定義されなかったセキュリティ要件を実現するのはベンダの義務?
話題とするのは、"SQLインジェクション" というセキュリティ侵害です。これについての詳しい解説は、専門の解説記事などに譲りますが、要は悪意者がホームページから侵入して、本来は隠しておきたいデータベース内の様々な情報を盗んだり、書き換えたり、あるいは壊してしまったりという攻撃です。
この攻撃は被害も大きく、ITの専門家の間では、すでに定番と言っても良いくらいに有名なものですが、すでに対策も周知の事となっておりそれらを踏まえてプログラミングをすれば、一応安心していられます。
しかし、実際に世の中に存在するWebシステムには、こうした対策を施していないものも多く、だからこそ、今回取り上げるような裁判も起きてしまいます。さて、どんな事件だったのでしょうか。概要をご覧ください。
(東京地方裁判所 平成30年10月26日判決より要約)
あるユーザ企業が車・バイクの査定を行う為のシステムの開発をベンダに委託し、平成24年にシステムは完成した。
ところがその後、情報処理推進機構(以下 IPAという) から、当該システムはSQLインジェクション対策が不十分であるとの指摘を受け、調査の結果それが事実であることが分かった為、ユーザ企業はベンダに対して、損害賠償請求として約900万円の支払いを求めて裁判になった。
余談ですが、ITの裁判というと数億円、数十億円規模のものを想像する方も多いかもしれませんが、実際にはこのように数百万円単位のものも数多く、数十万円レベルの賠償を求めるものもあります。
ということは、その程度の小規模システムを導入したりする際にも訴えたり、訴えられたりする危険は十分にあるということで、ITを使ったり作ったりするほぼ全ての方には、こうした訴訟リスクがあるということです。今、これをご覧になっている方々ならおそらく誰にでもIT紛争に巻き込まれる可能性があるということです。
