EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

定義されなかったセキュリティ対策

edited by DB Online   2019/10/23 08:00

セキュリティ対策はベンダが提案すべきもの

 ご覧の通り、結果はITベンダ側に責任を求めるものとなり損害の賠償命令が下されました。これは要件定義書になくても、既にIT業界内で知れ渡っているようなセキュリティ対策は専門家であるITベンダが提案し、実施しなければならないというものです。

 さて、この判決にあるITベンダの責任の考え方については、セキュリティに関する要件の定義について他の判決とも一致する部分が多く、ユーザ、ベンダを問わず、是非頭に入れておいていただきたい所なのですが、今回私がこの判決をとりあげたのは、その事だけを言いたかったわけではありません。

 それよりも、特にユーザ側の人に申し述べたかったのは、例え専門家のITベンダであっても、こうしたミスは特にセキュリティに関してやってしまいがちだということです。実は、今回の "SQLインジェクション"については、要件定義書にこそ、そうした記述はなかったようですが、それよりも前に結んだ契約にあたっての確認書なるものには、"SQLインジェクション"について記述があったようです。それそのものは要件として有効なのか疑問はありますが、少なくとも、このシステムについてこうした脅威が存在すること自体は、双方共に認識があったはずです。

しかし、ユーザにもやるべきことはある

 これを要件定義書に落とさず(多くの場合、要件定義書も実質的にはベンダが作成し、ユーザはそれを承認する形で正式化されます)、結局プログラムにも反映させなかったのは、明らかにITベンダ側作業者の凡ミスです。

 しかし、やはりユーザ企業側も自身でも認識していたSQLインジェクション対策が要件定義書にないことには気づくべきでした。確かに、この状態で裁判になればユーザ側が有利かもしれませんが、IT作りは裁判に勝つ為にやるわけではありません。

 もしかしたら、専門家であるITベンダが要件として確認しなくても「ユーザ側はプロなら、そのくらいのことは分かっていて、わざわざ書かなくても大丈夫なのだろう」と思ったかもしれません。しかし、ベンダも人間です。間違いもあれば抜け漏れもあります。そして、セキュリティ要件というのは、間違いなく文書にして双方が、その十分性を確認すべき事柄です。今回のITユーザには、そうした認識がありませんでした。

 結論として言えば、ITを導入しようとするユーザも、このセキュリティについては一定の知識を持ち、ベンダにその対策を確認することが必要です。要件定義書やテスト項目にセキュリティに関する記述がなければ、それを疑問に思う感覚が必要なのです。

 もちろん、セキュリティについて細かい知識は必要ありません。しかし、例えば以下のようなサイトを見て、こうした脅威に対する対策は十分であるかを要件定義時、設計完了時、テスト時等にベンダに投げかければ、こうした凡ミスを防ぐことができ、IT紛争などという、勝っても負けても不幸な事態にはならなかったのではないでしょうか?(了)

セキュリティに関する情報サイト



著者プロフィール

  • 細川義洋(ホソカワヨシヒロ)

    ITプロセスコンサルタント 東京地方裁判所 民事調停委員 IT専門委員 1964年神奈川県横浜市生まれ。立教大学経済学部経済学科卒。大学を卒業後、日本電気ソフトウェア㈱ (現 NECソリューションイノベータ㈱)にて金融業向け情報システム及びネットワークシステムの開発・運用に従事した後、2005年より2012年まで日本アイ・ビー・エム株式会社にてシステム開発・運用の品質向上を中心にITベンダ及びITユーザ企業に対するプロセス改善コンサルティング業務を行なう。現在は、東京地方裁判所でIT開発に係わる法的紛争の解決を支援する傍ら、それらに関する著述も行なっている。 おもな著書に、『なぜ、システム開発は必ずモメるのか? 49のトラブルから学ぶプロジェクト管理術』 日本実業出版社、『IT専門調停委員」が教える モメないプロジェクト管理77の鉄則』。

バックナンバー

連載:紛争事例に学ぶ、ITユーザの心得

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5