Slide 1

Slide 1 text

  GitHub Copilot 導⼊時に考えた セキュリティのあれこれ 2023.08.30 freee株式会社 PSIRT ただただし

Slide 2

Slide 2 text

  2 富⼠通グループのセキュリティ専⾨の研究所で8年間、サイ バー攻撃研究チームを率いたのち、2020年からfreeeへジョ イン。⽴ち上がって間もないPSIRT (Product Security Incident Response Team)のマネージャーとして、freeeのプ ロダクトセキュリティを守る。 ……守りつつ、全社障害訓練をしたり、OSSポリシーを策定 したり、定年制度をぶっ壊したりしている。 プライベートでもオープンソースプログラマとして30年以上 の開発経験を持つ。tDiary Project Founder。 ただただし freee株式会社 PSIRT マネージャー Tada, Tadashi (@tdtds) プロフィール画像の トリミング⽅法

Slide 3

Slide 3 text

3 GitHub Copilotを使えば⽣産性爆上げ! 全社⼀⻫導⼊するぞ! ちょっと待て! セキュリティアセスメントくらいさせろや CTO Security Team

Slide 4

Slide 4 text

4 スモールビジネス向けに統合型クラウド(1)ERPを提供 統合型クラウド会計ソフト 統合型クラウド⼈事労務ソフト 請求書 | 経費精算 | 決算書 | 予実管理 ワークフロー | 内部統制 2013年3⽉〜 ⽇本のクラウド会計ソフト市場 シェアNo.1 (2) 勤怠管理 | ⼊退社管理 | 給与計算 | 年末調整 マイナンバー管理 2014年10⽉〜 スモールビジネスの ⼈事管理市場において 売上⾦額シェアNo.1(3) その他サービス 会社設⽴ 開業 税務申告 受発注 クレジットカード ⼯数管理 電⼦契約 注: 1. クラウドサービス:ソフトウェアやハードウェアを所有することなく、ユーザーがインターネットを経由してITシステムにアクセスを⾏えるサービス 2. リードプラス「キーワードからひも解く業界分析シリーズ:クラウド会計ソフト編」(2022年8⽉) 3. 「freee⼈事労務」はITRが今年調査発⾏した「ITR MARKET VIEW:⼈事‧給与‧就業管理市場2022」の⼈事管理市場において、従業員100⼈未満および従業員100~300⼈未満の企業で売上⾦額シェアNo.1(2020年度)を獲得しています。 勤怠管理 (中堅企業向け) 経費精算 販売管理 福利厚⽣

Slide 5

Slide 5 text

5 GitHub Copilotに潜むセキュリティリスク Copilotへの ⼊⼒ Copilotからの 出⼒ ● 学習に利⽤されないか? ● 情報漏洩の可能性はない か? ● 危険なコードを提案され ないか? ● 他者の著作物は混じらな いか?

Slide 6

Slide 6 text

  Copilotへ インプットするリスク

Slide 7

Slide 7 text

7 教師データにされないか? ソースコードリポジトリや スニペットが教師データに されるのでは ⾃社のソースコードが 他社‧他者に対して 提案されたら困る ➡ 学習元のソースコードはパブリックなもののみ ➡ テレメトリやプロンプト、候補は for Businessでは保持されない https://github.com/features/copilot/#faq https://docs.github.com/ja/copilot/overview-of-github-copilot/about-github-copilot-for-business

Slide 8

Slide 8 text

8 freeeのセキュリティレベル定義 レベル 扱う情報 S 企業の財務情報、センシティブな個⼈情報 A 業務データ、その他の個⼈情報 B 属性情報、統計情報、ソースコード C 公開情報

Slide 9

Slide 9 text

9 ソースコードは(そんなに)⼤事ではない エンジニアの⽣産性向上 > ソースコード漏洩リスク

Slide 10

Slide 10 text

  Copilotのアウトプットを 使うリスク

Slide 11

Slide 11 text

11 脆弱性のあるコードを吐くかもよ? https://twitter.com/aleksandrasays/status/1678503072824193027 https://techcommunity.microsoft.com/t5/educator-developer-blog/github-copilot-update-new-ai-model-that-also-filters-out/ba-p/3743238 ➡ AIベースの脆弱性フィルタリングシステムを組み込んである

Slide 12

Slide 12 text

12 ライセンス関連訴訟 https://githubcopilotlitigation.com/ ➡ public codeにマッチする提案はしない

Slide 13

Slide 13 text

13 Copilotが吐いたコードは⾃社のものか? https://www.hollywoodreporter.com/business/business-news/ai-works-not-copyrightable-studios-123557031 6/ https://github.com/customer-terms/github-copilot-product-specific-terms ➡ 提案とコードの所有権は「You」にある (???)

Slide 14

Slide 14 text

  その他のリスク

Slide 15

Slide 15 text

15 いきなりの規約変更とか? https://twitter.com/shujisado/status/1668748592868372480

Slide 16

Slide 16 text

16 Copilotの提案は硬直化するのでは? CopilotはGitHub上のpublicなソースコードを教師データにしている 同時に、GitHub上にはCopilotによって書かれたソースコードがどんどん増えている つまりCopilotは今後、⾃⾝が書いたコードを再帰的に強化学習することになる それって、新しいことを学習しなくなるのでは……? ⼀⽅、⼈間はCopilotへの依存を強めてゆくだろう 過去のコードを元にした提案を受け⼊れるだけになる 新しいプログラミングパラダイムが⽣まれにくくなるのでは……?

Slide 17

Slide 17 text

  それでも Copilotを使うべき理由

Slide 18

Slide 18 text

18 エンジニアの⽣産性向上 > さまざまなリスク た‧だ‧し これからの開発者には 「Copilotを使って効率よくコードを書きつつ その提案の良し悪しを適切に判断する⾼い技術⼒」と 「Copilotに頼らずに新しいことにチャレンジする 旺盛な好奇⼼を持ち続ける強さ」が 求められる

Slide 19

Slide 19 text

スモールビジネスを、世界の主役に。