日々増え続けるセキュリティ対応
もう30年以上、IT業界に身を置いていいて、昔と比べて随分と変わってしまったなと思うのが、ITの開発や保守運用におけるセキュリティ対策、特にその労力の大きさです。
インターネットがまだ珍しかった昔は、そこそこ秘匿性の高いシステムであっても、ログインIDやパスワードの管理さえきちんとしておけば、大きな問題が起きませんでした。そして、そのための機能の実装や保守運用作業は、言ってみれば“おまけ”のようなものでした。
しかし今は違います。二要素認証や生体認証、OAuthなどログインだけでも考えなければいけないことが山のようにありますし、 通信経路や記憶装置の暗号化、クラウドサービスのセキュリティ、そして ソフトウェアの安全性など、昨今のシステム開発や保守運用では セキュリティ対策に要する労力がどんどんと増えています。今や本来の機能を実装するために必要な労力を上回るのではないか、と思われる例もあるほどです。
そんな時代ですから、ユーザーは自社システムのセキュリティをベンダーに任せきりにしておくわけにはいきません。 自分のシステムは自分で守るという覚悟のもと、 ユーザー自身が必要なセキュリティ対策を検討し、要件として定義することが求められる時代なのです。
しかし実際のところ、ITの素人であるユーザーには、システムのセキュリティについて何をどうすればいいのかよくわからないというのも事実でしょう。 開発や保守運用を依頼したベンダーに何をしてもらえばいいのか、どんな作業を定義をすればいいのかを決めていくのは、かなりハードルの高いことなのかもしれません。
今回取り上げる事件も、そうしたセキュリティに関する活動を巡っての紛争です。 知見のないユーザーがシステムの保守運用業者にセキュリティに関する活動を明示しなかったので起きた事件です。素人であるユーザーが、自社システムのセキュリティについて負うべき責任はどこまでなのか、何をすればいいのか、そんなことを考えさせられる事件でした。まずは概要から見て行きましょう。