Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GitHub Copilot 導入時に考えたセキュリティのあれこれ / Security-co...
Search
freee
PRO
August 31, 2023
Technology
16k
3
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
GitHub Copilot 導入時に考えたセキュリティのあれこれ / Security-considerations-when-introducing-GitHub-Copilot
freee
PRO
August 31, 2023
More Decks by freee
See All by freee
freeeにおけるAI分析エージェントの実践
freee
PRO
0
290
クラウドネイティブ会議Day1_AI時代の開発スピードに追いつけ! Argo CD ApplicationSetと挑む、PR単位の検証環境/Cloud Native Conference Day 1: Keeping Pace with Development Speeds in the AI Era! Building a Pull Request-Level Testing Environment with Argo CD ApplicationSet
freee
PRO
0
270
激動のAI導入ミッションに、 freeeのセキュリティチームはどう向き合ったのか/How did freee's security team tackle the turbulent AI implementation mission
freee
PRO
0
2k
20251115_btconJP_フリー社における生成AI活用の試行錯誤とこれから
freee
PRO
1
250
dbt platform導入前の不安を解消する───リアルな一ヶ月検証記/Addressing Concerns Before Implementing the dbt Platform: A Real-World One-Month Trial
freee
PRO
0
1.1k
AIと共に開発する時代の組織、プロセス設計 freeeでの実践から見えてきたこと
freee
PRO
4
1.6k
10分でわかるfreeeのPdM
freee
PRO
29
27k
AI時代の開発組織デザイン
freee
PRO
0
190
支出管理船団 エンジニア向け会社説明用資料/Company_Presentation_Materials_for_Fleet_Engineers_in_Expenditure_Management
freee
PRO
0
480
Other Decks in Technology
See All in Technology
Why is RC4 still being used?
tamaiyutaro
0
270
ご挨拶「10周年を迎える共創ラボのこれまでとこれから」
iotcomjpadmin
0
180
秘密度ラベル初心者が第1歩でつまづかないための「設計・運用」ポイント
seafay
PRO
1
560
“全部コピーしない”ファイルデータの活用 : — FSx for ONTAP × S3 Tables × Icebergで作るメタデータカタログ
yoshiki0705
0
270
知見・人・API・DB・予算 ─ ナイナイ尽くしだった人事データ整備 with dbt、5年間の学び
ken6377
1
130
Docker Desktop不要の時代が来る? WSL標準の「wslc」で Linuxコンテナを動かしてみた.
ueponx
0
520
【FinOps】データドリブンな意思決定を目指して
z63d
3
580
SRE歴2ヶ月でも開発6年の知見を活かして、チームで止まっていた環境改善を前に進めた話
a_ono
0
170
ループエンジニアリングでE2Eテストを実践
noriyukitakei
0
190
AI Agentをシステムに組み込む前にゆるく向き合ってみる
hayama17
0
190
Kotlin 開発のツラミを爆破した話! / Explode the difficulty of Kotlin dev!
eller86
0
130
打造你的 AI 工作流:Agent Skill + MCP 實戰工作坊
appleboy
0
360
Featured
See All Featured
Paper Plane
katiecoart
PRO
1
52k
RailsConf 2023
tenderlove
30
1.5k
For a Future-Friendly Web
brad_frost
183
10k
Leo the Paperboy
mayatellez
7
1.9k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
230
Why Our Code Smells
bkeepers
PRO
340
58k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
1.1k
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
220
Building a Scalable Design System with Sketch
lauravandoore
463
34k
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
430
Facilitating Awesome Meetings
lara
57
7k
Deep Space Network (abreviated)
tonyrice
0
220
Transcript
GitHub Copilot 導⼊時に考えた セキュリティのあれこれ 2023.08.30 freee株式会社 PSIRT ただただし
