SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

紛争事例に学ぶ、ITユーザの心得

定義されなかったセキュリティ対策

セキュリティ対策はベンダが提案すべきもの

 ご覧の通り、結果はITベンダ側に責任を求めるものとなり損害の賠償命令が下されました。これは要件定義書になくても、既にIT業界内で知れ渡っているようなセキュリティ対策は専門家であるITベンダが提案し、実施しなければならないというものです。

 さて、この判決にあるITベンダの責任の考え方については、セキュリティに関する要件の定義について他の判決とも一致する部分が多く、ユーザ、ベンダを問わず、是非頭に入れておいていただきたい所なのですが、今回私がこの判決をとりあげたのは、その事だけを言いたかったわけではありません。

 それよりも、特にユーザ側の人に申し述べたかったのは、例え専門家のITベンダであっても、こうしたミスは特にセキュリティに関してやってしまいがちだということです。実は、今回の "SQLインジェクション"については、要件定義書にこそ、そうした記述はなかったようですが、それよりも前に結んだ契約にあたっての確認書なるものには、"SQLインジェクション"について記述があったようです。それそのものは要件として有効なのか疑問はありますが、少なくとも、このシステムについてこうした脅威が存在すること自体は、双方共に認識があったはずです。

しかし、ユーザにもやるべきことはある

 これを要件定義書に落とさず(多くの場合、要件定義書も実質的にはベンダが作成し、ユーザはそれを承認する形で正式化されます)、結局プログラムにも反映させなかったのは、明らかにITベンダ側作業者の凡ミスです。

 しかし、やはりユーザ企業側も自身でも認識していたSQLインジェクション対策が要件定義書にないことには気づくべきでした。確かに、この状態で裁判になればユーザ側が有利かもしれませんが、IT作りは裁判に勝つ為にやるわけではありません。

 もしかしたら、専門家であるITベンダが要件として確認しなくても「ユーザ側はプロなら、そのくらいのことは分かっていて、わざわざ書かなくても大丈夫なのだろう」と思ったかもしれません。しかし、ベンダも人間です。間違いもあれば抜け漏れもあります。そして、セキュリティ要件というのは、間違いなく文書にして双方が、その十分性を確認すべき事柄です。今回のITユーザには、そうした認識がありませんでした。

 結論として言えば、ITを導入しようとするユーザも、このセキュリティについては一定の知識を持ち、ベンダにその対策を確認することが必要です。要件定義書やテスト項目にセキュリティに関する記述がなければ、それを疑問に思う感覚が必要なのです。

 もちろん、セキュリティについて細かい知識は必要ありません。しかし、例えば以下のようなサイトを見て、こうした脅威に対する対策は十分であるかを要件定義時、設計完了時、テスト時等にベンダに投げかければ、こうした凡ミスを防ぐことができ、IT紛争などという、勝っても負けても不幸な事態にはならなかったのではないでしょうか?(了)

セキュリティに関する情報サイト

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
紛争事例に学ぶ、ITユーザの心得連載記事一覧

もっと読む

この記事の著者

細川義洋(ホソカワヨシヒロ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/12551 2019/10/23 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング