EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

契約にないセキュリティ関連作業は、保守運用事業者の責任か

edited by DB Online   2021/06/11 09:00

 今回は、知見のないユーザーがシステムの保守運用業者にセキュリティに関する活動を明示しなかったので起きた事件です。セキュリティに対する対応が日々増加しているので、他人事ではないという方も多いのではないでしょうか。

日々増え続けるセキュリティ対応

 もう30年以上、IT業界に身を置いていいて、昔と比べて随分と変わってしまったなと思うのが、ITの開発や保守運用におけるセキュリティ対策、特にその労力の大きさです。

 インターネットがまだ珍しかった昔は、そこそこ秘匿性の高いシステムであっても、ログインIDやパスワードの管理さえきちんとしておけば、大きな問題が起きませんでした。そして、そのための機能の実装や保守運用作業は、言ってみれば“おまけ”のようなものでした。

 しかし今は違います。二要素認証や生体認証、OAuthなどログインだけでも考えなければいけないことが山のようにありますし、 通信経路や記憶装置の暗号化、クラウドサービスのセキュリティ、そして ソフトウェアの安全性など、昨今のシステム開発や保守運用では セキュリティ対策に要する労力がどんどんと増えています。今や本来の機能を実装するために必要な労力を上回るのではないか、と思われる例もあるほどです。

 そんな時代ですから、ユーザーは自社システムのセキュリティをベンダーに任せきりにしておくわけにはいきません。 自分のシステムは自分で守るという覚悟のもと、 ユーザー自身が必要なセキュリティ対策を検討し、要件として定義することが求められる時代なのです。

 しかし実際のところ、ITの素人であるユーザーには、システムのセキュリティについて何をどうすればいいのかよくわからないというのも事実でしょう。 開発や保守運用を依頼したベンダーに何をしてもらえばいいのか、どんな作業を定義をすればいいのかを決めていくのは、かなりハードルの高いことなのかもしれません。

 今回取り上げる事件も、そうしたセキュリティに関する活動を巡っての紛争です。 知見のないユーザーがシステムの保守運用業者にセキュリティに関する活動を明示しなかったので起きた事件です。素人であるユーザーが、自社システムのセキュリティについて負うべき責任はどこまでなのか、何をすればいいのか、そんなことを考えさせられる事件でした。まずは概要から見て行きましょう。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 細川義洋(ホソカワヨシヒロ)

    ITプロセスコンサルタント 東京地方裁判所 民事調停委員 IT専門委員 1964年神奈川県横浜市生まれ。立教大学経済学部経済学科卒。大学を卒業後、日本電気ソフトウェア㈱ (現 NECソリューションイノベータ㈱)にて金融業向け情報システム及びネットワークシステムの開発・運用に従事した後、2005年より2012年まで日本アイ・ビー・エム株式会社にてシステム開発・運用の品質向上を中心にITベンダ及びITユーザ企業に対するプロセス改善コンサルティング業務を行なう。現在は、東京地方裁判所でIT開発に係わる法的紛争の解決を支援する傍ら、それらに関する著述も行なっている。 おもな著書に、『なぜ、システム開発は必ずモメるのか? 49のトラブルから学ぶプロジェクト管理術』 日本実業出版社、『IT専門調停委員」が教える モメないプロジェクト管理77の鉄則』。

バックナンバー

連載:紛争事例に学ぶ、ITユーザの心得

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5