2 富⼠通グループのセキュリティ専⾨の研究所で8年間、サイ バー攻撃研究チームを率いたのち、2020年からfreeeへジョ イン。⽴ち上がって間もないPSIRT (Product Security Incident Response Team)のマネージャーとして、freeeのプ
ロダクトセキュリティを守る。 ……守りつつ、全社障害訓練をしたり、OSSポリシーを策定 したり、定年制度をぶっ壊したりしている。 プライベートでもオープンソースプログラマとして30年以上 の開発経験を持つ。tDiary Project Founder。 ただただし freee株式会社 PSIRT マネージャー Tada, Tadashi (@tdtds) プロフィール画像の トリミング⽅法
3 GitHub Copilotを使えば⽣産性爆上げ! 全社⼀⻫導⼊するぞ! ちょっと待て! セキュリティアセスメントくらいさせろや CTO Security Team
4 スモールビジネス向けに統合型クラウド(1)ERPを提供 統合型クラウド会計ソフト 統合型クラウド⼈事労務ソフト 請求書 | 経費精算 | 決算書 |
予実管理 ワークフロー | 内部統制 2013年3⽉〜 ⽇本のクラウド会計ソフト市場 シェアNo.1 (2) 勤怠管理 | ⼊退社管理 | 給与計算 | 年末調整 マイナンバー管理 2014年10⽉〜 スモールビジネスの ⼈事管理市場において 売上⾦額シェアNo.1(3) その他サービス 会社設⽴ 開業 税務申告 受発注 クレジットカード ⼯数管理 電⼦契約 注: 1. クラウドサービス:ソフトウェアやハードウェアを所有することなく、ユーザーがインターネットを経由してITシステムにアクセスを⾏えるサービス 2. リードプラス「キーワードからひも解く業界分析シリーズ:クラウド会計ソフト編」(2022年8⽉) 3. 「freee⼈事労務」はITRが今年調査発⾏した「ITR MARKET VIEW:⼈事‧給与‧就業管理市場2022」の⼈事管理市場において、従業員100⼈未満および従業員100~300⼈未満の企業で売上⾦額シェアNo.1(2020年度)を獲得しています。 勤怠管理 (中堅企業向け) 経費精算 販売管理 福利厚⽣
5 GitHub Copilotに潜むセキュリティリスク Copilotへの ⼊⼒ Copilotからの 出⼒ • 学習に利⽤されないか? •
情報漏洩の可能性はない か? • 危険なコードを提案され ないか? • 他者の著作物は混じらな いか?
Copilotへ インプットするリスク
7 教師データにされないか? ソースコードリポジトリや スニペットが教師データに されるのでは ⾃社のソースコードが 他社‧他者に対して 提案されたら困る ➡ 学習元のソースコードはパブリックなもののみ
➡ テレメトリやプロンプト、候補は for Businessでは保持されない https://github.com/features/copilot/#faq https://docs.github.com/ja/copilot/overview-of-github-copilot/about-github-copilot-for-business
8 freeeのセキュリティレベル定義 レベル 扱う情報 S 企業の財務情報、センシティブな個⼈情報 A 業務データ、その他の個⼈情報 B 属性情報、統計情報、ソースコード
C 公開情報
9 ソースコードは(そんなに)⼤事ではない エンジニアの⽣産性向上 > ソースコード漏洩リスク
Copilotのアウトプットを 使うリスク
11 脆弱性のあるコードを吐くかもよ? https://twitter.com/aleksandrasays/status/1678503072824193027 https://techcommunity.microsoft.com/t5/educator-developer-blog/github-copilot-update-new-ai-model-that-also-filters-out/ba-p/3743238 ➡ AIベースの脆弱性フィルタリングシステムを組み込んである
12 ライセンス関連訴訟 https://githubcopilotlitigation.com/ ➡ public codeにマッチする提案はしない
13 Copilotが吐いたコードは⾃社のものか? https://www.hollywoodreporter.com/business/business-news/ai-works-not-copyrightable-studios-123557031 6/ https://github.com/customer-terms/github-copilot-product-specific-terms ➡ 提案とコードの所有権は「You」にある (???)
その他のリスク
15 いきなりの規約変更とか? https://twitter.com/shujisado/status/1668748592868372480
16 Copilotの提案は硬直化するのでは? CopilotはGitHub上のpublicなソースコードを教師データにしている 同時に、GitHub上にはCopilotによって書かれたソースコードがどんどん増えている つまりCopilotは今後、⾃⾝が書いたコードを再帰的に強化学習することになる それって、新しいことを学習しなくなるのでは……? ⼀⽅、⼈間はCopilotへの依存を強めてゆくだろう 過去のコードを元にした提案を受け⼊れるだけになる 新しいプログラミングパラダイムが⽣まれにくくなるのでは……?
それでも Copilotを使うべき理由
18 エンジニアの⽣産性向上 > さまざまなリスク た‧だ‧し これからの開発者には 「Copilotを使って効率よくコードを書きつつ その提案の良し悪しを適切に判断する⾼い技術⼒」と 「Copilotに頼らずに新しいことにチャレンジする 旺盛な好奇⼼を持ち続ける強さ」が
求められる
スモールビジネスを、世界の主役に。