GitHub、GitLab、Bitbucketのバックアップがなぜ必要か―データ損失のリスク

もしあなたの組織がGitHub、GitLab、Bitbucketなどのバージョン管理システムを使用しているなら、コードという知的財産が会社内で最も貴重な資産であることをご存知かもしれません。あなたやあなたのチームは何千時間も（そしてお金も）コードを書いて、サポートし、改善してきました。CTO、ITマネージャー、ソフトウェアハウスのオーナー、またはチームリーダーとして、何ヶ月もの間チームが取り組んできたコードを失うとどれだけ費用がかかるか想像できるでしょう。

しかし、それは本当に可能なのでしょうか？データ侵害、システムダウンタイム、政策変更など、これらすべての要因がGitHub、GitLab、Bitbucket上のリポジトリへのアクセスを制限し、あなたの知的財産を危険にさらす可能性があります。適切なIP保護がなければ、従業員によって作成されたコードの完全な可能性を引き出すことができないかもしれません。

あなたのGitデータで何が起こり得るか？

さて、プロのリポジトリバックアップソフトウェアが開発プロセスや企業セキュリティに不可欠であることを、上位者やチームメンバー、開発者と議論する際に支持する根拠を探しましょう。

1. シェアドリスポンスモデル

サービスプロバイダーが提供するシェアードリスポンサシップモデルにより、GitHub、GitLab、Atlassianなどのサービスは、セキュリティ上の責任をサービスプロバイダーとお客様の組織との間で定義しています。端的に言えば、サービスプロバイダーはシステム全体のアクセス可能性、セキュリティ、可用性に関して一般的に責任を負います。しかし、データに関しては、プロセッサとしての役割に過ぎません。データの所有者はあなたであるため、データを適切に保護し、全ての法的要件に適合させることがあなたの責任です。たとえば、データ保持に関する要件などがそれにあたります。

Atlassianでは、同社はアプリケーション自体、それらが動作するシステム、それらシステムがホストされている環境のセキュリティを担当します。また、SOC2やPCI DSSなどの基準に準拠していることを保証します。

あなたはアカウント上の情報の適切な管理を担当します。ユーザーの管理、データへのアクセス制御、インストールおよび信頼するアプリケーションの選択を行う必要があります。最後に、あなたの会社がコンプライアンス要件を満たしていることを保証する責任があります。以下の図のようにです：

Image: Atlassian Cloud Security Shared Responsibilities (Source: Atlasssian)

2. サービス中断

我々の言葉を信じるかどうかはあなた次第ですが、GitHub、Bitbucket、GitLabが何度もダウンしており、多くの企業がコードへのアクセスを失い、作業ができなくなっていました。さらに、多額の経済的損失を被っています。

TechCrunchによると、GitLabの最大級のサービス中断の一つが2017年に発生しました。これは、プライマリデータベースサーバーからのデータの誤った削除によって引き起こされました。このインシデントにより、GitLab.comは何時間も利用できなくなり、回復不可能な生産データも失いました。具体的には、プロジェクト、コメント、ユーザーアカウント、課題、スニペットなどのデータベースとデータの変更が失われました。

また、TechMonitorによれば、2020年6月には、何時間にもわたり何百万もの開発者に影響を与えたGitHubサービスの大規模なサービス中断が発生しました。

そのようなサービス中断は、特に重要なリリースウィンドウ中に発生した場合、開発者の生産性に影響を与える可能性があります。

貴社について考えてみてください：

• GitHubデータへのアクセスがなくてどれくらい作業ができますか？
• そのようなサービス中断は貴社にどれだけのコストをもたらすでしょうか？
• それを負担できますか？

It’s better to prevent such situations and invest in reliable third-party backup software to quickly recover data and get back to code and work. GitHub downtime is only the tip of the iceberg. 

3. ヒューマンエラー

セキュリティインシデントにおける最も一般的な問題の一つは、人為的なミスやエラー、ヘッドオーバーライト、ブランチの誤った削除、さらにはイライラした従業員（またはリポジトリへのアクセス権を持つ元従業員）による意図的な削除など、データ喪失の最も一般的な原因です。また、開発者は個人的な目的と職業的な目的の両方にGitHubアカウントを使用し、時にはリポジトリを混ぜてしまう傾向があることも覚えておくべきです。したがって、それを注意深く監視することが重要です。

4. ランサムウェア

ランサムウェアは、史上最も高価な企業への脅威の一つであり続けています。11秒ごとに発生し、2021年末までに200億ドルの世界的損失をもたらすと予測されており（2015年の3億2500万ドルと比較）、

2019年、Bleeping Computerは、攻撃者がGitHub、GitLab、Bitbucketのユーザーを標的にし、複数のリポジトリからコードとコミットを消去し、ランジャノートと多くの疑問だけを残したと報告しています。

ランサムウェア攻撃によるビジネスダウンタイムは通常数日続きます。その後、企業はすべてのシステムを復旧するために数週間かかり、信頼性のあるバックアップソフトウェアがなければ、それらの試みは通常失敗します。ランサムを支払うことがデータの回復を100%保証するものだとは信じられません。バージョン管理システムに関しては、暗号化されたデータへのアクセスを失うこともダウンタイムにつながります。Gitのバックアップがあり、どこででも、いつの時点からでもデータを復旧し、すぐに作業を再開できる限りでなければなりません。そして最も重要なことは、データを失わないことです。

5. ハードウェアおよびソフトウェアのエラー

データへのアクセスを失う原因は、人為的なミスやハッカー攻撃だけでなく、様々なハードウェアやソフトウェアの故障によっても引き起こされる可能性があります。特に開発者がローカルのGitリポジトリで作業している場合、これは特に危険です。

同期、リポジトリの保存、ダウンロードに関する問題を追加することで、開発プロセスを遅らせたり、延期したり、無効にしたりする可能性のある問題の全体像が浮かび上がり、企業に経済的損失をもたらす可能性があります。

6. セキュリティコンプライアンス

SOC2とISO 27001について少し触れましょう。なぜこれらの基準がそれほど望まれるのでしょうか？それは、企業がSOC2またはISO 27Kの監査を完了すると、セキュリティ、信頼性、および信頼性を保証できるサービスとして位置づけられ、セキュリティ、可用性、機密性、プライバシー、および処理の完全性を保証できるからです。これらのセキュリティ基準は、企業を競合他社から突出させますか？間違いなく！

しかし、監査を通過し、セキュリティ保護されたサービスのステータスを取得する要件の一つはバックアップです。これは、データがあらゆる時点から回復可能であり、企業のビジネス継続性に対する脅威がないことを保証するものです。

結論

GitHub、Bitbucket、GitLabなどのホスティングサービスは、かなり信頼性の高いソリューションとして自分自身を証明しましたが、完全無欠ではありません。そのため、例えばGitHubは、追加の第三者のバックアップソフトウェアを持つことを推奨しています。

注意：ここでの利害関係は、あなたのソースコード、プロジェクト、知的財産権（IP）、働いた時間、そして数千のお金です。そのため、プロフェッショナルなバックアップソフトウェアは、それが提供する安心感のために、小さな投資のように思えます。