SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

紛争事例に学ぶ、ITユーザの心得

ベンダだって100%のセキュリティ対策は打てない。

 インターネットというものがこの世に出現して以来、これを利用するユーザがずっと悩み続けている問題がセキュリティです。原因はさまざまですが、個人情報の漏洩やサーバへの攻撃などの事件は、いくらセキュリティ技術が進歩しても止むことはなく、私が働いている政府でも、一説によると一年間に受ける攻撃の数は数十万件に上るとも言われています。

 こうなってくると、自社のシステムにインターネットを利用するユーザ企業は、その構築・運用の際、可能な限りのセキュリティ侵害対策をしておかなければならないわけですが、それでも悪意者の技術は日進月歩で、どうしてもこちらの対処が追いつかないこともしばしばです。

 では、不幸にして攻撃を受け、なんらかの損害を被ったとき、その責任は誰が負うのでしょうか。例えば個人情報漏洩があったとき、その賠償は、もちろん、その情報を預かっていた企業等(ここではユーザ企業と呼びます。)が負うわけですが、彼らからすれば本当の責任は、そもそもシステムを構築したベンダ企業にあるのではないかとも考えたくなります。一般の企業はITに関しては素人です。今、世の中でどんな攻撃が行われ、それを守る技術にどのようなものがあるのか、そんなことはITの専門家であるベンダが検討し提案するものであって、例え要件定義書にセキュリティに関する事項が書かれていなくても、必要な対策を盛り込むのは専門家としての責任であろうと考えるわけです。

 この考えはある意味正しく、多くのシステム開発や導入においては、ベンダ企業がユーザ企業に対する提案や設計のとき、自発的にセキュリティ対策の必要性を説き、対策を行う例も数多くあります。ただ、実際のところ、ベンダ企業も日々開発される新しい攻撃手法の全てを知っているわけではありませんし、たとえ知っていたとしても、費用対効果なども考慮して必ずしも必要なセキュリティ対策を全て打てるというわけでもありません。ユーザ企業もベンダ企業もシステム開発・導入にあたっては、やはりある程度の危険は覚悟しなければならないわけです。

ではその時の責任は?

 しかし、そんな中で実際に攻撃を受け、損害が発生したときには、その責任はユーザとベンダのどちらが負うべきなのでしょうか。今回は、そんなことが争点になった事件をご紹介したいと思います。実は、こうした話題については、私自身もあちこちの講演や記事などで発表しているのですが、やはり裁判などでも、争点になることも多いことから、今回、改めて整理してみたいと思います。

 セキュリティ侵害があったとき、その責任はどちらにあるのか、もしベンダの責任にも限界があるとするなら、それはどうした線引きによって行われるのか、まずは事件の概要からご覧ください。

  (東京地方裁判所 平成26年1月23日判決より)

 あるユーザ企業が、WEBによる販売システムの構築をベンダに依頼し、ベンダはこれを完成させた。完成したシステムはレンタルサーバ業者と契約したデータベースサーバ上に格納される仕組みだったが、稼働から約1年後、それまでは格納していなかった顧客のクレジットカード情報も、このサーバ上に保管することとなった。ただし、クレジットカード情報は暗号化されていなかった。

 それから1年数か月後、このサーバがSQLインジェクションによる攻撃を受けた。具体的な被害については不明だが、調査したところクレジットカード情報6795件すべてが漏洩した可能性が高いとのことだった。

 ユーザ企業は、この事件の原因は、セキュリティ侵害を受ける危険のあるシステムを開発したベンダにあるとし、約1億1000万円の損害賠償を求めたが、ベンダがこれに応じなかったため、裁判となった。

 この判決は平成26年に出たものですが、事件自体は平成21年に発生したもののようです。ホームページ上から悪意者が不正なSQLを実行してデータを盗んだり破壊したりする攻撃は当時も頻繁に行われていたもので、その対策としてSQLを実行できないホームページを作成したり、盗まれたときに備えてデータベースを暗号化しておく方法をとること自体は、少なくともITベンダであれば知っていたことです。

 ところが、このシステムではそうした対策が打たれていませんでした。データベースが危険な状態にあったことは、裁判所も調査結果を引用して以下のように述べています。

次のページ
要件にはセキュリティ対策がなかったが。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
紛争事例に学ぶ、ITユーザの心得連載記事一覧

もっと読む

この記事の著者

細川義洋(ホソカワヨシヒロ)

ITプロセスコンサルタント東京地方裁判所 民事調停委員 IT専門委員1964年神奈川県横浜市生まれ。立教大学経済学部経済学科卒。大学を卒業後、日本電気ソフトウェア㈱ (現 NECソリューションイノベータ㈱)にて金融業向け情報システム及びネットワークシステムの開発・運用に従事した後、2005年より20...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11821 2019/03/22 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング