスメントくらいさせろや CTO Security Team

4. 4 スモールビジネス向けに統合型クラウド(1)ERPを提供 統合型クラウド会計ソフト 統合型クラウド⼈事労務ソフト 請求書 | 経費精算 | 決算書 |

   予実管理 ワークフロー | 内部統制 2013年3⽉〜 ⽇本のクラウド会計ソフト市場 シェアNo.1 (2) 勤怠管理 | ⼊退社管理 | 給与計算 | 年末調整 マイナンバー管理 2014年10⽉〜 スモールビジネスの ⼈事管理市場において 売上⾦額シェアNo.1(3) その他サービス 会社設⽴ 開業 税務申告 受発注 クレジットカード ⼯数管理 電⼦契約 注: 1. クラウドサービス：ソフトウェアやハードウェアを所有することなく、ユーザーがインターネットを経由してITシステムにアクセスを⾏えるサービス 2. リードプラス「キーワードからひも解く業界分析シリーズ：クラウド会計ソフト編」（2022年8⽉） 3. 「freee⼈事労務」はITRが今年調査発⾏した「ITR MARKET VIEW：⼈事‧給与‧就業管理市場2022」の⼈事管理市場において、従業員100⼈未満および従業員100~300⼈未満の企業で売上⾦額シェアNo.1（2020年度）を獲得しています。 勤怠管理 （中堅企業向け） 経費精算 販売管理 福利厚⽣

5. 5 GitHub Copilotに潜むセキュリティリスク Copilotへの ⼊⼒ Copilotからの 出⼒ • 学習に利⽤されないか？ •

   情報漏洩の可能性はない か？ • 危険なコードを提案され ないか？ • 他者の著作物は混じらな いか？

6. 　 Copilotへ インプットするリスク

7. 7 教師データにされないか？ ソースコードリポジトリや スニペットが教師データに されるのでは ⾃社のソースコードが 他社‧他者に対して 提案されたら困る ➡ 学習元のソースコードはパブリックなもののみ

   ➡ テレメトリやプロンプト、候補は for Businessでは保持されない https://github.com/features/copilot/#faq https://docs.github.com/ja/copilot/overview-of-github-copilot/about-github-copilot-for-business

8. 8 freeeのセキュリティレベル定義 レベル 扱う情報 S 企業の財務情報、センシティブな個⼈情報 A 業務データ、その他の個⼈情報 B 属性情報、統計情報、ソースコード

   C 公開情報

9. 9 ソースコードは(そんなに)⼤事ではない エンジニアの⽣産性向上 > ソースコード漏洩リスク

10. 　 Copilotのアウトプットを 使うリスク

11. 11 脆弱性のあるコードを吐くかもよ？ https://twitter.com/aleksandrasays/status/1678503072824193027 https://techcommunity.microsoft.com/t5/educator-developer-blog/github-copilot-update-new-ai-model-that-also-filters-out/ba-p/3743238 ➡ AIベースの脆弱性フィルタリングシステムを組み込んである

12. 12 ライセンス関連訴訟 https://githubcopilotlitigation.com/ ➡ public codeにマッチする提案はしない

13. 13 Copilotが吐いたコードは⾃社のものか？ https://www.hollywoodreporter.com/business/business-news/ai-works-not-copyrightable-studios-123557031 6/ https://github.com/customer-terms/github-copilot-product-specific-terms ➡ 提案とコードの所有権は「You」にある (???)

14. 　 その他のリスク

15. 15 いきなりの規約変更とか? https://twitter.com/shujisado/status/1668748592868372480

16. 16 Copilotの提案は硬直化するのでは？ CopilotはGitHub上のpublicなソースコードを教師データにしている 同時に、GitHub上にはCopilotによって書かれたソースコードがどんどん増えている つまりCopilotは今後、⾃⾝が書いたコードを再帰的に強化学習することになる それって、新しいことを学習しなくなるのでは……? ⼀⽅、⼈間はCopilotへの依存を強めてゆくだろう 過去のコードを元にした提案を受け⼊れるだけになる 新しいプログラミングパラダイムが⽣まれにくくなるのでは……?

17. 　 それでも Copilotを使うべき理由

18. 18 エンジニアの⽣産性向上 > さまざまなリスク た‧だ‧し これからの開発者には 「Copilotを使って効率よくコードを書きつつ その提案の良し悪しを適切に判断する⾼い技術⼒」と 「Copilotに頼らずに新しいことにチャレンジする 旺盛な好奇⼼を持ち続ける強さ」が

    求められる

19. スモールビジネスを、世界の主役に。